总结: 我们的 SPF 过于宽松 ( +all),垃圾邮件发送者利用这一点从我们的域发送大量垃圾邮件。我们限制了它~all并添加了 DMARC(但不是 DKIM),现在其他提供商不信任我们的真实电子邮件。如何让他们信任我们的域/SPF 记录,而不会再次使其过于宽松?
我已经在这家公司工作了一段时间。但是 DNS 管理是由其他人完成的。
我注意到我们的 SPF 记录非常糟糕(实际上是+all在末尾),管理 DNS 的人认为这是必要的,因为许多服务器都会自动发送每周/每日报告。然而,仔细检查后,他们并没有使用我们的邮件域名。所以我建议修复 SPF 记录,至少将其放在~all末尾,并添加 DMARC 记录以接收被视为垃圾邮件的消息报告。我们无法添加 DKIM,因为有多个系统需要发送电子邮件(所有系统都通过 GMail 服务器及其 smtp 代理服务器进行代理)。
在我们这样做之后,我们开始收到大量以我们的域名为发件人的垃圾邮件报告。所有这些邮件看起来都像垃圾邮件,而且肯定不是从我们的服务器发送的。
显然,这正是我们想要实现的目标,但现在我发现,尽管所有发送服务器都添加了 SPF(我们在商业中使用 Gmail),但我们的合法邮件也被发送到垃圾邮件中。
问:我们如何从中恢复,并让其他提供商信任我们(现在有效的)SPF 中的主机发送的电子邮件?
更新:以下是我们拥有的 SPF 和 DMARC 记录的示例:
v=spf1 ip4:xx.xx.xx.xx ip4:yy.yy.yy.yy ip4:zz.zz.zz.zz include:_spf.google.com ~all
v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=none; fo=1; adkim=r; aspf=s
答案1
为每个合法发件人执行 DKIM。是否为您在 SPF 记录中显示的所有发件人执行此操作?
将 ~ALL (软故障) 更改为 -ALL (硬故障)。
当您确信已验证了所有合法电子邮件,并且 p=none 已持续一段时间,并且报告未显示合法电子邮件未经验证时,请从 升级到
p=none。p=reject这将使您的电子邮件身份验证更具威力,因为收件箱提供商实际上将开始拒绝未经验证的电子邮件。
一旦您更改为 p=reject,重要的是确保您能够很好地保持电子邮件身份验证是最新的,这意味着如果 IP 地址发生变化或您更改提供商或其他什么,编辑您的 SPF 记录并设置 DKIM 至关重要。
这将帮助您清除声誉,因为垃圾邮件发送者和诈骗者将无法再欺骗您的域名。这将有助于开始重建声誉,因为垃圾邮件发送者将不再通过发送可怕的消息来破坏您的域名。
除了电子邮件身份验证之外,您还可以确保使用电子邮件的最佳实践。例如,您是否进行电子邮件营销?如果是,您是否进行双重选择?您是否会定期停用在一定时间内(例如 3 个月或 6 个月)未使用的电子邮件地址,这样您就不会向那些出于某种原因从未与您的电子邮件互动的人发送邮件。
检查您发送的所有 IP 地址是否被列入黑名单等,并假设您已经清理了导致您被列入黑名单的行为,申请将其删除。如果是被列入严重黑名单的共享 IP 地址,那么您可能需要与 ESP 讨论您所处的共享 IP 阻止问题。