SPF-record. ¿Insertar o no?

Saludos a todos.

Continúo mi ciclo "Ideas para Habr". Les recuerdo que administro este sitio a un nivel bajo (servidor, sistema operativo, demonios e interacción de todo esto) y estoy bastante interesado en las opiniones de mis colegas que tienen experiencia práctica en lo que se indica en el tema del post. Hasta ahora todo ha estado pasando bastante lento, pero ya he recopilado información útil.

Preguntas anteriores:
 link  link

Esta vez la pregunta gira en torno al subsistema postal. Tenemos casi todos los registros MX de correo envueltos en gmail.com. Esto es bastante conveniente y se adapta a casi todos, si, por supuesto, abstraer las preguntas sobre el "hermano mayor". Pero hay servidores donde, a su vez, nuestros sitios web giran, muchos de los cuales envían notificaciones diferentes a los usuarios. Recientemente, todas las cartas de algunos de nuestros servidores van a los usuarios no directamente, sino a través de la retransmisión, en el idioma de los administradores "smarthost": esto es conveniente, ya que no es necesario ajustar el envío de correo regular, solo necesita insertar la línea y listo. Y es necesario configurar correctamente solo el relé.

Entonces, ¿qué tenemos al final? En realidad, todo el correo legítimo del dominio habrahabr.ru se envía a nuestros usuarios solo desde Google y desde nuestra retransmisión. Es decir Existe una buena oportunidad para registrarse en el registro SPF de la zona con los datos relevantes y con la opción & quot; -todos & quot ;. Esta tecnología tiene muchos pros y algunos inconvenientes: uno de los inconvenientes está asociado con posibles problemas al enviar cartas. Por supuesto, el MTA correcto debería cambiar los encabezados, etc., al reenviar, pero no todos tienen todo configurado como debería.

En relación con lo anterior, ¿cree que vale la pena prescribir un & quot; -all & quot; o limitarse solo a un incierto & quot; ~ todo & quot;?

P.S. Por cierto, DKIM ya está funcionando, el relé firma con éxito el correo saliente. Si sus clientes de correo electrónico escriben sobre una firma no válida, hágamelo saber.

Respuestas
jean franklin
& gt; Estoy bastante interesado en las opiniones de mis colegas que tienen experiencia práctica en lo que se indica en el tema del post.

consultar con colegas de google)

host -t txt google.com
texto descriptivo de google.com "v = spf1 incluye: _netblocks.google.com ip4: 216.73.93.70/31 ip4: 216.73.93.72/31 ~ todos"

Personalmente lo hago, todo, si sé exactamente dónde irán las letras
por ejemplo, si sé que solo serán servidores con cierta IP
La pregunta es más bien que implementaremos SPF, desde donde enviaremos el correo, estamos listos para usar todo. Pero es precisamente el hecho que interesa a todos: ¿funcionará todo correctamente para el destinatario, si se ha configurado para enviar correo? No todos los servidores de correo intermedios pueden configurarse correctamente y dejar los encabezados correctos. - mab300
whitney la rocca
La gente aquí es muchas veces menos, por supuesto, pero hay muchas notificaciones, para correos, y solo con ~ todos y, por supuesto, rangos de ip.
Ya 4 años de vuelo normal.
parand
Si tiene correo en gmail, entonces no se debe hacer todo, puede haber problemas con la entrega de correo, Google no recomienda hacerlo, todo es imposible sin SPF porque los falsos positivos antispam incluso aumentan dentro de la empresa.
christopher berry
Estoy escribiendo -todos, pero permito que los correos populares en runet "reenvíen" mis cartas (si, por ejemplo, un usuario que recibe una carta (por ejemplo, mail.ru), ha configurado la transferencia a su propia caja).
myzone.ru     text = "v=spf1 include:_spf.myzone.ru -all"
_spf.myzone.ru        text = "v=spf1 a:mx1.myzone.ru a:mx2.myzone.ru include:_spf.yandex.ru include:_spf.mail.ru include:_spf.google.com -all"


Escribo en mis otras zonas:
somezone.ru     text = "v=spf1 redirect=_spf.myzone.ru"

Conveniente!

Para el ID del remitente, probablemente se verá así, correcto o incorrecto.
myzone.ru     text = "v=spf2.0/mfrom include:_spf.myzone.ru -all"
_spf.myzone.ru        text = "v=spf2.0/mfrom a:mx1.myzone.ru a:mx2.myzone.ru include:_spf.yandex.ru include:_spf.mail.ru include:_spf.google.com -all"