サードパーティのSPFレコードを追加するが、自分のドメインのレコードがない

弊社に代わってメールを送信するサードパーティのサービスがあります。彼らは彼らの送信メールで私たちのドメイン名を使用しています。彼らは私たちが彼らのためにSPFレコードを設定することを要求しました。

現在、独自のドメインに定義されているSPFレコードはありません。これは、サードパーティが「なりすまし」をしているものと同じです。

私の懸念は、私たち自身のレコードも定義せずにサードパーティのレコードを追加すると、サーバーから送信されたメールが拒否される可能性があることです。

私の懸念は有効ですか？

email spf

— k1DBLITZ
ソース

作成するのはどれくらい大変ですか？

— マイケルハンプトン

難しくない。私が見ているように、潜在的な問題は、現在ドメインをスプーフィングしている複数のサードパーティサービスが使用されていることです。それらすべてにSPFレコードを追加しない場合、1つだけ追加することで、他のサービスを無効にすることができます。ランダムな受信メールサーバーがドメインのSPFレコードを検索し、名前/ IPが一致しないことを確認します。

— k1DBLITZ 2015年

回答:

SPFレコードがない場合、受信者は通常、安全に失敗し、電子メールを受け入れます（ただし、それは変わり始めています）。SPFレコードを提供したらすぐに、すべての正当なメール送信者を含める必要があります。そうしないと、リストされていないものは偽造の可能性があるソースとして扱われる可能性があるためです。

厳密に言うと、すべてのメール送信者を含めることも含め~allないこともできます?allが、そうすることで、SPFレコードをテストする場合を除いて、それ以外の場合は正確であるというメリットがなくなります。

理想的には、サードパーティにはすでに汎用SPFレコードがあり、include:spf.thirdparty.dom要素をレコードに追加するだけで済みます。彼らがそうしないなら、あなたは彼らのためにあなた自身の記録を作成して、とにかくそれを自分でチェーンしたいと思うかもしれません。

たとえば、次の場合contoso.com：

thirdparty1.spf.contoso.com txt 'v=spf1 ... -all' # list their mail senders for you
thirdparty2.spf.contoso.com txt 'v=spf1 ... -all' # list their mail senders for you
spf.contoso.com txt 'v=spf1 ... -all'             # list your mail senders
contoso.com txt 'v=spf1 include:spf.contoso.com include:thirdpart1.spf.contoso.com include:thirdparty2.spf.contoso.com -all'

いくつかの役立つリソース：

DMARCはSPFとDKIMを包含しており、検討する価値があります。受信メールの検証のために、Google、Yahoo、その他で積極的に使用されていますhttps://dmarc.org/overview/
SPFレコードを設定する際のベストプラクティスのリスト、http：//www.openspf.org/Best_Practices
名前にもかかわらず、SPFレコードを設定するための便利なレシピ、http：//www.openspf.org/FAQ/Common_mistakes

— ロアイマ
ソース

これに関する情報源はありますか？

— アーロンホール

@AaronHallこれらのリソースリンクで十分ですか？そうでない場合、あなたが探しているものを明確にすることができます

— roaima

他のサーバーのニュートラルルールを使用して、サードパーティサービスをSPFレコードに配置できます。

?all

そして、少なくともあなた自身のメールサーバーを含めてください：

+mx

ドメインにSPFレコードがあることは良いことです。他の人のためにホワイトリストとニュートラルを追加し始めます。すべてのサーバーで最新のSPFレコードを取得する場合は、デフォルトを失敗（-all）またはソフト失敗（〜all）に変更できます。

ここには良いドキュメントがあり、openspf.orgには他にも多くの役立つ情報があります。

— ミック
ソース

私が直面している問題の一部は、私たちに代わってメールを送信する他のすべての企業の最新のリストを持っていないことです。あなたのアプローチを使用する場合、本番メールフローに影響を与えることなく、SPFレコードが発見されたときにそれらをSPFレコードに追加できますか？架空のドメインを使用した特定の構文例を提供できますか？あなたがリンクした情報を確認してきましたが、とても役に立ちましたが、これを間違えるわけにはいきません。

— k1DBLITZ 2015年

あなたはそれを段階的に行うことができます：最初にサードパーティのサービス、あなたのmxを追加し、他のすべてのためにニュートラルを追加します： "a：your3rppart mx？all"。次に、SPFを他のサーバーで更新します。私たちはあなたがそれらをすべてSoftfailはにデフォルトポリシーを変更したり、失敗があると思う

— ミック

真剣に、SPFなし-allは完全に無意味であるだけでなく、スパマーのアクティブな兆候として使用する管理者もいます。しないでください。

— MadHatter、2015年

？？すべては、あなたがやっているかわからない場合は、DMARCポリシーはまだに-all、大きなESP'Sが原因で最初の文のもう-allを気にしない多くのと全く同じ適用-allそして優れている

— ジェイコブエヴァンス

真剣に、-allなしのSPFは完全に無意味であるだけでなく、スパマーのアクティブな兆候として使用する管理者もいます。しないでください。SPF仕様に準拠していない壊れたシステムを修正する必要があります。" ドメイン所有者がSPFレコードを公開することを選択した場合、 "- all "で終わることをお勧めします-ietf.org/rfc/rfc4408.txt-必須ではありません。SoftFailは明確な状態です。

— TessellatingHeckler、2015年