サードパーティのSPFレコードを追加するが、自分のドメインのレコードがない
サードパーティのサービスがメールを送信しています。彼らは彼らの送信メールで私たちのドメイン名を使用しています。彼らは私たちが彼らのためにSPFレコードを設定することを要求しました。
現在、独自のドメインに定義されたSPFレコードはありません。これは、サードパーティが「なりすまし」をしているものと同じです。
私の懸念は、私たち自身のレコードも定義せずにサードパーティのレコードを追加すると、サーバーから送信されたメールが拒否される可能性があることです。
私の懸念は有効ですか?
SPFレコードがない場合、受信者は通常、安全に失敗し、メールを受け入れます(ただし、変更は始まっています)。 SPFレコードを提供したらすぐにmustすべての正当なメール送信者を含めてください。そうしないと、リストされていないものが偽造ソースとして扱われる可能性があります。
厳密に言えば、~allまたは?allを含めて、すべてのメール送信者をリストすることを避けることができますが、これを行うと、テスト以外のSPFレコードのメリットは得られません。それ以外は正確です。
理想的には、サードパーティにはすでに汎用SPFレコードがあり、include:spf.thirdparty.dom要素をレコードに追加するだけで済みます。彼らがそうしないなら、あなたは彼らのためにあなた自身の記録を作成して、とにかくそれを自分でチェーンしたいと思うかもしれません。
たとえば、contoso.comの場合:
thirdparty1.spf.contoso.com txt 'v=spf1 ... -all' # list their mail senders for you
thirdparty2.spf.contoso.com txt 'v=spf1 ... -all' # list their mail senders for you
spf.contoso.com txt 'v=spf1 ... -all' # list your mail senders
contoso.com txt 'v=spf1 include:spf.contoso.com include:thirdpart1.spf.contoso.com include:thirdparty2.spf.contoso.com -all'
いくつかの役立つリソース:
- DMARCはSPFとDKIMを包含しており、検討する価値があります。受信メールの検証にGoogle、Yahooなどが積極的に使用しています https://dmarc.org/overview/
- SPFレコードを設定する際のベストプラクティスのリスト http://www.openspf.org/Best_Practices
- 名前にもかかわらず、SPFレコードを設定するための便利なレシピ http://www.openspf.org/FAQ/Common_mistakes
他のサーバーのニュートラルルールを使用して、サードパーティサービスをSPFレコードに入れることができます。
?all
そして、少なくともあなた自身のメールサーバーを含めてください:
+mx
ドメインにSPFレコードがあることは良いことです。他の人のためのホワイトリストとニュートラルの追加を開始します。すべてのサーバーで最新のSPFレコードが得られたら、デフォルトを失敗(-all)またはソフト失敗(〜all)に変更できます。
良いドキュメントはこちら と openspf.org には他にもたくさんの役立つ情報があります