Como faço para criar um registro SPF para mail.example.comquando o correio do domínio for enviado de dois locais:
O servidor de e-mail localizado no endereço IP público,
198.51.100.111também conhecido comomail.example.com.O servidor web que está localizado no endereço IP público
203.0.113.222.
Responder1
Seria fácil dizer que basta adicionar os dois endereços ao registro:
"v=spf1 +ip4:198.51.100.111 +ip4:203.0.113.222 ~all"
...mas há um pouco mais nisso.
- Você provavelmente não está enviando e-mails com
mail.example.comoremetente do envelope, masexample.com, que marca onde deveria estar esta política que permite ambos. - Os nomes de host HELO também podem e devem ser protegidos com SPF.
- Você deve publicar um registro SPF para cada registro A. Caso contrário, seus subdomínios poderão ser usados como remetentes de envelopes.
Eles são explicados com mais detalhes emesta resposta.
Então, se você tem, por exemplo,
example.com. IN A 203.0.113.222
www.example.com. IN A 203.0.113.222
mail.example.com. IN A 198.51.100.111
example.com. IN MX mail.example.com.
Seus registros SPF poderiam ser assim:
example.com. IN TXT "v=spf1 +ip4:198.51.100.111 +ip4:203.0.113.222 ~all"
www.example.com. IN TXT "v=spf1 +a ~all"
mail.example.com. IN TXT "v=spf1 +a ~all"
Embora o ip4mecanismo reduza as consultas DNS, você nãoprecisarpara usá-lo:
example.com. IN TXT "v=spf1 +mx +a ~all"
Aqui, o mxexpande para ip4:198.51.100.111& apara ip4:203.0.113.222.
Vocêpoderiasubstitua ~all(falha suave) por -all(falha grave). No entanto, por exemplo, Freddie LeemanAs melhores práticas definitivas de SPF / DKIM / DMARC 2023sugere o uso de falhas suaves por um bom motivo:
O uso de
~all(softfail) em vez de-all(fail) é uma prática recomendada, pois este último pode fazer com que os servidores receptores bloqueiem a mensagem na transmissão SMTP em vez de avaliar possíveis assinaturas DKIM e políticas DMARC.