SPF (Sender Policy Framework) parece ser una buena forma de combatir los spammers / spoofing.
Sin embargo, a pesar de leer las explicaciones varias veces, no entiendo cómo configurarlo correctamente.
Digamos que tengo a mi servidor en a.x.com
el que los ejércitos www.x.com
y b.x.com
, y c.x.com
, y así sucesivamente.
También tengo a.co.uk
b.net
c.info
y así sucesivamente, cada uno de estos con una variedad de subdominios, todos alojados enx.com
Para todos estos dominios y subdominios, quiero permitir que se envíe correo desde a.x.com
También me gustaría que todos permitan el correo enviado desde Gmail para todos estos dominios.
¿Cómo configuro esto con SPF?
¿Puedo establecer un registro SPF para x.com
(o a.x.com
) y luego para todo lo demás simplemente tener un simple include / pointer para x.com
el registro, o tendría que hacerse de manera diferente?
¿Alguien puede proporcionar algunos registros SPF para el ejemplo anterior?
Nota: La segunda parte de mi pregunta ha sido respondida (use " v=spf1 include:x.com -all
" para incluir / señalar x.com
el registro), pero la parte clave de qué configurar x.com
permanece sin respuesta ...
fuente
Respuestas:
No puede evitar tener que alterar los archivos de zona para los dominios que no sean x.com, pero puede ahorrarse muchos problemas definiendo políticas comunes alojadas en un dominio y utilizando la
redirect
palabra clave SPF en los otros dominios. Ejemplo:x.com
dominio:_spf.google.com
es el registro que contiene el registro de Gmail SPF. No estoy seguro si está documentado. Teóricamente deberías,include:gmail.com
pero eso es una redirección_spf.google.com
y ha habido al menos un parche SPF ampliamente utilizado para qmail que no lo siguió correctamente (se solucionó en agosto de 2008 pero aún podría implementarse). Las dos políticas son ejemplos, por supuesto: Tener más de uno con varios niveles de rigor es extremadamente útil cuando se depura, ya que solo tiene que alterar un nombre corto en el dominio de destino en lugar del copypasting propenso a errores.o
etc. Estoy usando
redirect
, noinclude
, para hacer que la verificación SPF reemplace completamente el registro evaluado actualmente con el que estoy redirigiendo.include
no hace eso, por ejemplo, un-all
al final de uninclude
no hace que la evaluación se detenga (include
es un gran nombre inapropiado). Debe evitar usarinclude
cuando quiera "alias" un registro SPF de otro dominio, ya que es bastante frágil. si olvida accidentalmente el final -todos, puede hacer que su SPF completo en ese dominio sea ineficaz.Editar: Tenga en cuenta, sin embargo, que debe estar en guardia si desea permitir que los servidores de Gmail sean remitentes. El chaptcha de Gmail se ha descifrado, lo que significa que es posible automatizar los registros de cuentas, lo que significa que Gmail se puede usar (indirectamente) como un relé abierto (recibo decenas de solicitudes de registro de spambot por semana para el foro de discusión de mi empresa, todo usando direcciones de correo electrónico de gmail.com - y esas direcciones están activas, he permitido que algunas las revisen para fines de verificación). Además, cualquier persona con una cuenta de Gmail puede omitir la verificación de SPF si está familiarizado con las partes de uwsername de las direcciones de correo electrónico en sus dominios .
fuente
v=spf1 include:_spf.google.com ~all
en lugar de-all
, suponiendo que lo haya entendido correctamente, ref. google.com/support/a/bin/answer.py?answer=178723Sí, puede incluir la configuración de uno de sus dominios en los registros SPF para todos los demás dominios. Establecer el registro SPF de los otros dominios en lo siguiente debería ser el truco:
fuente
¿Has intentado usar la herramienta web en http://www.openspf.org/ ? Puede que te resulte un poco más fácil lidiar con esto ...
Simplemente ingrese su dominio en el cuadro superior derecho y haga clic en el botón Ir. A partir de ahí, deberías poder configurar las cosas rápidamente.
fuente
El estándar, RFC 4408 , proporciona algunos ejemplos que están muy cerca de lo que desea. Aquí hay un extracto del archivo de zona de x.com:
Notas:
fuente
Sí, debe agregar el registro SPF específico a cada dominio individualmente.
La razón de esto es que el único registro de tipo de alias (útil) en el DNS es el
CNAME
registro. Sin embargo, elCNAME
registro hace que se produzca un alias para TODOS los tipos de RR en un conjunto de RR: no hay forma de decir "CNAME
el registro SPF pero no losMX
registros "fuente