TL;DR: У нас был слишком разрешительный SPF ( +all), и спамеры использовали это, чтобы отправлять тонны спама «с» нашего домена. Мы ограничили это ~allи добавили DMARC (но не DKIM), теперь другие провайдеры не доверяют нашим настоящим письмам. Как заставить их доверять нашему домену/записи SPF, не делая ее снова слишком разрешительной?
Я работаю в этой компании уже некоторое время. Однако управление DNS осуществляется другими людьми.
Я заметил, что наша запись SPF была довольно плохой (буквально +allв конце), и люди, которые управляют DNS, утверждали, что это необходимо, поскольку многие серверы отправляют автоматические еженедельные/ежедневные отчеты. Однако при ближайшем рассмотрении они не используют наше почтовое доменное имя. Поэтому я предложил исправить запись SPF, чтобы она была хотя бы ~allв конце, и добавить запись DMARC для получения отчетов о сообщениях, которые считаются спамом.Мы не смогли добавить DKIM, поскольку существует несколько систем, требующих отправки электронных писем (все они проксируются через серверы GMail с их прокси-серверами smtp).
После того, как мы это сделали, мы начали получать большое количество отчетов о спам-сообщениях с нашим доменным именем в качестве отправителя. Все они выглядят как спам и определенно не отправлены с наших серверов.
Очевидно, именно этого мы и хотели добиться, но теперь я вижу, что наши законные сообщения также попадают в спам, хотя все отправляющие серверы добавлены в SPF (мы используем Gmail для бизнеса).
В:Как нам исправить ситуацию и заставить других провайдеров доверять электронным письмам, отправленным хостами в нашем (теперь действительном) SPF?
ОБНОВЛЕНИЕ:Ниже приведены примеры имеющихся у нас записей SPF и DMARC:
v=spf1 ip4:xx.xx.xx.xx ip4:yy.yy.yy.yy ip4:zz.zz.zz.zz include:_spf.google.com ~all
v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=none; fo=1; adkim=r; aspf=s
решение1
DO DKIM для каждого законного отправителя. Это делается для всех отправителей, которых вы показываете в своей записи SPF?
Измените ~ALL (мягкий сбой) на -ALL (жесткий сбой).
Когда вы уверены, что аутентифицировали всю легальную почту и некоторое время имели p=none, а отчеты не показывают легальную почту как неаутентифицированную, тогда переходите от
p=none.p=rejectЭто сделает вашу аутентификацию электронной почты, так сказать, зубастой, поскольку поставщики почтовых ящиков фактически начнут отклонять неаутентифицированную почту.
После того как вы измените значение на p=reject, важно убедиться, что вы действительно хорошо поддерживаете актуальность аутентификации вашей электронной почты, то есть, если изменится IP-адрес или вы смените провайдера или что-то еще, крайне важно отредактировать вашу запись SPF, а также настроить DKIM.
Это поможет вам очистить свою репутацию, поскольку спамеры и мошенники больше не смогут подделывать ваше доменное имя. Это поможет начать восстанавливать репутацию, поскольку спамеры больше не будут портить ваше доменное имя, отправляя с его помощью ужасные сообщения.
Помимо аутентификации электронной почты, вы также можете убедиться, что используете лучшие практики для электронной почты. Например, занимаетесь ли вы email-маркетингом? Если да, то делаете ли вы двойную подписку? Периодически ли вы отменяете адреса электронной почты, которые не использовались в течение определенного периода времени, скажем, 3 месяца или 6 месяцев, чтобы не отправлять письма людям, которые по какой-либо причине никогда не взаимодействуют с вашими электронными письмами.
Проверьте все IP-адреса, с которых вы отправляете, на наличие черных списков и т. д. и, если вы устранили практику, которая привела вас в черный список, подайте заявку на удаление. Если это общий IP-адрес, который находится в черном списке серьезных черных списков, то вам, возможно, следует поговорить с ESP о блокировке общего IP-адреса, в котором вы находитесь.