Объединение нескольких записей SPF с разными модификаторами «все»

Question

Я унаследовал сайт с несколькими записями SPF в нескольких записях TXT (которые все мои поиски до тех пор, пока эта точка не дала мне знать, являются настолько недействительными, насколько вы можете получить).

Вотзаписи, с которыми я работаю:
Запись 1: v=spf1 include:servers.mcsv.net ?all
Запись 2: v=spf1 include:zoho.com ~all

Запись 1 выглядит как запись Mailchimp.Я не уверен, использует ли клиент Mailchimp или нет.Запись 2 явно от Zoho, но я точно знаю, что клиент использует Zoho.В идеале я хотел бы объединить эти две записи в одну.

Обе записи дают немного другое значение all.Запись 1 дает мне ?all, а запись 2 дает мне ~all.Если я правильно понимаю синтаксис, ~all должен быть немного более строгим, чем ?all, и у меня может быть только одно значение all, которое должно быть последним в записи.

Если у них был точныйТо же значение all, я мог бы просто сделать что-то вроде этого:
v=spf1 include:servers.mcsv.net include:zoho.com ?all

Если я объединю записи, я не уверен, какое значение all мне следует использовать и почему.Если я установлю одну запись для начала с v=spf2, я не уверен, что служба проверит эту запись.Я искал и не нашел никаких ресурсов, которые касались бы объединения нескольких записей SPF, которые имеют разные значения all.Что мне здесь делать?

Спасибо

Answer 1

Подходящей комбинацией этих двух будет:

v=spf1 include:servers.mcsv.net include:zoho.com ~all

?all, по сути, бесполезен - это в значительной степени эквивалентно отсутствию записи SPF вообще.

Это не всехотя - эта запись выглядит неполной.Если ваш домен только отправляет из mailchimp и zoho, все остальные письма получат ответ softfail, поэтому, если вы отправляете «обычную» почту с этого домена, используя собственный почтовый сервер, вы, вероятно, захотите добавить хотя бы mx, и если вы отправляете какую-либо почту непосредственно с веб-сайта домена, вам также понадобится механизм a, дающий:

v=spf1 mx a include:servers.mcsv.net include:zoho.com ~all

DMARC является важным фактором, как сказал @lgc_ustc.Если вы не используете DMARC, я бы рекомендовал установить -all в качестве механизма по умолчанию, чтобы получить максимальную выгоду от SPF, но если вы используете DMARC, оставьте его как ~all.Это связано с тем, что некоторые контролеры SPF, обнаружившие -all, будут немедленно отклонять сообщения, а не позволять их передавать на уровень DMARC, где отправителю может быть сказано, что делать с отклоненным сообщением.

Answer 2

Если я установлю одну запись для начала с v = spf2, я не уверен, что служба проверит эту запись.

В любом домене может быть только одна запись SPF.Если установлено более одной записи SPF, SPF вернет PermError.См .: RFC 7208

Кроме того, все записи SPF должны начинаться с "v = spf1", все остальное недопустимо.

?all означает нейтральный в SPF.Нейтральный SPF может быть интерпретирован в DMARC как пройденный или неудачный, в зависимости от того, как вы настроили DMARC на своем почтовом сервере.Обычно это контролируется флагом в вашей настройке DMARC, и он варьируется в зависимости от пакетов DMARC.Если вы используете OpenDMARC от доверенного домена , нейтральный SPF интерпретируется в DMARC как сбой по умолчанию.

~all означает softfail в SPF.SPF softfail - слабое утверждение о том, что хост, вероятно, не авторизован.Домен не опубликовал более сильную, более определенную политику, которая приводит к «провалу».Обычно это реализуется путем добавления механизма ~ all к записи SPF.Когда этот механизм оценивается, любой IP-адрес заставит SPF возвращать результат softfail.

Как и нейтральный, SPF softfail может интерпретироваться в DMARC как проходящий или сбойный, в зависимости от того, как вы настроили DMARC в своей электронной почте.сервер.В OpenDMARC программная ошибка SPF в DMARC интерпретируется как сбойная по умолчанию.

Подробнее об этом читайте в этом посте: Почему сбой аутентификации SPF: нет, нейтральный, сбой (полный сбой), программный сбой, отпуск иобъяснение

---