Ich versuche, SPF für meine Domäne richtig zu konfigurieren. Wir haben zwei MX-Server, die nur E-Mails empfangen, und zwei ausgehende Relay-Server, die wir voraussichtlich in unserem SPF-Eintrag auflisten werden.
Wir haben auch einen Mailserver in einer Subdomain namens mail.sub.example.com. Er versendet nur Mails für diese Subdomain. Die beiden MX-Server sind auch für eingehende Mails für diese Domain zuständig.
Das Problem, das ich habe, ist, dass Benutzer ihre E-Mails häufig von diesem Subdomain-Server an Gmail und andere Anbieter weiterleiten, wo sie die Funktionen dieser Remote-Anbieter nutzen, um E-Mails zu senden als[email geschützt].
Wäre es dann ratsam, den SPF-Eintrag von Google als Include hinzuzufügen?
Ich befürchte, dass dadurch ganz Google für die Möglichkeit offengelegt wird, meine Domain zu fälschen. Wenn sie nicht aufgeführt ist, verlieren wir den Vorteil der Sicherheit, die SPF in der gesamten E-Mail-Kette bietet.
Ich möchte auch beim Empfang einer E-Mail an einen der MX-Server aus meiner eigenen Domäne vom SPF-Schutz profitieren und ihn verwenden, um meine eigenen Benutzer vor dem Erhalt einer gefälschten E-Mail von einem Benutzer in unserer Domäne zu schützen.
Antwort1
Sub und Beispiel sollten separate SPF-Einträge haben und die Server einschließen, von denen Sie E-Mails senden:
Ich würde vorschlagen, den Mechanismus „ip4:“ zu verwenden, nicht A, MX oder PTR. Speichern Sie diese DNS-Lookups für „include:“, wenn Sie später ESPs von Drittanbietern hinzufügen.
-alles ablehnen
Informieren Sie sich auch über DMARC, da es bei großen Postfachanbietern eine höhere Erfolgsquote beim Schutz vor Spoofing bietet.
Gmail sendet E-Mails von Gmail, aber im Namen von[email geschützt], daher wird der SPF für Gmail und nicht für example.com verwendet