我们有第三方服务代表我们发送一些电子邮件。他们在外发电子邮件中使用我们的域名。他们要求我们为他们配置 SPF 记录。
我们目前没有为我们自己的域定义 SPF 记录,该记录与第三方“欺骗”的域相同。
我担心的是,如果我们添加第三方的记录而没有定义我们自己的记录,那么来自我们服务器的邮件可能会被拒绝。
我的担心有道理吗?
答案1
如果您没有 SPF 记录,那么收件人通常会安全接收您的电子邮件(尽管这种情况正在开始改变)。只要您提供 SPF 记录,您必须包括所有合法的邮件发件人,因为否则未列出的邮件发件人可能会被视为可能的伪造来源。
严格来说,您可以包含~all或?all避免列出所有邮件发件人,但如果您这样做,除了测试其准确性之外,您将不会从 SPF 记录中获得任何好处。
理想情况下,您的第三方已经拥有通用 SPF 记录,您只需将该include:spf.thirdparty.dom元素添加到您的记录中即可。如果他们没有,您可能希望为他们创建自己的记录并自行链接,以便您轻松进行管理。
例如,如果你是contoso.com:
thirdparty1.spf.contoso.com txt 'v=spf1 ... -all' # list their mail senders for you
thirdparty2.spf.contoso.com txt 'v=spf1 ... -all' # list their mail senders for you
spf.contoso.com txt 'v=spf1 ... -all' # list your mail senders
contoso.com txt 'v=spf1 include:spf.contoso.com include:thirdpart1.spf.contoso.com include:thirdparty2.spf.contoso.com -all'
一些有用的资源:
- DMARC 正在取代 SPF 和 DKIM,非常值得考虑。Google、Yahoo 和其他公司都在积极使用它来验证入站电子邮件,https://dmarc.org/overview/
- 设置 SPF 记录的最佳做法列表,http://www.openspf.org/Best_Practices
- 尽管名字如此,但设置 SPF 记录的有用方法却是http://www.openspf.org/FAQ/Common_mistakes
答案2
您可以将第三方服务放入 SPF 记录中,并对其他服务器制定中立规则:
?all
并且至少包括您自己的邮件服务器:
+mx
在您的域上拥有 SPF 记录是一件好事。开始为其他服务器添加白名单和中立记录,当您拥有所有服务器的最新 SPF 记录时,您可以将默认值更改为失败 (-all) 或软失败 (~all)。
有一个这里有好的文档以及许多其他有用的信息openspf.org