У меня в DNS есть обычная SPF-запись Google Apps:
v=spf1 include:_spf.google.com ~all
и теперь, поскольку мы используем ZenDesk, я также должен добавить:
v=spf1 include:support.zendesk.com ~all
Если они будут объединены в один вот так:
v=spf1 include:_spf.google.com include:support.zendesk.com ~all
Да, это правильно, если только _spf.google.com включает перенаправить (чего нет). В таком случае, include:_spf.google.com следует переместить в конец списка, чтобы избежать замены всех записей после включения на redirect
Также имейте в виду, что RFC (IETF RFC4408) указывает, что должно быть разрешено не более 10 поисков MX или PTR, после чего проверка отдельной записи должна быть прекращена. Это необходимо для того, чтобы синтаксический анализатор SPF не оказался в ловушке сценария бесконечного поиска (потенциального DoS-атак).
Как это применимо в реальной жизни?
Предположим, что оба включения используют механизм «mx», и что у каждого есть 6 различных записей MX. Теперь при первом включении (_spf.google.com) был обработан, осталось, так сказать, 4 запроса. Если проверяемый MTA находится на одной из двух последних отдельных записей MX, для второй включите (support.zendesk.com), проверка может действительно закончиться неудачей, даже если вы правильно включили все записи.
Это не относится к описанному выше сценарию, но его стоит принять во внимание, поскольку не все компании думают об этом при проектировании своей структуры SPF. Просто попробуйте найти, скажем, TXT для ebay.com и попробуйте подсчитать количество запросов, которые могут привести к ;-)
Да, это сработает. Это также правильный способ сделать это.