TL; DR:SPFの許容度が高すぎ(+all
)、スパマーはこれを使用してドメインから大量のスパムを送信しました。これを~all
に制限し、DMARC(DKIMではありません)を追加しました。現在、他のプロバイダーは実際の電子メールを信頼していません。ドメイン/ SPFレコードを再び許容しすぎずに信頼させるにはどうすればよいですか?
私はこの会社でしばらく働いています。ただし、DNS管理は他の人が行います。
私たちのSPFレコードがかなり悪いことに気づきました(文字通り最後に+all
)。DNSを管理する人々は、多くのサーバーが自動の週次/日次レポートを送信するため、これが必要であると主張しました。ただし、綿密な調査では、郵送ドメイン名は使用されていません。そこで、SPFレコードを修正して、最後に少なくとも~all
を追加し、スパムと見なされるメッセージのレポートを受信するためにDMARCレコードを追加することを提案しました。 電子メールの送信を必要とするシステムが複数あるため、DKIMを追加できませんでした(すべて、SMTPサーバーを備えたGMailサーバーを介してプロキシされます)。
そうすると、ドメイン名を送信者としてスパムメッセージに関する多数のレポートを受信し始めました。それらはすべてスパムのように見え、サーバーから送信されたものではありません。
明らかにこれは私たちが達成したかったことですが、すべての送信サーバーがSPFで追加されているにもかかわらず(私たちはビジネスにGmailを使用しています)、正当なメッセージもスパムに送信されていることがわかりました。
Q:これから回復し、他のプロバイダーに、(現在有効な)SPFでホストから送信された電子メールを信頼させるにはどうすればよいですか?
PD:以下は、SPFおよびDMARCレコードの例です。
v=spf1 ip4:xx.xx.xx.xx ip4:yy.yy.yy.yy ip4:zz.zz.zz.zz include:_spf.google.com ~all
v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=none; fo=1; adkim=r; aspf=s
正当な送信者ごとにDKIMを実行します。 SPFレコードに表示するすべての送信者に対して実行されていますか?
〜ALL(softfail)を-ALL(hardfail)に変更します。
すべての正当な電子メールを認証し、しばらくの間p = noneがあり、レポートに正当な電子メールが認証されていないものとして表示されていないことを確認したら、p=none
からp=reject
に進みます。これにより、受信トレイプロバイダーが実際に認証されていない電子メールを拒否し始めるため、電子メール認証にはいわば歯があります。
P = rejectに変更したら、メール認証を最新の状態に保つことが本当に重要であることを確認することが重要です。つまり、IPアドレスが変更されたり、プロバイダーが変更されたりした場合は、SPFレコードを編集することが重要です。また、DKIMを設定します。
これにより、スパマーや詐欺師がドメイン名を偽装できなくなるため、評判を一掃することができます。スパマーがひどいメッセージを送信してドメイン名を台無しにすることはもうないので、これは担当者の再構築を開始するのに役立ちます。
電子メール認証以外に、電子メールのベストプラクティスを使用していることを確認することもできます。たとえば、メールマーケティングを行っていますか?もしそうなら、あなたはダブルオプトインをしますか?一定の期間(たとえば3か月または6か月)に関与していない電子メールアドレスを定期的に廃止して、何らかの理由で電子メールに関与したことがない人に送信しないようにしますか。
送信元のすべてのIPアドレスでブラックリストなどを確認し、ブラックリストに登録されたプラクティスをクリーンアップしたと仮定して、削除を申請します。深刻なブラックリストにブラックリストに載っている共有IPアドレスの場合は、現在の共有IPブロックについてESPに相談する必要があります。