SPF enregistre en détail les serveurs autorisés à envoyer du courrier pour votre domaine.
Les questions 1 à 3 résument bien l’intérêt de SPF: vous êtes censé répertorier les adresses de tous les serveurs autorisés à envoyer des messages provenant de votre domaine.
Si vous ne disposez pas d'une liste exhaustive à ce stade, il n'est généralement pas judicieux de configurer un enregistrement SPF. De plus, un domaine ne peut avoir qu'un seul enregistrement SPF. Vous devez donc combiner toutes les informations dans un seul enregistrement.
Les questions individuelles aident vraiment à casser la liste pour vous.
- vous demande d'autres domaines dont les serveurs de messagerie peuvent relayer le courrier de votre part; Si vous avez par exemple un serveur MX secondaire sur mail-relay.example.org et qu'il s'agit du serveur de messagerie principal (enregistrement MX) du domaine
example.org
, vous devez alors entrer mx:example.org
. Votre enregistrement SPF doit inclure l’enregistrement MX de votre propre domaine dans presque toutes les circonstances ( mx
).
- vous demande votre netblocks ip. Si vous avez des serveurs colocalisés à 1.2.3.0/28 et que votre espace adresse de bureau est 6.7.8.0/22, entrez
ip4:1.2.3.0/28 ip4:6.7.8.0/22
. L'espace IPv6 doit être ajouté comme par exemple ip6:2a01:9900:0:4::/64
.
- si (par exemple) vous avez également une machine éteinte dans le bureau de quelqu'un d'autre qui doit être autorisée à envoyer des messages de votre domaine, entrez-la également, avec par exemple
a:mail.remote.example.com
.
Les utilisateurs de votre téléphone mobile sont problématiques. S'ils envoient des e-mails en se connectant à votre serveur de messagerie en utilisant, par exemple, SMTP AUTH, et en les envoyant via ce serveur, vous les avez traités en indiquant l'adresse du serveur de messagerie entre (2). Si elles envoyez un email suffit juste de connecter à tout serveur de messagerie l'offre de fournisseur 3G / HSDPA, alors vous ne pouvez pas faire SPF de façon significative jusqu'à ce que vous avez Réarchitecture votre infrastructure e - mail afin que vous faites contrôler tous les points à partir desquels email prétendument de vous frappe de plein fouet l'Internet.
La question 4 est un peu différente et demande ce que les destinataires devraient faire avec les courriers électroniques prétendant provenir de votre domaine et ne provenant pas d'un des systèmes répertoriés ci-dessus. Il existe plusieurs réponses juridiques, mais les seules intéressantes sont ~all
(soft fail) et -all
(hard fail). ?all
(pas de réponse) est aussi inutile que ~all
(qv) et +all
est une abomination.
~all
est le choix simple; il indique aux personnes que vous avez répertorié un ensemble de systèmes autorisés à envoyer du courrier de votre part, mais que vous ne vous engagez pas en faveur d'une liste exhaustive, de sorte que les messages de votre domaine provenant d'autres systèmes peuvent toujours être légaux. Je vous exhorte à ne pas faire ça. Non seulement cela rend SPF complètement inutile, mais certains administrateurs de messagerie sur SF configurent délibérément leurs destinataires SPF pour les traiter ~all
comme le badge d'un spammeur. Si vous ne le faites pas -all
, ne vous embêtez pas du tout avec le SPF .
-all
est le choix utile; il indique aux personnes que vous avez répertorié les systèmes autorisés à envoyer des e-mails de votre part et qu'aucun autre système n'est autorisé à le faire. Ils peuvent donc refuser les e-mails provenant de systèmes non répertoriés dans votre enregistrement SPF. C'est le point de SPF, mais vous devez vous assurer que vous avez répertorié tous les hôtes autorisés à générer ou à relayer un courrier de votre part avant de l'activer .
Google est connu pour conseiller que
La publication d'un enregistrement SPF utilisant -all au lieu de ~ all peut entraîner des problèmes de diffusion.
eh bien oui. c'est tout l'intérêt du SPF . Nous ne pouvons pas savoir avec certitude pourquoi Google donne ce conseil, mais je soupçonne fortement que c'est pour empêcher les administrateurs systèmes qui ne savent pas exactement d'où provient leur courrier électronique. Si vous ne savez pas d'où provient tout votre courrier électronique, n'utilisez pas SPF . Si vous utilisez SPF, répertoriez tous les lieux d'où il provient et dites au monde en qui vous avez confiance, avec -all
.
Notez que rien de tout cela ne lie le serveur d'un destinataire; le fait que vous annonciez un enregistrement SPF n'oblige en aucun cas quelqu'un d'autre à l'honorer. Il appartient aux administrateurs d’un serveur de messagerie de choisir le courrier électronique qu’ils acceptent ou non. Je pense que SPF vous autorise à décliner toute responsabilité pour les courriers électroniques prétendant provenir de votre domaine, mais ne l’était pas. Tout administrateur de messagerie venant à vous et se plaignant que votre domaine leur envoie du spam alors qu'il n'a pas pris la peine de vérifier l'enregistrement SPF que vous leur avez annoncé et qui lui aurait dit que l'e-mail devait être rejeté peut être renvoyé avec une puce à l'oreille.
Depuis que cette réponse a été canonisée, je ferais mieux de dire quelques mots à propos de include
et redirect
. Ce dernier est plus simple; si votre enregistrement SPF, dites pour example.com
, dit redirect=example.org
, l’ example.org
enregistrement SPF remplace le vôtre. example.org
est également substitué à votre domaine dans ces recherches (par exemple, si example.org
l'enregistrement inclut le mx
mécanisme, la MX
recherche doit être effectuée sur example.org
et non sur votre propre domaine).
include
est largement mal compris et, comme le notent les auteurs de la norme, " le nom" inclure "a été mal choisi ". Si votre enregistrement SPF include
de example.org
« s dossier, puis example.org
» le dossier doit être examiné par un destinataire pour voir si elle donne une raison quelconque (y compris +all
) d'accepter votre e - mail . Si c'est le cas, votre courrier devrait passer. Si ce n'est pas le cas, le destinataire doit continuer à traiter votre enregistrement SPF jusqu'à l'atterrissage de votre all
mécanisme. Ainsi, -all
ou bien toute autre utilisation de all
except +all
, dans un include
enregistrement d, n’a aucun effet sur le résultat du traitement.
Pour plus d'informations sur les enregistrements SPF, http://www.openspf.org est une excellente ressource.
Ne le prenez pas mal, mais si vous avez un mauvais enregistrement SPF, vous pouvez empêcher une fraction importante d’Internet de recevoir des emails de votre part jusqu’à ce que vous le corrigiez. Vos questions suggèrent que vous n'êtes peut-être pas tout à fait au courant de ce que vous faites, et si tel est le cas, vous voudrez peut-être envisager de faire appel à une assistance professionnelle avant de faire quelque chose qui empêche l'envoi d'un courrier électronique à un très grand nombre de personnes.
Edit : merci pour vos gentils mots, ils sont très appréciés.
Le SPF est avant tout une technique visant à empêcher l'utilisation de joe-jobbing , mais certaines personnes semblent avoir commencé à l'utiliser pour tenter de détecter le spam. Certains d’entre eux peuvent en effet attribuer une valeur négative à votre absence totale d’enregistrement SPF, ou à un enregistrement trop large (par exemple a:3.4.5.6/2 a:77.5.6.7/2 a:133.56.67.78/2 a:203.54.32.1/2
, ce qui équivaut plutôt sournoisement à +all
), mais cela dépend de vous et vous ne pouvez rien faire à ce sujet.
Personnellement, je pense que SPF est une bonne chose, et vous devriez annoncer un enregistrement si votre structure de courrier actuelle le permet, mais il est très difficile de donner une réponse faisant autorité, valable pour tout l'internet, sur la manière dont les gens utilisent un enregistrement DNS conçu pour une spécifique, quand ils décident de l’utiliser à des fins différentes. Tout ce que je peux dire avec certitude est que si vous faites de la publicité d' un enregistrement SPF avec une politique de -all
, et vous obtenez mal, beaucoup de gens ne verront jamais votre courrier.
Edit 2 : supprimé suite aux commentaires et pour garder la réponse à jour.