Frage Was sind SPF-Datensätze und wie konfiguriere ich sie?


Das ist ein kanonische Frage über die Einrichtung SPF-Datensätze.

Ich habe ein Büro mit vielen Computern, die eine einzige externe IP teilen (ich bin unsicher, ob die Adresse statisch oder dynamisch ist). Jeder Computer verbindet sich über Outlook mit unserem Mailserver per IMAP. Von diesen Computern wird E-Mail gesendet und empfangen, und einige Benutzer senden und empfangen E-Mails auch auf ihren Mobiltelefonen.

ich benutze http://wizard.easysph.com/ um einen SPF-Datensatz zu generieren, und ich bin nicht sicher über einige der Felder im Assistenten, insbesondere:

  1. Geben Sie andere Domänen ein, die E-Mails für diese Domäne senden oder weiterleiten können
  2. Geben Sie beliebige IP-Adressen im CIDR-Format für Netblocks ein, die E-Mails für diese Domäne initiieren oder weiterleiten
  3. Geben Sie andere Hosts ein, die E-Mails für diese Domäne senden oder weiterleiten können
  4. Wie streng sollten SPF-bewusste MTA's das behandeln?

die ersten paar Fragen über die ich ziemlich sicher bin ... hoffe, ich habe genug Informationen gegeben.


47
2018-03-14 05:45


Ursprung




Antworten:


SPF zeichnet auf, welche Server erlaubt sind senden Mail für Ihre Domain.

Die Fragen 1-3 fassen den ganzen Punkt von SPF zusammen: Sie sollten die Adressen aller Server auflisten, die berechtigt sind, E-Mails von Ihrer Domain zu senden.
Wenn Sie zu diesem Zeitpunkt keine erschöpfende Liste haben, ist es im Allgemeinen keine gute Idee, einen SPF-Datensatz einzurichten. Außerdem kann eine Domäne nur einen SPF-Datensatz enthalten. Daher müssen Sie alle Informationen in einem einzigen Datensatz zusammenfassen.

Die einzelnen Fragen helfen wirklich nur dabei, die Liste für dich zu durchbrechen.

  1. fragt dich nach anderen Domänen deren Mail-Server können Nachrichten von Ihnen weiterleiten; wenn Sie zB einen sekundären MX-Server bei mail-relay.example.org haben, und das ist der Haupt-Mail-Server (MX-Eintrag) für die Domäne example.orgDann solltest du eintreten mx:example.org. Ihr SPF-Datensatz sollte den MX-Eintrag Ihrer eigenen Domain unter fast allen Umständen enthalten (mx).
  2. fragt Sie nach Ihren IP-Netzblöcken. Wenn Sie Server in 1.2.3.0/28 und den Büroadressraum 6.7.8.0/22 ​​zugeordnet haben, geben Sie ein ip4:1.2.3.0/28 ip4:6.7.8.0/22. IPv6-Space sollte hinzugefügt werden wie zB ip6:2a01:9900:0:4::/64.
  3. Wenn (z. B.) eine Maschine im Büro einer anderen Person ausgeschaltet ist, die E-Mails von Ihrer Domain senden darf, geben Sie diese ebenfalls ein, z a:mail.remote.example.com.

Ihre Handynutzer sind problematisch. Wenn sie E-Mails senden, indem sie zum Beispiel mit SMTP AUTH eine Verbindung zu Ihrem Mailserver herstellen und über diesen Server senden, dann haben Sie sich damit befasst, indem Sie die Adresse des Mailservers in (2) aufgelistet haben. Wenn sie E-Mails senden, indem sie sich einfach mit dem Mailserver verbinden, den das Angebot des 3G / HSDPA-Anbieters anbietet, können Sie SPF erst dann sinnvoll nutzen, wenn Sie Ihre E-Mail-Infrastruktur neu gestaltet haben tun Kontrolliere jeden Punkt, von dem eine E-Mail, die angeblich von dir stammt, ins Internet gelangt.

Frage 4 ist ein bisschen anders und fragt, was Empfänger mit E-Mails tun sollten, die angeblich von Ihrer Domain stammen nicht kommen aus einem der oben genannten Systeme. Es gibt mehrere rechtliche Antworten, aber die einzigen interessanten sind ~all (soft fail) und -all (Schwer scheitern). ?all (keine Antwort) ist so nutzlos wie ~all (qv), und +all ist eine Abscheulichkeit.

~all ist die einfache Wahl; Es teilt den Leuten mit, dass Sie eine Reihe von Systemen aufgelistet haben, die berechtigt sind, E-Mails von Ihnen zu senden, aber dass Sie diese Liste nicht vollständig ausfüllen, sodass E-Mails von Ihrer Domäne aus anderen Systemen möglicherweise noch legal sind. Ich fordere Sie auf nicht das zu tun. Es macht nicht nur SPF völlig sinnlos, aber einige Mail Admins auf SF konfigurieren absichtlich ihre SPF-Empfänger zu behandeln ~all als das Abzeichen eines Spammers. Wenn du es nicht tust -all, kümmere dich überhaupt nicht um SPF.

-all ist die nützliche Wahl; Es teilt den Benutzern mit, dass Sie die Systeme aufgelistet haben, die E-Mails von Ihnen senden dürfen, und dass kein anderes System dazu berechtigt ist. Daher können E-Mails von Systemen abgelehnt werden, die nicht in Ihrem SPF-Datensatz aufgeführt sind. Dies ist der Punkt von SPF, aber Sie müssen sicherstellen, dass Sie alle Hosts aufgelistet haben, die berechtigt sind, E-Mails von Ihnen zu erstellen oder weiterzuleiten, bevor Sie sie aktivieren.

Google ist bekannt zu beraten Das

Veröffentlichen eines SPF-Datensatzes, der "all" anstelle von "~ all" verwendet, kann dazu führen   Lieferprobleme.

Nun, ja, es kann; Das ist der springende Punkt von SPF. Wir können nicht sicher wissen, warum Google diesen Rat gibt, aber ich vermute stark, dass es Sysadmins verhindert, die nicht genau wissen, woher ihre E-Mail stammt, die sich selbst Lieferprobleme verursacht. Wenn Sie nicht wissen, woher Ihre E-Mails kommen, verwenden Sie bitte keinen SPF. Wenn Sie SPF verwenden, listen Sie alle Orte auf, von denen es kommt, und teilen Sie der Welt mit, dass Sie mit dieser Liste vertraut sind -all.

Beachten Sie, dass dies für den Server eines Empfängers nicht bindend ist. Die Tatsache, dass Sie einen SPF-Datensatz ankündigen, verpflichtet niemanden dazu, diesen zu respektieren. Es liegt an den Admins eines bestimmten Mail-Servers, welche E-Mail sie akzeptieren oder ablehnen. Was ich glaube, SPF tut es Ihnen erlauben, jede weitere Verantwortung für E-Mail, die behauptet, von Ihrer Domain zu sein, aber nicht war. Jeder Mail-Administrator, der zu Ihnen kommt und sich darüber beschwert, dass Ihre Domain ihnen Spam sendet wenn sie sich nicht darum gekümmert haben, den SPF-Datensatz zu überprüfen, den Sie angekündigt haben, hätte er ihnen gesagt, dass die E-Mail zurückgewiesen werden sollte kann mit einem Floh in ihrem Ohr ziemlich weggeschickt werden.


Da diese Antwort kanonisiert wurde, würde ich besser ein paar Worte darüber sagen include und redirect. Letzteres ist einfacher; wenn dein SPF aufzeichnet, sprich für example.comsagt redirect=example.org, dann example.org's SPF-Datensatz ersetzt dein eigenes. example.org ersetzt auch Ihre Domain in jene Nachschlagen (zB wenn example.orgDas Protokoll enthält die mx Mechanismus, der MX Nachschlagen sollte durchgeführt werden example.org, nicht auf deiner eigenen Domain).

includewird weitgehend missverstanden, und wie die Autoren des Standards bemerken "der Name "include" war schlecht gewählt". Wenn Ihr SPF aufnehmen includes example.orgDas ist dann example.orgDas Protokoll sollte von einem Empfänger überprüft werden wenn es einen Grund gibt (einschließlich +all) um Ihre E-Mail zu akzeptieren. Wenn dies der Fall ist, sollte Ihre Mail übergeben werden. Wenn dies nicht der Fall ist, sollte der Empfänger mit der Verarbeitung Ihres SPF - Datensatzes fortfahren, bis er auf Ihrem Server landet all Mechanismus. Somit, -alloder tatsächlich irgendein andere Verwendung von all außer +all, in einem (n included record, hat keinen Einfluss auf das Ergebnis der Verarbeitung.

Weitere Informationen zu SPF-Datensätzen http://www.openspf.org ist eine ausgezeichnete Ressource.


Bitte nimm das nicht falsch, aber wenn du einen SPF-Eintrag falsch machst, kannst du verhindern, dass ein beträchtlicher Teil des Internets E-Mails von dir erhält, bis du es behebst. Ihre Fragen deuten darauf hin, dass Sie möglicherweise nicht vollständig sind au fait mit dem, was Sie tun, und wenn das der Fall ist, dann sollten Sie in Erwägung ziehen, professionelle Hilfe zu erhalten, bevor Sie etwas tun, das Sie daran hindert, E-Mails an eine Menge Leute zu senden.

Bearbeiten: Danke für Ihre freundlichen Worte, sie sind sehr geschätzt.

SPF ist in erster Linie eine Technik zu verhindern Joe-Jobbing, aber einige Leute scheinen damit begonnen zu haben, Spam zu entdecken. Einige davon können tatsächlich einen negativen Wert für Sie haben, wenn Sie überhaupt keinen SPF-Datensatz haben, oder einen übergroßen Datensatz (z a:3.4.5.6/2 a:77.5.6.7/2 a:133.56.67.78/2 a:203.54.32.1/2, die eher hinterhältig ist +all), aber das liegt an ihnen und es gibt nicht viel, was du dagegen tun kannst.

Ich persönlich denke, SPF ist eine gute Sache, und Sie sollten einen Rekord werben, wenn Ihre aktuelle Mail-Struktur es erlaubt, aber es ist sehr schwierig, eine verbindliche Antwort zu geben, die für das gesamte Internet gültig ist bestimmten Zweck, wenn sie sich zu einem anderen Zweck entscheiden. Alles, was ich mit Sicherheit sagen kann, ist, dass Sie es tun tun kündigen einen SPF-Datensatz mit einer Richtlinie an -allund du verstehst falsch, viele Leute werden deine Post niemals sehen.

Bearbeiten 2: aufgrund von Kommentaren gestrichen und um die Antwort auf dem neuesten Stand zu halten.


63
2018-03-14 07:08



schätzen Sie die gründliche und plain-englische Antwort (die ich offensichtlich brauchte). Du hast recht, wenn ich bemerke, dass ich meistens im Dunkeln bin und keine Geschäfte mit einem Postmasterhut habe. eine Nachfolgefrage: Da es sich um eine sehr kleine Operation handelt (ca. 10-15 E-Mail-Accounts insgesamt) - und keine großen Postsendungen versenden - können wir ohne oder gerade jetzt überleben landen in vielen Spam-Ordnern da draußen? Wenn wir Massmailing betreiben, verwenden wir Dienste wie mailchimp, etc - vulgarbulgar
Das ~ alles ist gut für zwei Dinge: 1. Das "nicht vollständig au fait"Szenario, das Sie beschrieben haben. Sie können das gesamte Setup auf eine echte Art und Weise durchführen, einschließlich echter Tests, bevor Sie den letzten Trigger ziehen. 2. Spam-Scores. Wenn Sie wirklich nicht alle E-Mail-Exit-Punkte kontrollieren können, kann ~ all die Spam-Scores für die Systeme unterstützen, die zu Ihrem Datensatz passen (natürlich: Sie können auch den Score für die Systeme beeinträchtigen, die soft-failed sind). - Joel Coel
Sie können auch die Punktzahl bei Empfängersystemen verletzen, deren Admins dies berücksichtigen ~all als Spam-Indikator für die gesamte Domain, von denen es mindestens eine auf SF gibt. - MadHatter
@MadHatter Ein Kommentar zu Edit2 speziell: Der aktuelle SPF-Spezifikation sagt, du musst beides benutzen TXT oder SPF Aber das sollten Sie beide (identisch), die vorgeschlagenen verwenden kommende SPF-Spezifikation gibt auf SPF weil die Aufnahme geringer war als erwartet und meist nur Interoperabilitätsprobleme verursacht. Vor diesem Hintergrund erscheint es nicht ratsam, nur nach oben zu schauen SPF. - Håkan Lindqvist
Danke für die Wahrheit und ich lachte laut "+ alles ist ein Greuel." - jerclarke


Wichtig für die Einrichtung ist die Konfiguration des Servers, der die E-Mail schließlich an das Internet sendet. Sie sagen, dass Sie E-Mails über SMTP senden. Was also die IP-Adresse betrifft, ist die Konfiguration Ihres SMTP-Servers wichtig (Frage 2)

Wenn Sie Ihre E-Mails mit einem Drittanbieter wie Google Mail versenden, müssen Sie ihre SPF-Datensätze wie folgt hinzufügen: Einschließen: _spf.google.com (Der Ajax-Assistent scheint davon nichts zu wissen).

Für das "How Stringent" lassen Sie den "soft fail" (~ all), wenn Sie sich nicht sicher sind, aber "reject" (-all) ist der richtige Weg, wenn Ihre Konfiguration sauber ist.


3
2018-03-14 07:08