TL;DR: Teníamos un SPF demasiado permisivo ( +all) y los spammers lo utilizaban para enviar toneladas de spam "desde" nuestro dominio. Lo restringimos ~ally agregamos DMARC (aunque no DKIM), ahora otros proveedores no confían en nuestros correos electrónicos reales. ¿Cómo hacer que confíen en nuestro dominio/registro SPF sin volverlo demasiado permisivo?
He trabajado para esta empresa desde hace un tiempo. Sin embargo, la gestión de DNS la realizan otras personas.
Me di cuenta de que nuestro registro SPF era bastante malo (literalmente +allal final) y las personas que administran DNS argumentaron que esto es necesario ya que muchos servidores envían informes semanales/diarios automáticos. Sin embargo, tras una inspección minuciosa, no utilizan nuestro nombre de dominio de correo. Entonces sugerí arreglar el registro SPF para que tenga al menos ~allal final y agregar el registro DMARC para recibir informes de mensajes que se consideran spam.No pudimos agregar DKIM ya que hay varios sistemas que requieren el envío de correos electrónicos (todos proxy a través de servidores GMail con sus servidores proxy smtp).
Una vez hecho esto comenzamos a recibir una gran cantidad de informes sobre mensajes spam con nuestro nombre de dominio como remitente. Todos ellos parecen spam y definitivamente no se envían desde nuestros servidores.
Obviamente, esto es lo que queríamos lograr, pero ahora veo que nuestros mensajes legítimos también se envían a spam, aunque todos los servidores de envío están agregados en SPF (usamos Gmail para negocios).
P:¿Cómo podemos recuperarnos de esto y hacer que otros proveedores confíen en los correos electrónicos enviados por los hosts en nuestro SPF (ahora válido)?
ACTUALIZACIÓN:A continuación se muestran ejemplos de registros SPF y DMARC que tenemos:
v=spf1 ip4:xx.xx.xx.xx ip4:yy.yy.yy.yy ip4:zz.zz.zz.zz include:_spf.google.com ~all
v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=none; fo=1; adkim=r; aspf=s
Respuesta1
HAGA DKIM para cada remitente legítimo. ¿Se hace para todos los remitentes que muestra en su registro SPF?
Cambie ~ALL (fallo suave) a -ALL (fallo duro).
Cuando esté seguro de haber autenticado todos los correos electrónicos legítimos y haya tenido p=none durante un tiempo y los informes no muestren los correos electrónicos legítimos como no autenticados, pase de
p=noneap=reject. Esto hará que la autenticación de su correo electrónico tenga éxito, por así decirlo, ya que los proveedores de la bandeja de entrada comenzarán a rechazar el correo electrónico no autenticado.
Una vez que haya cambiado a p=reject, es importante asegurarse de que sea realmente bueno manteniendo actualizada su autenticación de correo electrónico, lo que significa que si cambia una dirección IP o cambia de proveedor o lo que sea, es fundamental editar su registro SPF. y también configurar DKIM.
Esto le ayudará a limpiar su reputación, ya que los spammers y los estafadores ya no podrán falsificar su nombre de dominio. Eso ayudará a comenzar a reconstruir el representante porque los spammers ya no arruinarán su nombre de dominio enviando mensajes horribles con él.
Además de la autenticación de correo electrónico, también puede asegurarse de utilizar las mejores prácticas para el correo electrónico. Por ejemplo, ¿haces marketing por correo electrónico? Si es así, ¿haces doble suscripción? ¿Retira periódicamente las direcciones de correo electrónico que no han interactuado durante un cierto período de tiempo, digamos 3 o 6 meses, para no enviarlas a personas que, por cualquier motivo, nunca interactúan con sus correos electrónicos?
Verifique todas las direcciones IP desde las que envía en busca de listas negras y demás y, suponiendo que haya limpiado las prácticas que lo colocaron en la lista negra, solicite ser eliminado. Si se trata de una dirección IP compartida que está en la lista negra de listas negras graves, es posible que deba hablar con el ESP sobre el bloqueo de IP compartida en el que se encuentra.