Wie erstelle ich einen SPF-Eintrag für mail.example.comden Fall, dass E-Mails für die Domäne von zwei Standorten gesendet werden:
Der Mailserver befindet sich an der öffentlichen IP-Adresse,
198.51.100.111auch bekannt alsmail.example.com.Der Webserver, der sich unter der öffentlichen IP-Adresse befindet
203.0.113.222.
Antwort1
Es wäre einfach zu sagen, dass man einfach beide Adressen zum Datensatz hinzufügen muss:
"v=spf1 +ip4:198.51.100.111 +ip4:203.0.113.222 ~all"
...aber da steckt noch ein bisschen mehr dahinter.
- Sie versenden wahrscheinlich keine E-Mails mit
mail.example.comdemUmschlag Absender, aberexample.com, was markiert, wo diese Richtlinie, die beides erlaubt, sein sollte. - HELO-Hostnamen können und sollten auch mit SPF geschützt werden.
- Für jeden A-Record solltest du einen SPF-Record veröffentlichen. Sonst könnten deine Subdomains als Umschlagabsender missbraucht werden.
Diese werden ausführlicher erläutert indiese Antwort.
Wenn Sie also beispielsweise
example.com. IN A 203.0.113.222
www.example.com. IN A 203.0.113.222
mail.example.com. IN A 198.51.100.111
example.com. IN MX mail.example.com.
Ihre SPF-Einträge könnten wie folgt aussehen:
example.com. IN TXT "v=spf1 +ip4:198.51.100.111 +ip4:203.0.113.222 ~all"
www.example.com. IN TXT "v=spf1 +a ~all"
mail.example.com. IN TXT "v=spf1 +a ~all"
Obwohl der ip4Mechanismus DNS-Anfragen reduziert,brauchenum es zu benutzen:
example.com. IN TXT "v=spf1 +mx +a ~all"
Hier wird das mxzu ip4:198.51.100.111& azu erweitert ip4:203.0.113.222.
DukönnteErsetzen Sie ~all(weicher Fehler) durch -all(harter Fehler). Allerdings, z. B. Freddie LeemansDie ultimativen SPF / DKIM / DMARC Best Practices 2023schlägt aus gutem Grund die Verwendung von Soft-Fails vor:
Die Verwendung von
~all(softfail) anstelle von-all(fail) hat sich als bewährte Vorgehensweise erwiesen, da letzteres dazu führen kann, dass empfangende Server die Nachricht bei der SMTP-Übertragung blockieren, anstatt mögliche DKIM-Signaturen und DMARC-Richtlinien auszuwerten.