私は自分のドメインの SPF を適切に構成しようとしています。メールを受信するだけの MX サーバーが 2 つあり、SPF レコードにリストする予定の送信リレー サーバーが 2 つあります。
また、mail.sub.example.com というサブドメインにメール サーバーがあります。このサーバーは、このサブドメイン宛てのメールのみを送信します。2 つの MX サーバーは、このドメイン宛てのメールの受信も担当します。
私が抱えている問題は、ユーザーがこのサブドメインサーバーからメールをGmailや他のプロバイダに転送し、これらのリモートプロバイダの機能を使用してメールを送信することが多いことです。[メールアドレス]。
その場合、Google の SPF レコードを include として追加することをお勧めしますか?
これを行うと、Google 全体が私のドメインを偽装できるようになるのではないかと心配しています。リストに載っていないと、メール チェーン全体にわたって SPF が提供するセキュリティを維持するという利点が失われます。
また、自分のドメインから MX サーバーの 1 つにメールを受信するときに SPF 保護のメリットを活用し、自分のドメインのユーザーから偽造メールが届かないように自分のユーザーを保護したいと考えています。
答え1
サブと例には別々の SPF レコードが必要です。メールの送信元となるサーバーを含めます。
後でサードパーティの ESP を追加する場合は、A、MX、または PTR ではなく、ip4: メカニズムを使用して、それらの DNS ルックアップを include: 用に保存することをお勧めします。
-すべて拒否
また、DMARC も検討してください。大規模なメールボックス プロバイダーでは、なりすまし防止の成功率が高くなります。
GmailはGmailからメールを送信しますが、[メールアドレス]なので、example.comではなくgmailのSPFを使用します。