Menambahkan catatan SPF untuk pihak ketiga, tetapi tidak memiliki satu untuk domain saya sendiri

Kami memiliki layanan pihak ke-3 yang mengirim beberapa email atas nama kami. Mereka menggunakan nama domain kami di email keluar mereka. Mereka meminta kami mengkonfigurasi catatan SPF untuk mereka.

Saat ini kami tidak memiliki catatan SPF yang ditentukan untuk domain kami sendiri, yang merupakan catatan pihak ketiga yang "spoofing".

Kekhawatiran saya adalah bahwa jika kita menambahkan catatan untuk pihak ke-3 tanpa mendefinisikan milik kita juga, maka surat yang berasal dari server kami dapat ditolak.

Apakah kekhawatiran saya valid?

email spf

— k1DBLITZ
sumber

Seberapa sulit bagi Anda untuk membuatnya?

— Michael Hampton

Tidak sulit. Masalah potensial, seperti yang saya lihat, adalah bahwa ada beberapa layanan pihak ke-3 yang kami gunakan yang sedang memalsukan domain kami dan jika saya tidak menambahkan catatan SPF untuk semuanya, bahwa dengan menambahkan hanya 1, saya dapat membatalkan yang lain ketika server e-mail penerima acak mencari catatan SPF untuk domain kami dan melihat nama / IP tidak cocok.

— k1DBLITZ

Jawaban:

Jika Anda tidak memiliki catatan SPF maka penerima umumnya akan gagal aman dan menerima email Anda (meskipun itu mulai berubah). Segera setelah Anda memberikan catatan SPF, Anda harus memasukkan semua pengirim surat yang sah, karena jika tidak, pengirim yang tidak terdaftar dapat diperlakukan sebagai sumber pemalsuan yang mungkin.

Sebenarnya, Anda dapat memasukkan ~allatau ?alldan tidak mencantumkan semua pengirim email Anda, tetapi jika Anda melakukannya, Anda tidak akan mendapat manfaat dari catatan SPF selain dari pengujian yang dinyatakan akurat.

Idealnya pihak ketiga Anda sudah memiliki catatan SPF umum dan Anda bisa menambahkan include:spf.thirdparty.domelemen ke catatan Anda. Jika tidak, Anda mungkin ingin membuat catatan Anda sendiri untuk mereka dan tetap rantai itu sendiri, sehingga mudah bagi Anda mengelola secara administratif.

Misalnya, jika Anda contoso.com:

thirdparty1.spf.contoso.com txt 'v=spf1 ... -all' # list their mail senders for you
thirdparty2.spf.contoso.com txt 'v=spf1 ... -all' # list their mail senders for you
spf.contoso.com txt 'v=spf1 ... -all'             # list your mail senders
contoso.com txt 'v=spf1 include:spf.contoso.com include:thirdpart1.spf.contoso.com include:thirdparty2.spf.contoso.com -all'

Beberapa sumber daya yang bermanfaat:

DMARC sedang memasukkan SPF dan DKIM, dan layak dipertimbangkan. Secara aktif digunakan oleh Google, Yahoo, dan lainnya untuk memvalidasi email masuk, https://dmarc.org/overview/
Daftar praktik terbaik saat menyiapkan catatan SPF, http://www.openspf.org/Best_Practices
Terlepas dari namanya, resep yang berguna untuk menyiapkan catatan SPF, http://www.openspf.org/FAQ/Common_mistakes

— roaima
sumber

Apakah Anda memiliki sumber tentang ini?

— Aaron Hall

@ Harun, apakah tautan sumber daya itu memadai? Jika tidak, dapatkah Anda mengklarifikasi apa yang Anda cari

— roaima

Anda dapat menempatkan layanan pihak ke-3 dalam catatan SPF dengan aturan netral untuk server lain:

?all

Dan sertakan setidaknya server surat Anda sendiri dengan:

+mx

Merupakan hal yang baik untuk memiliki catatan SPF di domain Anda. Mulailah menambahkan daftar putih dan netral untuk yang lain, dan ketika Anda akan memiliki catatan SPF terbaru dengan semua server Anda, Anda dapat mengubah default untuk gagal (-semua) atau kegagalan lunak (~ semua).

Ada dokumentasi yang bagus di sini dan banyak informasi bermanfaat lainnya di openspf.org

— mick
sumber

Bagian dari masalah yang saya hadapi adalah saya tidak memiliki daftar terbaru dari semua perusahaan lain yang mengirim email atas nama kami. Apakah Anda mengatakan jika saya menggunakan pendekatan Anda, saya dapat menambahkannya ke catatan SPF karena ditemukan tanpa memengaruhi aliran surat produksi kami? Bisakah Anda memberikan contoh sintaks tertentu dengan domain fiktif? Saya telah meninjau informasi yang Anda tautkan dan itu sangat membantu, tetapi saya tidak dapat salah.

— k1DBLITZ

Anda dapat melakukannya dengan langkah: pertama-tama tambahkan layanan pihak ke-3, mx, dan netral untuk yang lain: "a: your3rppart mx? All". Kemudian perbarui SPF Anda dengan server lain. Kami Anda pikir Anda memiliki mereka semua mengubah kebijakan default ke kegagalan atau gagal

— mick

Serius, SPF tanpa -alltidak hanya benar-benar sia-sia, tetapi beberapa admin menggunakannya sebagai tanda aktif spammer. Jangan lakukan itu.

— MadHatter

"Semua lebih baik dari itu - semua jika Anda tidak tahu apa yang Anda lakukan, kebijakan DMARC masih berlaku untuk" semua sama seperti - semua dan banyak ESP besar tidak peduli tentang - semua lagi karena pernyataan pertama

— Yakub Evans

Serius, SPF tanpa -semua tidak hanya benar-benar sia-sia, tetapi beberapa admin menggunakannya sebagai tanda aktif spammer. Jangan lakukan itu - maka mereka harus memperbaiki sistem mereka yang rusak yang tidak mengikuti spesifikasi SPF; " Jika pemilik domain memilih untuk menerbitkan catatan SPF, disarankan bahwa itu diakhiri dengan" -semua " " - ietf.org/rfc/rfc4408.txt - Ini tidak wajib. SoftFail adalah kondisi berbeda.

— TessellatingHeckler