TL; DR: У нас был слишком разрешительный SPF (+all
), и спамеры использовали это для отправки тонны спама «с» нашего домена. Мы ограничили это ~all
и добавил DMARC (но не DKIM), теперь другие провайдеры не доверяют нашим реальным электронным письмам. Как заставить их доверять нашей записи домена / SPF, не делая ее снова слишком разрешительной?
Я работаю в этой компании некоторое время. Однако управление DNS осуществляется другими людьми.
Я заметил, что наша SPF-запись была довольно плохой (буквально +all
в конце), и люди, которые управляют DNS, утверждали, что это необходимо, поскольку многие серверы отправляют автоматические еженедельные / ежедневные отчеты. Однако при ближайшем рассмотрении они не используют имя нашего почтового домена. Поэтому я предложил исправить запись SPF, чтобы было хотя бы ~all
в конце и добавьте запись DMARC для получения отчетов о сообщениях, которые считаются спамом. Мы не смогли добавить DKIM, поскольку существует несколько систем, требующих отправки электронных писем (все они проксируются через серверы GMail с их smtp-прокси-серверами).
Как только мы это сделали, мы начали получать большое количество сообщений о спаме с нашим доменным именем в качестве отправителя. Все они выглядят как спам и определенно не отправляются с наших серверов.
Очевидно, это то, чего мы хотели достичь, но теперь я вижу, что наши законные сообщения также отправляются в спам, хотя все отправляющие серверы добавлены в SPF (мы используем Gmail для бизнеса).
Вопрос: Как мы можем исправить это и заставить других провайдеров доверять электронным письмам, отправленным хостами в нашем (теперь действующем) SPF?
UPD: Ниже приведены примеры имеющихся у нас записей SPF и DMARC:
v=spf1 ip4:xx.xx.xx.xx ip4:yy.yy.yy.yy ip4:zz.zz.zz.zz include:_spf.google.com ~all
v=DMARC1; p=none; rua=mailto:dmarc.report@company.com; ruf=mailto:dmarc.report@company.com; sp=none; fo=1; adkim=r; aspf=s
СДЕЛАЙТЕ DKIM для каждого законного отправителя. Это сделано для всех отправителей, указанных в записи SPF?
Измените ~ ALL (softfail) на -ALL (hardfail).
Если вы уверены, что аутентифицировали всю допустимую электронную почту и какое-то время имели p = none, а в отчетах не отображается законная электронная почта как не прошедшая аутентификацию, то переходите из p=none
к p=reject
. Это сделает вашу аутентификацию электронной почты, так сказать, зубчатой, поскольку провайдеры почтовых ящиков фактически начнут отклонять неаутентифицированную электронную почту.
После того, как вы изменили значение на p = reject, важно убедиться, что вы действительно хорошо умеете поддерживать свою аутентификацию по электронной почте в актуальном состоянии, то есть, если IP-адрес изменится, или вы измените провайдера или что-то еще, очень важно отредактировать свою запись SPF. а также настроить DKIM.
Это поможет вам очистить вашу репутацию, поскольку спамеры и мошенники больше не смогут подделывать ваше доменное имя. Это поможет начать восстанавливать репутацию, потому что спамеры больше не будут портить ваше доменное имя, отправляя с ним ужасные сообщения.
Помимо аутентификации по электронной почте, вы также можете убедиться, что используете лучшие практики для электронной почты. Например, вы занимаетесь маркетингом по электронной почте? Если да, то делаете ли вы двойную подписку? Вы периодически закрываете адреса электронной почты, которые не использовались определенное количество времени, например, 3 или 6 месяцев, чтобы вы не отправляли людям, которые по какой-либо причине никогда не взаимодействуют с вашими электронными письмами.
Проверьте все IP-адреса, с которых вы отправляете сообщения, на наличие черных списков и т. Д., И, при условии, что вы очистили методы, благодаря которым вы попали в черный список, подайте заявку на удаление. Если это общий IP-адрес, который находится в черном списке серьезных черных списков, вам может потребоваться поговорить с ESP о блоке общего IP-адреса, в котором вы находитесь.