Назад | Перейти на главную страницу

Каковы правильные записи SPF для локальной доставки и доставки из Google Apps?

Недавно мы переместили наш серверный стек в новую ферму данных, и некоторые из наших клиентов испытывают проблемы с отправкой почты из их учетных записей GApps. До переноса сервера у нас не было проблем, но я подозреваю, что, возможно, смена IP и т. Д. Может иметь какое-то отношение к этому.

Мы обнаружили, что проблема заключалась в том, что некоторые домены имели неправильные заголовки SPF и не включали записи Google SPF.

Я добавил записи TXT во все домены со следующимиv=spf1 include:_spf.google.com ~all который решил проблему с доставляемостью, но я недостаточно понимаю SPF, чтобы знать, все ли записи TXT в нашем шаблоне DNS в порядке.

Если домен использует Google Apps для отправки почты, мы отключаем локальную маршрутизацию почты для этого домена, чтобы внутренняя почта не проходила, и все записи MX, отличные от GApps, удаляются.

В настоящее время на каждом домене настроено следующее:

domain.com.      TXT v=spf1 +a +mx -all
domain.com.      TXT v=spf1 include:_spf.google.com ~all
mail.domain.com. TXT v=spf1 ip4:xxx.xxx.xxx.xxx a mx a:mail.domain.com mx:domain.com ?all

Итак, мой вопрос (ы):

Подходят ли указанные выше записи (одни тесты SPF дают положительные результаты, другие - отрицательные) как глобальные для всех доменов, которые добавляются на сервер?

Можно ли объединить две указанные выше DNS-записи domain.com в одну?

Можно ли включить в Google запись SPF для доменов, которые не отправляются через Google Apps?

Нужно ли удалять другую запись TXT, если они используют Google Apps? Я не думаю, что потребуется удалить запись mail.domain.com, поскольку почта не оттуда исходит, но это может вызвать какие-либо проблемы, если они есть.

У нас более 100 доменов, работающих на одном стеке серверов, и обновлять их все не будет весело, но я бы предпочел, чтобы это было сделано правильно.

Заранее спасибо.

У вас должна быть только одна запись SPF для имени хоста, поэтому вы можете объединить две в одну. SPF - это в основном список механизмов (которые соответствуют чему-то) и действий, которые необходимо предпринять для этого механизма. Вы можете иметь столько механизмов в вашей записи SPF, сколько захотите. Для domain.com Вы хотите это:

domain.com. IN  TXT "v=spf1 include:_spf.google.com +a +mx -all"

Это означает, что проверяются следующие параметры (результатом является первый механизм сопоставления).

  • Получите запись SPF в _spf.google.com и оцените это (include:). Запись SPF Google выглядит так:

    _spf.google.com descriptive text "v=spf1 ip4:216.239.32.0/19 ip4:64.233.160.0/19 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:209.85.128.0/17 ip4:66.102.0.0/20 ip4:74.125.0.0/16 ip4:64.18.0.0/20 ip4:207.126.144.0/20 ip4:173.194.0.0/16 ?all"
    
  • Принять, если IP-адрес клиента SMTP находится в одной из этих подсетей IPv4 (ipv4:)

  • Принять, если IP-адрес клиента SMTP является записью A для домена (+a)

  • Принять, если IP-адрес клиента SMTP является записью MX для домена (+mx)
  • Отклонить все (-all)

Ваша запись SPF для mail.domain.com вероятно, можно упростить до этого:

mail.domain.com.    IN  TXT "v=spf1 ip4:xxx.xxx.xxx.xxx a mx:domain.com ?all"

При условии, что mail.domain.com сам по себе не имеет записи MX. Если у него есть запись MX, добавьте mx срок назад (до all).

Почему у вас три разных записи SPF? Кроме того, почему у вас есть отдельная запись для mail.domain.com, вы принимаете почту на этом доменном имени? В основном сингл domain.com TXT v=spf1 include:_spf.google.com +a +mx ~all должно хватить.