Я пытаюсь правильно настроить SPF для своего домена. У нас есть два сервера MX, которые принимают только почту, и два сервера ретрансляции исходящей почты, которые мы ожидаем указать в нашей записи SPF.
У нас также есть почтовый сервер в поддомене mail.sub.example.com. Он отправляет почту только для этого поддомена. Два сервера MX также отвечают за входящую почту для этого домена.
Проблема, с которой я сталкиваюсь, заключается в том, что пользователи часто пересылают свою почту с этого сервера поддомена на Gmail и других провайдеров, где они используют функции этих удаленных провайдеров для отправки почты как user@sub.example.com.
Было бы целесообразно добавить запись SPF Google в качестве включения?
Я обеспокоен тем, что это откроет возможности для всего Google подделывать мой домен. Если его нет в списке, мы теряем возможность поддерживать безопасность, которую SPF обеспечивает по всей цепочке электронной почты.
Я также хотел бы воспользоваться защитой SPF при получении электронной почты на один из серверов MX из моего собственного домена и ее использовании для защиты моих собственных пользователей от получения поддельной электронной почты от пользователя в нашем домене.
Sub и example должны иметь отдельные записи SPF, включая серверы, с которых вы отправляете электронную почту:
Я бы предложил использовать механизм ip4:, а не A, MX или PTR, сохранить эти DNS-запросы для include: если вы добавите сторонние ESP позже.
-все отклонить
Также обратите внимание на DMARC, так как он будет иметь более высокий уровень успешной защиты от спуфинга с крупными поставщиками почтовых ящиков.
Gmail будет отправлять электронную почту из Gmail, но от имени user@example.com, поэтому он будет использовать SPF для Gmail, а не example.com.