Início / server / Perguntas / 819975
Accepted
LinuxSecurityFreak
Asked: 2016-12-11 07:31:14 +0800 CST

Criando registro SPF com vários endereços IP de envio

  • 772

Como não entendo nada de rede, devo recorrer a você em uma pergunta muito simples.

Disseram-me que preciso configurar um registro SPF para minimizar o risco de terminar meus e-mails em massa de negócios em uma pasta de spam; entre outras coisas que preciso fazer. Não estou enviando nenhum spam ou sei como terminar nele, só quero configurar meus registros DNS corretamente.

Eu tenho uma lista bastante longa de basicamente duas sub-redes de endereços IP que meu provedor de hospedagem usa para seus servidores de e-mail.

Eu li que deveria ser capaz de especificá-los em algum formato CIDR , desconhecido para mim.

Há um mês configurei, mas estou com problemas, às vezes meu SPF passa, às vezes não neste Mail-Tester :

v=spf1 a mx ~all

Mas como o nome do servidor de e-mail é resolvido para vários endereços IP de duas sub-redes diferentes.

Eu quero encurtar a lista de endereços IP especificados. E para torná-lo mais flexível, porque eles podem alterar os últimos bits desses endereços IP.

Minha ideia atual é assim:

v=spf1 a mx ip4:111.111.111.xxx/?? ip4:222.222.222.xxx/?? -all

Análise:

  1. Para especificar a versão do registro SPF:

    v=spf1

  2. Para permitir que o endereço IP do domínio envie e-mail para este domínio:

    a

  3. Para permitir que os servidores listados como MX enviem e-mail para este domínio:

    mx

  4. A primeira lista de endereços IP começando sempre com, por exemplo 111.111.111, e terminando com qualquer intervalo:

    ip4:111.111.111.xxx/??

  5. A segunda lista de endereços IP começando sempre com, por exemplo 222.222.222, e terminando com qualquer intervalo:

    ip4:222.222.222.xxx/??

  6. Para definir um comportamento estrito para que o não-conforme seja rejeitado:

    -all

A questão é o que devo colocar depois da barra? 24?

spf subnet

1 respostas

  1. Best Answer

    O que você deve colocar após a barra depende da sub-rede que contém os servidores de correio. Isso dependerá da sub-rede que foi alocada para o servidor de correio.

    Se você estiver usando um provedor responsável, ele terá um registro SPF que você pode incluir antes de sua apólice, que normalmente deve ser -all. As políticas especificadas em includes são ignoradas, portanto, não se preocupe se elas usarem uma ~allou outra política permissiva.

    Você pode consultar os registros SPF do Gmail, que usam vários registros de inclusão. Há um limite para quantas pesquisas de DNS serão feitas antes que seu registro SPF seja considerado inválido.

    Considere implementar DMARCcom um endereço de relatório se quiser rastrear problemas com SPFe/ou DKIM. Vários grandes provedores fornecem relatórios para domínios com DMARCconfigurado.

    Existem vários serviços que podem fornecer relatórios sobre como você configurou seu domínio de e-mail.

    Você pode querer considerar o uso de um domínio separado para e-mails em massa. Isso deve reduzir os danos à reputação de seus domínios de e-mail, se houver problemas com uma correspondência em massa.

    Fiz um blog sobre como proteger sua reputação de e-mail com SPF , entre outros tópicos. Você também pode achar úteis os recursos em meu post Detecting Email Server Forgery .

    • 3

relate perguntas