Kurz zusammengefasst: Wir hatten SPF zu freizügig ( +all) und Spammer haben dies genutzt, um massenhaft Spam „von“ unserer Domain zu versenden. Wir haben das eingeschränkt ~allund DMARC hinzugefügt (allerdings nicht DKIM), jetzt vertrauen andere Anbieter unseren echten E-Mails nicht mehr. Wie bringen wir sie dazu, unserem Domain-/SPF-Eintrag zu vertrauen, ohne ihn wieder zu freizügig zu machen?
Ich arbeite jetzt schon eine Weile für dieses Unternehmen. Die DNS-Verwaltung wird jedoch von anderen Personen durchgeführt.
Mir ist aufgefallen, dass unser SPF-Eintrag ziemlich schlecht war (buchstäblich +allam Ende) und die Leute, die DNS verwalten, argumentierten, dass dies notwendig sei, da viele Server automatische wöchentliche/tägliche Berichte senden. Bei genauerem Hinsehen verwenden sie jedoch nicht unseren Mailing-Domänennamen. Daher schlug ich vor, den SPF-Eintrag so zu korrigieren, dass er zumindest ~allam Ende steht, und einen DMARC-Eintrag hinzuzufügen, um Berichte über Nachrichten zu erhalten, die als Spam betrachtet werden.Wir konnten DKIM nicht hinzufügen, da es mehrere Systeme gibt, die das Senden von E-Mails erfordern (alle werden über GMail-Server mit ihren SMTP-Proxy-Servern gesendet).
Nachdem wir dies getan hatten, erhielten wir eine große Anzahl von Berichten über Spam-Nachrichten mit unserem Domänennamen als Absender. Alle von ihnen sahen wie Spam aus und wurden definitiv nicht von unseren Servern gesendet.
Dies ist natürlich unser Ziel, aber jetzt sehe ich, dass unsere legitimen Nachrichten auch als Spam gesendet werden, obwohl alle sendenden Server in SPF hinzugefügt wurden (wir verwenden Gmail für geschäftliche Zwecke).
Q:Wie können wir dies beheben und andere Anbieter dazu bringen, E-Mails zu vertrauen, die von Hosts in unserem (jetzt gültigen) SPF gesendet werden?
Aktualisierung:Nachfolgend finden Sie Beispiele für SPF- und DMARC-Einträge, die wir haben:
v=spf1 ip4:xx.xx.xx.xx ip4:yy.yy.yy.yy ip4:zz.zz.zz.zz include:_spf.google.com ~all
v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=none; fo=1; adkim=r; aspf=s
Antwort1
Führen Sie DKIM für jeden legitimen Absender durch. Wird dies für alle Absender durchgeführt, die in Ihrem SPF-Eintrag aufgeführt sind?
Ändern Sie ~ALL (Softfail) in -ALL (Hardfail).
Wenn Sie sicher sind, dass Sie alle legitimen E-Mails authentifiziert haben, seit einiger Zeit p=none haben und die Berichte legitime E-Mails nicht als nicht authentifiziert anzeigen, wechseln Sie von
p=nonezup=reject. Dadurch erhält Ihre E-Mail-Authentifizierung sozusagen Biss, da Posteingangsanbieter tatsächlich beginnen, nicht authentifizierte E-Mails abzulehnen.
Nachdem Sie auf p=reject gewechselt sind, müssen Sie unbedingt darauf achten, dass Ihre E-Mail-Authentifizierung immer auf dem neuesten Stand ist. Das heißt, wenn sich die IP-Adresse ändert oder Sie den Anbieter wechseln usw., müssen Sie unbedingt Ihren SPF-Eintrag bearbeiten und DKIM einrichten.
Dies wird Ihnen helfen, Ihren Ruf zu verbessern, da Spammer und Betrüger Ihren Domänennamen nicht mehr fälschen können. Dies wird dazu beitragen, Ihren Ruf wiederherzustellen, da Spammer Ihren Domänennamen nicht mehr ruinieren, indem sie damit schreckliche Nachrichten versenden.
Außerhalb der E-Mail-Authentifizierung können Sie auch sicherstellen, dass Sie Best Practices für E-Mails verwenden. Betreiben Sie beispielsweise E-Mail-Marketing? Wenn ja, verwenden Sie Double-Opt-in? Deaktivieren Sie regelmäßig E-Mail-Adressen, die über einen bestimmten Zeitraum (z. B. 3 oder 6 Monate) nicht mehr reagiert haben, damit Sie keine E-Mails an Personen senden, die aus irgendeinem Grund nie auf Ihre E-Mails reagieren.
Überprüfen Sie alle IP-Adressen, von denen Sie senden, auf Blacklists usw. und beantragen Sie die Entfernung, vorausgesetzt, Sie haben die Praktiken, die Sie auf die Blacklist gebracht haben, bereinigt. Wenn es sich um eine gemeinsam genutzte IP-Adresse handelt, die auf einer ernsthaften Blacklist steht, müssen Sie möglicherweise mit dem ESP über den gemeinsam genutzten IP-Block sprechen, auf dem Sie sich befinden.