Предположим, у меня есть домен, foo.com, для которого я настраиваю записи SPF.
Предположим, у меня есть десятки почтовых серверов (все работают на *.foo.com), с которого я буду отправлять электронные письма.
Эти почтовые серверы НЕ будут включены в запись MX моего домена; записи MX отличаются, поскольку у нас есть отдельные серверы входящей почты.
Как мне настроить запись SPF для внесения моих серверов отправки электронной почты в белый список?
Я заглянул в ptr флаг, но, похоже, не рекомендуется, потому что «он увеличивает накладные расходы и открывает доступ к домену неавторизованным третьим лицам»
Вы могли бы использовать a механизм с выделенным поддоменом, например
example.com. IN TXT "v=spf1 a:mailers.example.com -all"
а затем введите все свои почтовые серверы в DNS, например
mailers.example.com. IN A 198.51.100.23
mailers.example.com. IN A 198.51.100.50
mailers.example.com. IN A 203.0.113.40
Это позволяет вам просто добавить новый DNS A записывать каждый раз, когда вы добавляете новый почтовый сервер, без необходимости каждый раз изменять SPF, т.е. добавлять новый ip4 механизм.
Все становится намного проще, если почтовые серверы находятся в одних и тех же подсетях, т.е. вы просто увеличиваете емкость сервера, но не получаете новые IP-адреса от разных интернет-провайдеров. Многие механизмы имеют в своем синтаксисе префикс подсети, но я бы рекомендовал использовать ip4 (и ip6) для этого, например
example.com. IN TXT "v=spf1 ip4:198.51.100.0/24 -all"
Что-то вроде этого:
"v=spf1 mx:foo.com a:senders.foo.com -all"
Разрешил бы ваши машины MX и каждую запись A под senders.foo.com и никакие другие.