SPF registra en detalle qué servidores pueden enviar correo para su dominio.
Las preguntas 1-3 realmente resumen todo el punto de SPF: se supone que debe enumerar las direcciones de todos los servidores que están autorizados para enviar correo proveniente de su dominio.
Si no tiene una lista exhaustiva en este momento, generalmente no es una buena idea configurar un registro SPF. Además, un dominio solo puede tener un registro SPF, por lo que deberá combinar toda la información en un solo registro.
Las preguntas individuales realmente ayudan a desglosar la lista por usted.
- le pide otros dominios cuyos servidores de correo pueden retransmitir su correo; si tiene, por ejemplo, un servidor MX secundario en mail-relay.example.org, y ese es el servidor de correo principal (registro MX) para el dominio
example.org
, entonces debe ingresar mx:example.org
. Su registro SPF debe incluir el registro MX de su propio dominio en casi todas las circunstancias ( mx
).
- te pide tus ip netblocks. Si tiene servidores ubicados en 1.2.3.0/28, y el espacio de direcciones de su oficina es 6.7.8.0/22, ingrese
ip4:1.2.3.0/28 ip4:6.7.8.0/22
. El espacio IPv6 se debe agregar como, por ejemplo ip6:2a01:9900:0:4::/64
.
- si (por ejemplo) también tiene una máquina apagada en la oficina de otra persona a la que se le debe permitir enviar correo desde su dominio, ingrese eso también, por ejemplo
a:mail.remote.example.com
.
Los usuarios de su teléfono móvil son problemáticos. Si envían un correo electrónico conectándose a su servidor de correo usando, por ejemplo, SMTP AUTH, y enviando a través de ese servidor, entonces usted se ha ocupado de ellos enumerando la dirección del servidor de correo en (2). Si envían correo electrónico con sólo conectarse a cualquier servidor de correo oferta del proveedor 3G / HSDPA, entonces usted no puede hacer SPF manera significativa hasta que haya rearchitected su infraestructura de correo electrónico para que haga controlar cada punto desde el que tienen por objeto correo electrónico sea de usted golpea el Internet.
La pregunta 4 es un poco diferente y pregunta qué deben hacer los destinatarios con el correo electrónico que dice ser de su dominio que no proviene de uno de los sistemas enumerados anteriormente. Hay varias respuestas legales, pero las únicas interesantes son ~all
(falla suave) y -all
(falla difícil). ?all
(sin respuesta) es tan inútil como ~all
(qv), y +all
es una abominación.
~all
es la simple elección; le dice a la gente que ha enumerado un grupo de sistemas que están autorizados a enviarle correo, pero que no se compromete a que esa lista sea exhaustiva, por lo que el correo de su dominio que proviene de otros sistemas aún podría ser legal. Te insto a que no hagas eso. No solo hace que SPF sea completamente inútil, sino que algunos administradores de correo en SF configuran deliberadamente sus receptores SPF para tratarlos ~all
como la insignia de un spammer. Si no lo vas a hacer -all
, no te molestes con SPF en absoluto .
-all
es la opción útil le informa a las personas que usted ha enumerado los sistemas que pueden enviarle correos electrónicos, y que ningún otro sistema está autorizado para hacerlo, por lo que pueden rechazar correos electrónicos de sistemas que no figuran en su registro SPF. Este es el objetivo de SPF, pero debe asegurarse de haber enumerado todos los hosts que están autorizados para originar o retransmitir su correo antes de activarlo .
Se sabe que Google aconseja que
Publicar un registro SPF que use -todos en lugar de ~ todos puede ocasionar problemas de entrega.
bueno, sí, puede; ese es el objetivo de SPF . No podemos saber con certeza por qué Google da este consejo, pero sospecho firmemente que es para evitar que los administradores de sistemas que no saben exactamente de dónde proviene su correo electrónico causen problemas de entrega. Si no sabe de dónde proviene todo su correo electrónico, no use SPF . Si va a usar SPF, enumere todos los lugares de donde proviene y dígale al mundo que confía en esa lista -all
.
Tenga en cuenta que nada de esto es vinculante en el servidor de un destinatario; el hecho de que anuncies un registro SPF de ninguna manera obliga a nadie más a honrarlo. Depende de los administradores de cualquier servidor de correo determinado qué correo electrónico eligen aceptar o rechazar. Lo que creo que SPF hace es permitirle rechazar cualquier otra responsabilidad por el correo electrónico que dice ser de su dominio, pero no lo fue. Cualquier administrador de correo que venga a usted quejándose de que su dominio les está enviando correo no deseado cuando no se han molestado en verificar el registro SPF que anuncia que les habría dicho que el correo electrónico debería ser rechazado puede ser enviado con una pulga en el oído.
Como esta respuesta se ha canonizado, es mejor que diga algunas palabras sobre include
y redirect
. Este último es más simple; si su registro SPF, por ejemplo example.com
, dice redirect=example.org
, entonces example.org
el registro SPF reemplaza al suyo. example.org
también se sustituye por su dominio en esas búsquedas (p. ej., si example.org
el registro incluye el mx
mecanismo, la MX
búsqueda debe realizarse en example.org
, no en su propio dominio).
include
es ampliamente incomprendido, y como señalan los autores de la norma, " el nombre 'incluir' fue mal elegido ". Si su registro SPF include
s example.org
's registro, a continuación, example.org
' s registro debe ser examinado por un receptor para ver si se da cualquier motivo (incluyendo +all
) para aceptar su correo electrónico . Si lo hace, su correo debería pasar. Si no es así, el destinatario debe continuar procesando su registro SPF hasta aterrizar en su all
mecanismo. Por lo tanto, -all
o cualquier otro uso de all
excepto +all
, en un include
registro d, no tiene ningún efecto en el resultado del procesamiento.
Para obtener más información sobre los registros SPF, http://www.openspf.org es un excelente recurso.
No tome esto de la manera incorrecta, pero si obtiene un registro SPF incorrecto, puede evitar que una fracción significativa de Internet reciba correos electrónicos de usted hasta que lo arregle. Sus preguntas sugieren que es posible que no esté completamente al tanto de lo que está haciendo, y si ese es el caso, es posible que desee considerar obtener asistencia profesional antes de hacer algo que le impida enviar correos electrónicos a una gran cantidad de personas.
Editar : gracias por sus amables palabras, son muy apreciadas.
El SPF es principalmente una técnica para evitar el trabajo de Joe , pero algunas personas parecen haber comenzado a usarlo para tratar de detectar el spam. De hecho, algunos de ellos pueden atribuir un valor negativo al hecho de que no tenga ningún registro SPF o un registro demasiado amplio (p a:3.4.5.6/2 a:77.5.6.7/2 a:133.56.67.78/2 a:203.54.32.1/2
. Ej. , Que se iguala a escondidas +all
), pero eso depende de ellos y no hay mucho que pueda hacer al respecto.
Personalmente, creo que SPF es algo bueno, y debe anunciar un registro si su estructura de correo actual lo permite, pero es muy difícil dar una respuesta autorizada, válida para todo Internet, sobre cómo las personas están usando un registro DNS diseñado para un propósito específico, cuando deciden usarlo para un propósito diferente. Todo lo que puedo decir con certeza es que si se hace publicidad de un registro SPF con una política de -all
, y hacerlo mal, mucha gente nunca verá su correo.
Edición 2 : eliminada de acuerdo con los comentarios, y para mantener la respuesta actualizada.
1.
Que "no está completamente al tanto " escenario que describe. Le permite hacer toda la configuración de una manera real, incluidas las pruebas reales, antes de apretar el gatillo final.2.
Puntajes de spam. Si realmente no puede controlar todos sus puntos de salida de correo, ~ todos pueden ayudar a los puntajes de spam para aquellos sistemas que coinciden con su registro (por supuesto: también pueden dañar el puntaje para aquellos sistemas que fallan).~all
un indicador de correo no deseado en todo el dominio, de los cuales hay al menos uno en SF.TXT
oSPF
que debe usar ambos (idénticos), la próxima especificación SPF propuesta abandonaSPF
ya que la absorción ha sido menor de lo esperado y en su mayoría solo causa problemas de interoperabilidad. Con eso en mente, parece desaconsejable solo mirar hacia arribaSPF
.Lo importante para su configuración es la configuración del servidor que finalmente envía el correo electrónico a Internet. Dices que envías correos electrónicos a través de SMTP. Entonces, en términos de dirección IP, lo que importa es la configuración de su servidor SMTP (pregunta 2)
Si está utilizando un tercero, como gmail, para enviar sus correos electrónicos, debe incluir sus registros spf de esta manera: incluir: _spf.google.com (el asistente de ajax no parece saberlo).
Para el "Cómo estricto", deje el "fallo suave" (~ todos) si no está seguro, pero de lo contrario "rechazar" (-todos) es el camino a seguir una vez que su configuración esté limpia.
fuente