DNS MX 记录和 SMTP 服务器

您的 SPF 记录指定了两种机制，并且邮件的源 IP 必须至少匹配其中一种：

• 域的A记录（在本例中为顶点，因为您在 之后没有指定任何内容a）和/或
• 其中一条MX记录必须解析为源 IP。

假设mail并smtp解析到不同的 IP 地址，删除MX记录smtp意味着它不再满足mx机制。

SPF 没有继承，这对您的设置意味着两个不同的事情。

首先，SPF 记录允许或拒绝 IP 地址和 CIDR 子网，因此除了ip4和ip6机制（和all）之外的所有内容实际上都是对其他 DNS 记录的引用。

• 没有and/or的a机制（RFC 7208, 5.3 ）指的是目标的 IP 地址（和记录）。:<domain>/<prefix-length>AAAAA

• 没有and/or的mx机制 ( RFC 7208, 5.4 )指的​​是记录的 IP 地址，例如=> & 。:<domain>/<prefix-length>MXMX 11 smtp.example.com.A 192.0.2.2AAAA 2001:DB8::2

对于两者，example.com是example.com，不是*.example.com。这种继承也是不可能的，因为它需要无限量的额外 DNS 查询。应尽可能避免使用除ip4/以外的任何ip6机制以最小化 DNS 上的负载，因此，还有 10 个查询的硬 DNS 查找限制，之后 SPF 实现必须返回permerror（RFC 7208, 4.6.4）。

TL;DR：直接用相应的and替换所有aandmxip4ip6机制，例如

example.com. IN TXT "v=spf1 +ip4:192.0.2.2 +ip6:2001:DB8::2 -all"

此外，没有从example.comto继承sub.example.com。这意味着 SPF 记录example.com不保护具有A记录的子域。因此，对于每条A记录，您都需要一个额外的 SPF 记录，否则有人可以[email protected]用作信封发件人。

• 如果您想将主机名本身用作信封发件人：

  smtp.example.com. IN TXT "v=spf1 +ip4:192.0.2.2 +ip6:2001:DB8::2 -all"
  

• 或者，如果您不需要它：

  smtp.example.com. IN TXT "v=spf1 -all"
  

让我们扩展您的配置以获得更好的示例，并删除不必要的MX记录，假设smtp.example.com专用于出站邮件。在这里，A域顶点的 也指向 Web 服务器：

mail    IN A      192.0.2.1
mail    IN AAAA   2001:DB8::1
smtp    IN A      192.0.2.2
smtp    IN AAAA   2001:DB8::2
www     IN A      192.0.2.3
www     IN AAAA   2001:DB8::3

@       IN A      192.0.2.3
@       IN AAAA   2001:DB8::3
@       IN MX 10  mail.example.com.

让我们添加 SPF 记录，每个主机都可以在其中发送邮件example.com：

@       IN TXT    "v=spf1 +ip4:192.0.2.0/30 +ip6:2001:DB8::0/126 -all"
mail    IN TXT    "v=spf1 +ip4:192.0.2.1 +ip6:2001:DB8::1 -all"
smtp    IN TXT    "v=spf1 +ip4:192.0.2.2 +ip6:2001:DB8::2 -all"
www     IN TXT    "v=spf1 +ip4:192.0.2.3 +ip6:2001:DB8::3 -all"