У нас есть сторонняя служба, отправляющая электронное письмо от нашего имени. Они используют наше доменное имя в своих исходящих электронных письмах. Они попросили нас настроить для них запись SPF.
В настоящее время у нас нет записи SPF, определенной для нашего собственного домена, который является тем же самым, который сторонняя сторона «подделывает».
Меня беспокоит то, что если мы добавим запись для третьей стороны, не определяя свою собственную, то почта, исходящая с наших серверов, может быть отклонена.
Верно ли мое беспокойство?
Если у вас нет записи SPF, получатели, как правило, откажутся от работы и примут вашу электронную почту (хотя это начинает меняться). Как только вы предоставите запись SPF, вы должен включить всех законных отправителей почты, потому что в противном случае те, которые не указаны в списке, могут рассматриваться как возможные источники подделки.
Строго говоря, вы можете включить ~all
или ?all
и избегайте перечисления всех отправителей почты, но если вы это сделаете, вы не получите никакой пользы от записи SPF, кроме как для проверки ее точности.
В идеале у ваших третьих лиц уже будет общая запись SPF, и вы можете просто добавить include:spf.thirdparty.dom
элемент в вашу запись. Если они этого не сделают, вы вполне можете создать для них свою собственную запись и все равно связать ее самостоятельно, чтобы вам было легко управлять ею административно.
Например, если вы contoso.com
:
thirdparty1.spf.contoso.com txt 'v=spf1 ... -all' # list their mail senders for you
thirdparty2.spf.contoso.com txt 'v=spf1 ... -all' # list their mail senders for you
spf.contoso.com txt 'v=spf1 ... -all' # list your mail senders
contoso.com txt 'v=spf1 include:spf.contoso.com include:thirdpart1.spf.contoso.com include:thirdparty2.spf.contoso.com -all'
Некоторые полезные ресурсы:
Вы можете поместить свою стороннюю службу в запись SPF с нейтральным правилом для других серверов:
?all
И включите хотя бы свои собственные почтовые серверы с:
+mx
Хорошо иметь запись SPF в вашем домене. Начните добавлять белый список и нейтральный для других, и когда у вас будет актуальная запись SPF для всех ваших серверов, вы можете изменить значение по умолчанию на сбой (-all) или мягкий сбой (~ все).
Eсть хорошая документация здесь и много другой полезной информации о openspf.org