타 사용 SPF 레코드 추가하지만 내 도메인 용 SPF 레코드가 없습니다.

우리를 대신하여 이메일을 보내는 타사 서비스가 있습니다. 발신 이메일에 도메인 이름을 사용하고 있습니다. SPF 레코드 구성을 요청했습니다.

현재 자체 도메인에 대해 정의 된 SPF 레코드가 없습니다. 이는 타사가 "스푸핑"하는 것과 같습니다.

내 우려는 우리 자신을 정의하지 않고 타사에 대한 레코드를 추가하면 서버에서 발생하는 메일이 거부 될 수 있다는 것입니다.

내 우려가 유효합니까?

email spf

— k1DBLITZ
소스

하나를 만드는 것이 얼마나 어려울까요?

— 마이클 햄튼

어렵지 않음. 내가 볼 수 있듯이 잠재적 인 문제는 현재 도메인을 스푸핑하는 여러 타사 서비스가 사용 중이며 SPF 레코드를 모두 추가하지 않으면 1을 추가하면 다른 서비스를 무효화 할 수 있다는 것입니다 임의 수신 메일 서버가 도메인에 대한 SPF 레코드를 조회하고 이름 / IP가 일치하지 않는 것을 확인합니다.

— k1DBLITZ 21

답변:

SPF 레코드가없는 경우 수신자는 일반적으로 안전하지 않으며 전자 메일을 수락합니다 (변경되기 시작하더라도). 즉시 SPF 레코드를 제공하기 때문에 당신은 있어야합니다 목록에없는 다른 사람이 가능 위조 소스로 취급 될 수 있기 때문에, 모든 합법적 인 메일 보낸 사람을 포함한다.

엄밀히 말하면, 모든 메일 발신자를 포함 ~all하거나 포함 ?all하지 않을 수 있지만 그렇게하면 SPF 레코드가 정확하지 않은 테스트를 수행하는 것 외에 다른 이점을 얻을 수 없습니다.

이상적으로 타사에는 이미 일반 SPF 레코드가 있으며 include:spf.thirdparty.dom요소를 레코드에 추가하기 만하면 됩니다. 그렇지 않은 경우 관리 레코드를 쉽게 관리 할 수 있도록 자신 만의 레코드를 작성하고 자신을 연결하는 것이 좋습니다.

예를 들어, 경우 contoso.com:

thirdparty1.spf.contoso.com txt 'v=spf1 ... -all' # list their mail senders for you
thirdparty2.spf.contoso.com txt 'v=spf1 ... -all' # list their mail senders for you
spf.contoso.com txt 'v=spf1 ... -all'             # list your mail senders
contoso.com txt 'v=spf1 include:spf.contoso.com include:thirdpart1.spf.contoso.com include:thirdparty2.spf.contoso.com -all'

유용한 자료들 :

DMARC는 SPF와 DKIM을 사용하고 있으며 고려할 가치가 있습니다. https , dmarc.org/overview/ 인바운드 이메일의 유효성을 검사하기 위해 Google, Yahoo 및 기타 업체에서 적극적으로 사용하고 있습니다.
SPF 레코드를 설정할 때 모범 사례 목록, http://www.openspf.org/Best_Practices
이름에도 불구하고 SPF 레코드 설정을위한 유용한 레시피는 http://www.openspf.org/FAQ/Common_mistakes

— 로 이마
소스

이것에 대한 소스가 있습니까?

— Aaron Hall

@AaronHall 해당 리소스 링크는 충분합니까? 그렇지 않다면 원하는 것을 명확하게 설명 할 수 있습니까

— roaima

다른 서버에 대한 중립 규칙을 사용하여 타사 서비스를 SPF 레코드에 넣을 수 있습니다.

?all

최소한 다음과 같은 고유 한 메일 서버를 포함 시키십시오.

+mx

도메인에 SPF 레코드를 두는 것이 좋습니다. 화이트리스트를 추가하고 다른 사용자를 위해 중립을 시작하십시오. 모든 서버에 최신 SPF 레코드가 있으면 기본값을 실패 (-all) 또는 softfail (~ all)로 변경할 수 있습니다.

openspf.org 에 대한 좋은 문서 와 기타 유용한 정보가 많이 있습니다.

— 믹
소스

내가 겪고있는 문제의 일부는 우리를 대신하여 이메일을 보내는 다른 모든 회사의 최신 목록이 없다는 것입니다. 접근 방식을 사용하는 경우 프로덕션 메일 흐름에 영향을주지 않으면 서 발견 될 때 SPF 레코드에 추가 할 수 있습니까? 가상의 도메인에 특정 예제 구문을 제공 할 수 있습니까? 귀하가 연결 한 정보를 검토 한 결과 매우 도움이되었지만이 문제를 해결할 수는 없습니다.

— k1DBLITZ 1

단계별로 수행 할 수 있습니다. 먼저 타사 서비스, mx를 추가하고 다른 모든 서비스에는 "a : your3rppart mx? all"을 중립으로 설정하십시오. 그런 다음 다른 서버로 SPF를 업데이트하십시오. 우리는 모두 기본 정책을 softfail 또는 fail로 변경했다고 생각합니다.

— mick

SPF -all가없는 SPF 는 완전히 무의미 할뿐만 아니라 일부 관리자는이를 스패머의 활성 신호로 사용합니다. 하지마

— MadHatter

"모두가 더 낫다. 당신이하는 일을 모른다면, DMARC 정책은 여전히 모든 것과 동일하게 적용된다. 그리고 많은 큰 ESP는 첫 번째 진술 때문에 더 이상 신경 쓰지 않는다"

— 야곱 에반스

-all이없는 SPF는 완전히 무의미 할뿐만 아니라 일부 관리자는이를 스패머의 활성 신호로 사용합니다. 그렇게하지 마십시오 . SPF 사양을 따르지 않는 손상된 시스템을 수정해야합니다. " "- 모든 도메인 소유자는 SPF 레코드를 게시하도록 선택하는 경우, 그것은 그들이에 종료하는 것이 좋습니다 " "- ietf.org/rfc/rfc4408.txt - 그것은 필수 아니에요. SoftFail은 별개의 상태입니다.

— TessellatingHeckler 1