Мне предложили настроить записи SPF для своего домена, и я это сделал. Я использую gsuite для электронной почты и правильно настроил записи mx для отправки почты через gsuite. Мое веб-приложение отправляет электронные письма через API Sendgrid, и я также использую Mailchimp для маркетинговых писем.
Я считаю, что следующая запись TXT является правильной:
"v=spf1 a mx include:_spf.google.com include:sendgrid.com include:servers.mcsv.net ~all"
Однако я провел несколько тестов, которые показали, что запись содержит слишком много запросов DNS. Что здесь лучше всего делать?
Как вы знаете, записи SPF ограничены 10 запросами DNS. Если они приводят к большему количеству ошибок, запись завершается ошибкой.
Вот в чем проблема:
include:sendgrid.com
Это для собственной внутренней корпоративной почты Sendgrid. Он имеет собственный большой набор включений и приводит к довольно большому количеству запросов DNS.
Это не что вы должны были использовать. Клиенты Sendgrid должны добавить в свою запись SPF:
include:sendgrid.net
Заметка сеть, а не com. Это должно уменьшить количество запросов DNS ниже 10 и получить рабочую (и в основном правильную) запись SPF.
P.S. Я говорю в основном правильно потому что ваша запись заканчивается ~all, который следует заменить на -all после того, как вы закончите тестирование записи. В ~all делает всю запись бесполезной для того, чтобы фактически остановить подделку почты.
Прежде всего, если вы пользуетесь услугами Sendgrid, вам следует включить запись в sendgrid.net (предназначено для этой цели), а не sendgrid.com (похоже, отражает, какие почтовые службы Sendgrid использует сама компания, включая такие вещи, как Google Mail).
Исправление, которое устраняет несколько запросов на другие вещи, которые вам не важны.
Во-вторых, что делает mx в вашей записи SPF расширить до?
Как вы включаете _spf.google.com в SPF, я ожидаю, что ваш MX записи, скорее всего, являются серверами входящей почты Google Mail, которые вам совершенно бессмысленно добавлять в SPF (и добавляет дополнительные поиски).
Что касается a, что находится по этому адресу и отправляет ли он почту? Если да, то почему бы просто не добавить IP-адрес в SPF вместо косвенной ссылки?