DR: Tínhamos SPF muito permissivo ( +all) e os spammers usaram isso para enviar toneladas de spam "de" nosso domínio. Restringimos isso ~alle adicionamos DMARC (mas não DKIM), agora outros provedores não confiam em nossos e-mails reais. Como fazer com que eles confiem em nosso registro de domínio/SPF sem torná-lo muito permissivo novamente?
Já trabalho nesta empresa há algum tempo. Porém o gerenciamento do DNS é feito por outras pessoas.
Percebi que nosso registro SPF estava muito ruim (literalmente +allno final) e as pessoas que gerenciam o DNS argumentaram que isso é necessário, já que muitos servidores enviam relatórios semanais/diários automáticos. No entanto, após uma inspeção mais detalhada, eles não usam nosso nome de domínio de correspondência. Então sugeri corrigir o registro SPF para ter pelo menos ~allno final e adicionar o registro DMARC para receber relatórios de mensagens que são consideradas spam.Não foi possível adicionar o DKIM, pois existem vários sistemas que exigem o envio de e-mails (todos com proxy via servidores GMail com seus servidores proxy smtp).
Depois de fazer isso, começamos a receber um grande número de relatórios sobre mensagens de spam tendo nosso nome de domínio como remetente. Todos eles parecem spam e definitivamente não foram enviados de nossos servidores.
Obviamente, era isso que queríamos alcançar, mas agora vejo que nossas mensagens legítimas também são enviadas para spam, embora todos os servidores de envio sejam adicionados em SPF (usamos o Gmail para negócios).
P:Como podemos nos recuperar disso e fazer com que outros provedores confiem nos e-mails enviados pelos hosts em nosso (agora válido) SPF?
Atualização:Abaixo estão exemplos de registros SPF e DMARC que temos:
v=spf1 ip4:xx.xx.xx.xx ip4:yy.yy.yy.yy ip4:zz.zz.zz.zz include:_spf.google.com ~all
v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=none; fo=1; adkim=r; aspf=s
Responder1
FAÇA DKIM para cada remetente legítimo. Isso é feito para todos os remetentes que você mostra no seu registro SPF?
Altere ~ALL (softfail) para -ALL (hardfail).
Quando você tiver certeza de que autenticou todos os e-mails legítimos e teve p=none por um tempo e os relatórios não mostram e-mails legítimos como não autenticados, passe de
p=noneparap=reject. Isso fará com que sua autenticação de e-mail tenha força, por assim dizer, já que os provedores de caixa de entrada começarão a rejeitar e-mails não autenticados.
Depois de mudar para p=reject, é importante ter certeza de que você é realmente bom em manter sua autenticação de e-mail atualizada, ou seja, se um endereço IP mudar ou você mudar de provedor ou qualquer outra coisa, é fundamental editar seu registro SPF e também configure o DKIM.
Isso o ajudará a limpar sua reputação, pois spammers e golpistas não poderão mais falsificar seu nome de domínio. Isso ajudará a reconstruir o representante porque os spammers não arruinarão mais o seu nome de domínio enviando mensagens horríveis com ele.
Fora da autenticação de e-mail, você também pode verificar se está usando as práticas recomendadas para e-mail. Por exemplo, você faz marketing por email? Em caso afirmativo, você faz double opt-in? Você periodicamente desativa endereços de e-mail que não interagiram por um determinado período de tempo, digamos 3 ou 6 meses, para não enviar para pessoas que, por qualquer motivo, nunca interagem com seus e-mails.
Verifique todos os endereços IP de onde você envia para listas negras e assim por diante e, supondo que você tenha eliminado as práticas que o colocaram na lista negra, solicite a remoção. Se for um endereço IP compartilhado que está na lista negra de listas negras sérias, talvez seja necessário conversar com o ESP sobre o bloco de IP compartilhado em que você está.