Domain-Name-System

帶有郵件網關的 SPF:我需要放置所有郵件伺服器嗎?

  • June 26, 2014

我總是將我所有的郵件伺服器放在 SPF 聲明中,但我不確定這是否是實現 SPF 的正確方法。

我所有的郵件都通過郵件網關路由。一切都先到這個伺服器,然後再轉發到網際網路。

問題是:考慮到郵件網關是我在 DNS 中的 MX 記錄,並且使用這種架構,我應該以這種方式編寫 SPF 設置:

example.com.        86400   IN  TXT "v=spf1 mx -all"

或者我應該A為內部伺服器添加額外的記錄?

這應該足夠了。網際網路上的任何伺服器都只會將您的網關視為電子郵件的發起者,而不會關心郵件源自的任何內部伺服器。

沒有辦法說,因為你無法控制其他人是否決定接受你的電子郵件。他們可以而且有時確實會出於違反 RFC 和愚蠢的原因拒絕您的郵件。

正如proteus所說,您所顯示的記錄應該足以證明電子郵件來自您;據我了解,它當然滿足RFC 7208 。但是我知道一些大型組織拒絕電子郵件,因為它在離開客戶網路的途中經過了伺服器。他們不應該對Received: from除了導致最終連接的標題之外的標題,但它們確實如此。在這種特殊情況下,其中一台內部伺服器的主機名不合格,並且在標頭中留下的足跡導致接收者拒絕它。當有人指出這一點時,他們感到非常抱歉,但是(就像這些天如此令人沮喪的普遍情況一樣)他們已經外包了他們的電子郵件,因此無法控制這個決定。我們最終不得不設置完整的內部 DNS 以使電子郵件能夠通過它們。

這個故事的重點是,他們可以很容易地決定在最終傳遞之前對所有繼電器進行 SPF 測試。你不知道某個白痴會做出什麼愚蠢的特技。你只能尊重 RFC(就像你一樣),抱最好的希望,並在最壞的情況到來時處理它。

引用自:https://serverfault.com/questions/607986