¿Cómo creo un registro SPF para mail.example.comcuando el correo del dominio se envía desde dos ubicaciones?
El servidor de correo ubicado en la dirección IP pública ,
198.51.100.111también conocida comomail.example.com.El servidor web que se encuentra en la dirección IP pública
203.0.113.222.
Respuesta1
Sería fácil decir que simplemente agregue ambas direcciones al registro:
"v=spf1 +ip4:198.51.100.111 +ip4:203.0.113.222 ~all"
...pero hay un poco más en esto.
- Probablemente no estés enviando correo con
mail.example.comel nombreremitente del sobre, peroexample.com, que marca dónde debería estar esta política que permite ambas cosas. - Los nombres de host HELO también pueden y deben protegerse con SPF.
- Debes publicar un registro SPF para cada registro A. De lo contrario, sus subdominios podrían usarse como remitente de sobre.
Estos se explican con más detalle enesta respuesta.
Entonces, si tienes, por ejemplo,
example.com. IN A 203.0.113.222
www.example.com. IN A 203.0.113.222
mail.example.com. IN A 198.51.100.111
example.com. IN MX mail.example.com.
Sus registros SPF podrían verse así:
example.com. IN TXT "v=spf1 +ip4:198.51.100.111 +ip4:203.0.113.222 ~all"
www.example.com. IN TXT "v=spf1 +a ~all"
mail.example.com. IN TXT "v=spf1 +a ~all"
Aunque el ip4mecanismo reduce las consultas DNS, nonecesidadpara usarlo:
example.com. IN TXT "v=spf1 +mx +a ~all"
Aquí, mxse expande hacia ip4:198.51.100.111y ahacia ip4:203.0.113.222.
Túpodríareemplace ~all(fallo suave) con -all(fallo duro). Sin embargo, por ejemplo, Freddie LeemanLas mejores prácticas definitivas para SPF/DKIM/DMARC 2023sugiere usar fallas suaves por una buena razón:
El uso de
~all(softfail) en lugar de-all(fail) es una buena práctica, ya que este último puede hacer que los servidores receptores bloqueen el mensaje en la transmisión SMTP en lugar de evaluar posibles firmas DKIM y políticas DMARC.