SPFレコードとは何ですか、またどのように構成しますか?

49

これは、SPFレコードの設定に関する標準的な質問です。

単一の外部IPを共有する多くのコンピューターがあるオフィスがあります(アドレスが静的か動的かはわかりません)。各コンピューターは、Outlookを使用してIMAP経由でメールサーバーに接続します。電子メールはそれらのコンピューターによって送受信され、一部のユーザーは携帯電話でも電子メールを送受信します。

私はhttp://wizard.easyspf.com/を使用してSPFレコードを生成していますが、ウィザードのいくつかのフィールド、具体的には不明です。

  1. このドメインのメールを送信または中継する可能性のある他のドメインを入力してください
  2. このドメインのメールを発信または中継するネットブロックのCIDR形式のIPアドレスを入力します
  3. このドメインにメールを送信または中継できる他のホストを入力してください
  4. SPF対応のMTAはこれをどの程度厳しくすべきですか?

最初のいくつかの質問について私はかなり確信しています...十分な情報を提供したことを願っています。

domain-name-system  email  spf 
下品な
ソース

回答:

68

SPFレコードは、ドメインにメールを送信できるサーバーを詳細に記録します。

質問1〜3は、SPFの要点をまとめたものです。ドメインからのメールの送信を許可されているすべてのサーバーのアドレスを一覧表示することになっています。
現時点で完全なリストがない場合は、通常、SPFレコードを設定することはお勧めできません。また、ドメインは1つのSPFレコードしか持つことができないため、すべての情報を1つのレコードに結合する必要があります。

個々の質問は本当にあなたのためにリストを分解するのに役立ちます。

  1. メールサーバーがあなたからのメールを中継するかもしれない他のドメインを尋ねます; たとえば、mail-relay.example.orgにセカンダリMXサーバーがありexample.org、それがドメインのメインメールサーバー(MXレコード)である場合、を入力する必要がありますmx:example.org。SPFレコードには、ほぼすべての状況下で独自のドメインのMXレコードを含める必要があります(mx)。
  2. IPネットブロックを要求します。サーバーを1.2.3.0/28に配置し、オフィスのアドレススペースが6.7.8.0/22である場合は、と入力しip4:1.2.3.0/28 ip4:6.7.8.0/22ます。たとえば、IPv6スペースを追加する必要がありますip6:2a01:9900:0:4::/64
  3. (例)ドメインからメールを送信することを許可する必要があるマシンを他の人のオフィスに置いている場合は、などで入力してくださいa:mail.remote.example.com

あなたの携帯電話ユーザーには問題があります。SMTP AUTHなどを使用してメールサーバーに接続し、そのサーバーを介して送信することでメールを送信する場合、メールサーバーのアドレスを(2)にリストして対処しました。彼らはただあなたがそうすることを、あなたの電子メールインフラストラクチャを再設計している有意義までの3G / HSDPAプロバイダの提供は、その後、あなたがSPFを行うことができないものは何でも、メールサーバに接続して電子メールを送信する場合は行うあなたがヒットからすべき電子メール主張するから、すべてのポイントを制御しますインターネット。

質問4は少し異なり、上記のシステムのいずれかから来たものではないドメインからのものであると主張するメールを受信者がどうするかを尋ねます。法的対応はいくつかありますが、興味深いのは~all(ソフトフェイル)と-all(ハードフェイル)だけです。 ?all(無回答)は~all(qv )と同じくらい役に立たず+all、憎悪です。

~all簡単な選択です。あなたからメールを送信することを許可された多数のシステムをリストしたが、そのリストが網羅的であることにコミットしていないことを人々に伝えます。私はあなたにそうしないことを勧めます。SPFが完全に無意味になるだけでなく、SFの一部のメール管理者は、SPF受信者を意図的に~allスパマーのバッジとして扱うように設定します。 あなたがやるつもりがないなら-all、SPFを全く気にしないでください

-all便利な選択です。あなたからあなたにメールを送ることを許可されているシステムをリストしたこと、そしてそうすることを許可されている他のシステムがないことを人々に伝えます。これがSPFのポイントですが、それをアクティブにする前に、メールの発信またはリレーを許可されているすべてのホストをリストしていることを確認する必要があります

グーグルがされてアドバイスに知られていること

〜allではなく-allを使用するSPFレコードを公開すると、配信の問題が発生する場合があります。

はい、そうかもしれません。それがSPFのポイントです。googleがこのアドバイスをする理由は確かにわかりませんが、メールの発信元が正確にわからないシステム管理者が配信の問題を引き起こすのを防ぐためだと強く思います。 すべてのメールの送信元がわからない場合は、SPFを使用しないでください。SPFを使用する場合は、SPFが由来するすべての場所をリストし、そのリストに自信があることを世界中に伝えます-all

これは受信者のサーバーにバインドされていないことに注意してください。SPFレコードをアドバタイズするという事実は、他の誰にもそれを尊重する義務を負いません。どのメールサーバーを受け入れるか拒否するかは、メールサーバーの管理者次第です。私がSPFが行うことは、ドメインからのものであると主張したがそうではなかった電子メールについて、それ以上の責任を放棄できるようにすることです。メールを拒否する必要があると告げたはずの広告するSPFレコードを確認することを気にせずにドメインがスパムを送信していると苦情を申し立てるメール管理者は、耳にノミをつけてかなり送られます。

この回答はcanonicalisedれているので、私はより良いについてのいくつかの単語を言うだろうincluderedirect。後者の方が簡単です。あなたのSPFレコード場合は、のために言ってexample.com、言ってredirect=example.org、その後example.orgのSPFレコードを置き換える独自に。example.orgまた、これらのルックアップでドメインの代わりに使用されます(たとえば、example.orgのレコードにmxメカニズムが含まれている場合、MXルックアップはexample.org独自のドメインではなくで実行する必要があります)。

include広く誤解されており、規格の著者は「「includeという名前はあまり選択されていません」と述べています。あなたのSPFレコードの場合はincludeS example.orgさんの記録、その後example.orgの記録は、見るために、受信者によって検討されなければならない、それが何らかの理由(含むを与えれば+allあなたの電子メールを受け入れるように)。もしそうなら、あなたのメールは通過するはずです。そうでない場合、受信者は、allメカニズムに到達するまでSPFレコードを処理し続ける必要があります。したがって、-all、または実際に任意の他の使用all以外+allに、includeDレコードは、処理の結果に影響を及ぼしません。

SPFレコードの詳細については、http://www.openspf.orgが優れたリソースです。

これを間違った方法で受け取らないでください。ただし、SPFレコードを間違えた場合は、修正するまで、インターネットのかなりの部分がメールを受信しないようにすることができます。あなたの質問は、あなたが完全ではないかもしれません示唆auのfaitが何をやっているとし、その場合は、その後、あなたはあなたが人々の非常に多くの電子メールの送信を停止する何かをする前に、専門的な支援を得ることを考慮することをお勧めします。

編集:親切な言葉をありがとう、彼らは大歓迎です。

SPFは主にjoe-jobbingを防ぐ技術ですが、一部の人々はそれを使用してスパムの検出を試みているようです。それらのいくつかは、SPFレコードをまったく持たないか、または過度に広いレコード(たとえばa:3.4.5.6/2 a:77.5.6.7/2 a:133.56.67.78/2 a:203.54.32.1/2、ややこっそりと等しい+all)に負の値を付ける場合がありますが、それは彼ら次第であり、あなたがそれについてできることはあまりありません。

私は個人的にSPFは良いことだと考えており、現在のメール構造で許可されている場合はレコードを宣伝する必要がありますが、インターネット全体に有効な信頼できる答えを与えることは非常に困難です別の目的で使用することにした特定の目的。私は確信を持って言うことができるすべては、あなたがあればということであるのポリシーにSPFレコードを宣伝-allし、あなたはそれが間違って取得し、多くの人があなたのメールを見ることはありません。

編集2:コメントに従って削除し、回答を最新の状態に保ちます。

マッドハッター
ソース
徹底的でわかりやすい英語の回答(これは明らかに必要です)に感謝します。あなたは私がほとんど闇の中にいて、郵便局長の帽子をかぶって仕事をしていないことに注意するのは正しいです。フォローアップの質問:非常に小さな操作(合計で約10から15のメールアカウント)について話しているので(大量のメールを送信しないでください)、これは当分の間は存続できます。そこに多くのスパムフォルダができますか?大量メール送信を行う場合、mailchimpなどのサービスを使用します
-vulgarbulgar
〜allは、次の2つの点に適しています。説明した「1.完全に自動ではない」シナリオ。最終トリガーを引く前に、実際のテストを含むすべてのセットアップを実際の方法で実行できます。2.スパムスコア。すべてのメール出口ポイントを本当に制御できない場合、〜allは、記録に一致するシステムのスパムスコアを支援します(もちろん、ソフトフェイルするシステムのスコアも傷つける可能性があります)。
ジョエルCoel
また、管理者~allがドメイン全体のスパムインジケーターと見なしている受信者システムのスコアを傷つける可能性があり、そのうちの少なくとも1つはSFにあります。
MadHatter
2
特にEDIT2に@MadHatter Aコメントは:現在のSPFの仕様では、あなたがいずれかを使用しなければならないと言うTXTSPF、提案していますが、両方(同じ)を使用する必要があること、今後のSPFスペック破棄をSPF取り込み未満と予想されていると、ほとんどちょうど相互運用性の問題が発生しているように。それを念頭に置いて、見上げるだけではいけないように思われSPFます。
-HåkanLindqvist 14
3
真実に感謝し、「+はすべて憎むべきものだ」と大声で笑った。
jerclarke
3

セットアップにとって重要なのは、最終的に電子メールをインターネットに送信するサーバーの構成です。SMTP経由でメールを送信すると言います。IPアドレスに関しては、SMTPサーバーの構成が重要です(質問2)

Gmailなどのサードパーティを使用してメールを送信する場合、次のようなspfレコードを含める必要があります。include:_spf.google.com(ajaxウィザードはこれを認識していないようです)。

「How Stringent」では、不明な場合は「soft fail」(〜all)のままにしますが、構成がクリーンになったら「reject」(-all)を使用します。

オリビエS
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.