サーバー上の複数のドメインにSPFを構成するにはどうすればよいですか？（Gmailを送信者としても許可）

SPF（Sender Policy Framework）は、スパマー/スプーフィングと戦うための良い方法のようです。

ただし、説明を何度か読んでも、正しく構成する方法がよくわかりません。

のは、私が私のサーバーを持っているとしましょうa.x.comホストれたwww.x.comとb.x.comし、c.x.comそのために。

私も同様ですa.co.uk b.net c.info。それぞれにさまざまなサブドメインがあり、すべてホストされていますx.com

これらすべてのドメインおよびサブドメインについて、メールの送信を許可したい a.x.com

また、Gmailから送信されたメールをこれらすべてのドメインで許可するようにしてください。

SPFでこれを設定するにはどうすればよいですか？

x.com（またはa.x.com）に1つのSPFレコードを設定してから、他のすべてにx.com、のレコードへの単純なインクルード/ポインターを設定することはできますか、それとも別の方法で行う必要がありますか？

上記の例にSPFレコードを提供できる人はいますか？

注：質問の2番目の部分は回答済みです（「v=spf1 include:x.com -all」を使用してx.comのレコードを含める/ポイントします）が、何を設定するかについての重要な部分はx.com未回答のままです...

x.com以外のドメインのゾーンファイルを変更する必要を回避することはできませんが、1つのドメインでホストされている共通のポリシーを定義redirectし、他のドメインでSPFキーワードを使用することで、多くの問題を回避できます。例：

• x.comドメインのゾーンファイルで：

_policy1 IN TXT "v = spf1 a：axcom -all"
_policy2 IN TXT "v = spf1 include：_spf.google.com a：axcom -all"

_spf.google.comGmail SPFレコードを保持するレコードです。文書化されているかどうかはわかりません。理論的にはすべきですがinclude:gmail.com、それはリダイレクト_spf.google.comです。qmailに広く使用されているSPFパッチが少なくとも1つあり、それが適切に実行されませんでした（2008年8月に修正されましたが、まだ展開されている可能性があります）。エラーが発生しやすいコピー貼り付けの代わりにターゲットドメインのショートネームを変更するだけでよいので、さまざまなレベルの厳格さを持つ複数のものを用意することは、デバッグ時に非常に役立ちます。

• 他のドメインのゾーンファイル：

@ IN TXT "v = spf1 redirect = _policy1.x.com"

または

@ IN TXT "v = spf1 redirect = _policy2.x.com"

etc. redirectではなくinclude、を使用して、SPFチェックで現在評価されているレコードをリダイレクト先のレコードに完全に置き換えます。includeそれを行わない-たとえば、-allの最後でinclude評価が停止することはありません（include大きな誤称です。）include別のドメインからのSPFレコードを「エイリアス化」する場合は、非常に脆弱であるため、使用を避けてください-誤って末尾を忘れた場合、そのドメインのSPF全体が無効になる可能性があります。

編集：ただし、Gmailのサーバーを送信者として許可する場合は注意が必要です。Gmailのチャプチャが解読されました。つまり、アカウントのサインアップを自動化することが可能です。つまり、Gmailを（間接的に）オープンリレーとして使用できます（会社のディスカッションフォーラムで、週に数十件のスパムボットのサインアップ要求があり、すべてを使用しています） gmail.comのメールアドレス-これらのアドレスは公開されており、確認のためにいくつかのアドレスを通過することを許可しています。）さらに、Gmailアカウントを持つユーザーは、ドメインのメールアドレスのuwsernameの部分に精通している場合、SPFチェックをバイパスできます。 。

はい。他のすべてのドメインのSPFレコードに、ドメインの1つからの構成を含めることができます。他のドメインのSPFレコードを次のように設定すると、うまくいくはずです。

v=spf1 include:x.com -all

http://www.openspf.org/のWebツールを使用してみましたか？これを扱うのが少し簡単になるかもしれません...

右上のボックスにドメインを入力して、移動ボタンをクリックするだけです。そこから、急いでセットアップできるはずです。

標準のRFC 4408は、希望するものに非常に近いいくつかの例を提供します。以下は、x.comのゾーンファイルの抜粋です。

@ IN TXT "v = spf1 a：axcom -all"
      IN SPF "v = spf1 a：axcom -all"

www IN TXT "v = spf1 a：axcom -all"
      IN SPF "v = spf1 a：axcom -all"

ノート：

• Gmailのメールサーバーは知らないので追加しませんでした。Gmailの人に聞いてください
• 「a」は「アドレス」用です（これはDNS Aレコードではなく、IPv6が含まれます）
• RFCに従ってSPFレコードを追加しましたが、ほとんどすべての実装でTXTレコードのみを使用しています

はい、特定のSPFレコードを各ドメインに個別に追加する必要があります。

この理由は、DNS内の唯一の（有用な）エイリアスタイプのレコードがレコードであるためCNAMEです。ただし、このCNAMEレコードにより、RRsetのすべてのRRtypeにエイリアシングが発生します。「CNAMESPFレコードではなく、MXレコードではない」と言う方法はありません。