Hinzufügen eines SPF-Datensatzes für einen Drittanbieter, aber keinen für meine eigene Domain

Wir haben einen Drittanbieter, der in unserem Namen eine E-Mail sendet. Sie verwenden unseren Domainnamen in ihren ausgehenden E-Mails. Sie haben darum gebeten, dass wir einen SPF-Datensatz für sie konfigurieren.

Wir haben derzeit keinen SPF-Eintrag für unsere eigene Domain definiert. Dies ist derselbe, den der Dritte "fälscht".

Ich mache mir Sorgen, dass E-Mails, die von unseren Servern stammen, abgelehnt werden könnten, wenn wir einen Datensatz für einen Drittanbieter hinzufügen, ohne auch unseren eigenen zu definieren.

Ist mein Anliegen berechtigt?

email spf

— k1DBLITZ
quelle

Wie schwer wird es für Sie sein, eine zu erstellen?

— Michael Hampton

Nicht schwierig. Aus meiner Sicht besteht das potenzielle Problem darin, dass wir derzeit mehrere Dienste von Drittanbietern verwenden, die unsere Domain fälschen. Wenn ich nicht für alle SPF-Einträge hinzufüge, kann ich durch Hinzufügen von nur 1 die anderen ungültig machen, wenn Die zufällig empfangenden Mailserver suchen den SPF-Eintrag für unsere Domain und stellen fest, dass die Namen / IPs nicht übereinstimmen.

— k1DBLITZ

Antworten:

Wenn Sie keinen SPF-Eintrag haben, sind die Empfänger im Allgemeinen nicht sicher und akzeptieren Ihre E-Mail (obwohl sich dies allmählich ändert). Sobald Sie einen SPF-Eintrag bereitstellen, müssen Sie alle legitimen E-Mail-Absender angeben, da andernfalls die nicht aufgeführten als mögliche Fälschungsquellen behandelt werden könnten.

Streng genommen können Sie alle Ihre E-Mail-Absender einschließen ~alloder ?allvermeiden, aber wenn Sie dies tun, erhalten Sie keinen Vorteil aus dem SPF-Datensatz, außer wenn Sie testen, ob er ansonsten korrekt ist.

Im Idealfall verfügen Ihre Drittanbieter bereits über einen generischen SPF-Datensatz, und Sie können das include:spf.thirdparty.domElement einfach zu Ihrem Datensatz hinzufügen . Wenn dies nicht der Fall ist, möchten Sie möglicherweise einen eigenen Datensatz für sie erstellen und ihn trotzdem selbst verketten, damit Sie ihn administrativ einfach verwalten können.

Zum Beispiel, wenn Sie contoso.com:

thirdparty1.spf.contoso.com txt 'v=spf1 ... -all' # list their mail senders for you
thirdparty2.spf.contoso.com txt 'v=spf1 ... -all' # list their mail senders for you
spf.contoso.com txt 'v=spf1 ... -all'             # list your mail senders
contoso.com txt 'v=spf1 include:spf.contoso.com include:thirdpart1.spf.contoso.com include:thirdparty2.spf.contoso.com -all'

Einige nützliche Ressourcen:

DMARC subsumiert SPF und DKIM und ist eine Überlegung wert. Es wird aktiv von Google, Yahoo und anderen zur Überprüfung eingehender E-Mails verwendet ( https://dmarc.org/overview/).
Eine Liste der Best Practices beim Einrichten eines SPF-Datensatzes finden Sie unter http://www.openspf.org/Best_Practices
Trotz des Namens ein nützliches Rezept zum Einrichten eines SPF-Datensatzes: http://www.openspf.org/FAQ/Common_mistakes

— Roaima
quelle

Haben Sie eine Quelle dazu?

— Aaron Hall

@AaronHall sind diese Ressourcenlinks ausreichend? Wenn nicht, können Sie klären, was Sie suchen

— Roaima

Sie können Ihren Drittanbieter-Service in einen SPF-Datensatz mit einer neutralen Regel für andere Server einfügen:

?all

Und schließen Sie mindestens Ihre eigenen Mailserver ein mit:

+mx

Es ist eine gute Sache, einen SPF-Eintrag in Ihrer Domain zu haben. Beginnen Sie mit dem Hinzufügen einer weißen Liste und einer neutralen Liste für andere. Wenn Sie einen aktuellen SPF-Eintrag mit all Ihren Servern haben, können Sie die Standardeinstellung auf "Fehlschlagen" (-all) oder "Softfail" (~ all) ändern.

Hier gibt es eine gute Dokumentation und viele andere nützliche Informationen auf openspf.org

— mick
quelle

Ein Teil des Problems, mit dem ich konfrontiert bin, ist, dass ich keine aktuelle Liste aller anderen Unternehmen habe, die in unserem Namen E-Mails senden. Wollen Sie damit sagen, dass ich sie zu den SPF-Datensätzen hinzufügen kann, wenn ich Ihren Ansatz verwende, ohne dass dies Auswirkungen auf unseren Produktionsmailflow hat? Können Sie eine bestimmte Beispielsyntax mit fiktiven Domänen bereitstellen? Ich habe die von Ihnen verlinkten Informationen überprüft und sie sind sehr hilfreich, aber ich kann es mir nicht leisten, dies falsch zu verstehen.

— k1DBLITZ

Sie können dies schrittweise tun: Fügen Sie zuerst Ihren Drittanbieter-Service, Ihren mx und neutral für alle anderen hinzu: "a: your3rppart mx? All". Aktualisieren Sie dann Ihren SPF mit anderen Servern. Wir denken, Sie haben alle die Standardrichtlinie auf Softfail oder Fail

— ändern

Im Ernst, SPF ohne -allist nicht nur völlig sinnlos, sondern wird von einigen Administratoren auch als aktives Zeichen für Spammer verwendet. Tu es nicht.

— MadHatter

"Alles ist besser als - alles, wenn Sie nicht wissen, was Sie tun, gelten die DMARC-Richtlinien immer noch? Trotzdem - alle und viele große ESPs kümmern sich nicht mehr um - alles wegen der ersten Aussage

— Jacob." Evans

Im Ernst, SPF ohne -all ist nicht nur völlig sinnlos, sondern wird von einigen Administratoren auch als aktives Zeichen für Spammer verwendet. Tun Sie es nicht - dann sollten sie ihre defekten Systeme korrigieren, die nicht der SPF-Spezifikation entsprechen. " Wenn Domaininhaber SPF-Einträge veröffentlichen, wird EMPFOHLEN, dass sie mit" -all " enden " - ietf.org/rfc/rfc4408.txt - Dies ist nicht obligatorisch. SoftFail ist ein eindeutiger Status.

— TessellatingHeckler