我正在嘗試為我的網域正確配置 SPF。我們有兩個僅接收郵件的 MX 伺服器,以及兩個我們希望在 SPF 記錄中列出的出站中繼伺服器。
我們也在名為 mail.sub.example.com 的子網域中擁有一個郵件伺服器。它僅發送該子網域的郵件。這兩個 MX 伺服器也負責該網域的傳入郵件。
我遇到的問題是用戶經常將郵件從該子網域伺服器轉發到 Gmail 和其他供應商,他們使用這些遠端提供者的功能將郵件發送為[電子郵件受保護]。
那麼是否建議將 Google 的 SPF 記錄新增為包含內容?
我擔心這樣做會讓所有 Google 都能夠欺騙我的網域。如果未列出,我們將失去維護 SPF 在整個電子郵件鏈中提供的安全性的優勢。
當我從自己的網域中向其中一台 MX 伺服器接收電子郵件時,我還希望受益於 SPF 保護,並使用它來保護我自己的用戶免遭來自我們網域中用戶的偽造電子郵件。
答案1
Sub 和 example 應具有單獨的 SPF 記錄,包括您傳送電子郵件的伺服器:
我建議使用 ip4: 機制,而不是 A、MX 或 PTR,保存這些 DNS 查找以用於 include: 如果您稍後添加第 3 方 ESP。
-全部拒絕
也要考慮 DMARC,因為它對大型郵箱提供者的欺騙保護具有更高的成功率。
Gmail 會從 Gmail 但代表發送電子郵件[電子郵件受保護],因此它將使用 gmail 的 SPF,而不是 example.com