Недавно мы переместили наш серверный стек в новую ферму данных, и некоторые из наших клиентов испытывают проблемы с отправкой почты из их учетных записей GApps. До переноса сервера у нас не было проблем, но я подозреваю, что, возможно, смена IP и т. Д. Может иметь какое-то отношение к этому.
Мы обнаружили, что проблема заключалась в том, что некоторые домены имели неправильные заголовки SPF и не включали записи Google SPF.
Я добавил записи TXT во все домены со следующимиv=spf1 include:_spf.google.com ~all
который решил проблему с доставляемостью, но я недостаточно понимаю SPF, чтобы знать, все ли записи TXT в нашем шаблоне DNS в порядке.
Если домен использует Google Apps для отправки почты, мы отключаем локальную маршрутизацию почты для этого домена, чтобы внутренняя почта не проходила, и все записи MX, отличные от GApps, удаляются.
В настоящее время на каждом домене настроено следующее:
domain.com. TXT v=spf1 +a +mx -all
domain.com. TXT v=spf1 include:_spf.google.com ~all
mail.domain.com. TXT v=spf1 ip4:xxx.xxx.xxx.xxx a mx a:mail.domain.com mx:domain.com ?all
Итак, мой вопрос (ы):
Подходят ли указанные выше записи (одни тесты SPF дают положительные результаты, другие - отрицательные) как глобальные для всех доменов, которые добавляются на сервер?
Можно ли объединить две указанные выше DNS-записи domain.com в одну?
Можно ли включить в Google запись SPF для доменов, которые не отправляются через Google Apps?
Нужно ли удалять другую запись TXT, если они используют Google Apps? Я не думаю, что потребуется удалить запись mail.domain.com, поскольку почта не оттуда исходит, но это может вызвать какие-либо проблемы, если они есть.
У нас более 100 доменов, работающих на одном стеке серверов, и обновлять их все не будет весело, но я бы предпочел, чтобы это было сделано правильно.
Заранее спасибо.
У вас должна быть только одна запись SPF для имени хоста, поэтому вы можете объединить две в одну. SPF - это в основном список механизмов (которые соответствуют чему-то) и действий, которые необходимо предпринять для этого механизма. Вы можете иметь столько механизмов в вашей записи SPF, сколько захотите. Для domain.com
Вы хотите это:
domain.com. IN TXT "v=spf1 include:_spf.google.com +a +mx -all"
Это означает, что проверяются следующие параметры (результатом является первый механизм сопоставления).
Получите запись SPF в _spf.google.com
и оцените это (include:
). Запись SPF Google выглядит так:
_spf.google.com descriptive text "v=spf1 ip4:216.239.32.0/19 ip4:64.233.160.0/19 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:209.85.128.0/17 ip4:66.102.0.0/20 ip4:74.125.0.0/16 ip4:64.18.0.0/20 ip4:207.126.144.0/20 ip4:173.194.0.0/16 ?all"
Принять, если IP-адрес клиента SMTP находится в одной из этих подсетей IPv4 (ipv4:
)
Принять, если IP-адрес клиента SMTP является записью A для домена (+a
)
+mx
)-all
)Ваша запись SPF для mail.domain.com
вероятно, можно упростить до этого:
mail.domain.com. IN TXT "v=spf1 ip4:xxx.xxx.xxx.xxx a mx:domain.com ?all"
При условии, что mail.domain.com
сам по себе не имеет записи MX. Если у него есть запись MX, добавьте mx
срок назад (до all
).
Почему у вас три разных записи SPF? Кроме того, почему у вас есть отдельная запись для mail.domain.com
, вы принимаете почту на этом доменном имени? В основном сингл domain.com TXT v=spf1 include:_spf.google.com +a +mx ~all
должно хватить.