我在我的 SMTP 服务器上为我的域和 DKIM 消息签名配置了硬故障 SPF。由于这是唯一应该用于从我的域发出邮件的 SMTP 服务器,因此我没有预见到任何复杂情况。
但是,请考虑以下情况:我通过我的 SMTP 服务器向我同事的大学电子邮件发送了一封电子邮件。问题是我的同事将他的大学电子邮件转发到他的 GMail 帐户。这些是邮件到达他的 GMail 邮箱后的标题:
Received-SPF: fail (google.com: domain of me@example.com 没有指定 192.168.128.100 作为允许的发件人) client-ip=192.168.128.100; 身份验证结果:mx.google.com;spf=hardfail(google.com:me@example.com 的域未将 192.168.128.100 指定为允许的发件人)smtp.mail=me@example.com;dkim=hardfail(测试模式)header.i=@example.com
(标题已被清理以保护非 Google 方的域和 IP 地址)
GMail 根据我的 SPF 和 DKIM 记录检查传送链中的最后一个 SMTP 服务器(理所当然)。由于交付链中的最后一个 STMP 服务器是大学的服务器而不是我的服务器,因此检查会导致 SPF 硬故障和 DKIM 故障。幸运的是,GMail 没有将邮件标记为垃圾邮件,但我担心这可能会在将来引起问题。
我对 SPF hardfail 的实施可能太严格了吗?我应该注意的任何其他建议或潜在问题?或者也许有更理想的大学电子邮件转发程序的配置?我知道转发服务器可能会更改信封发件人,但我看到这变得很混乱。
Web 开发人员请求我们的域 DNS 记录包含 SPF TXT 记录。我在那里发现了不同的意见......
您可以提供的任何评论或见解将不胜感激。我知道这本身不是一个经验问题 - 但我仍然会感谢你的主观产品......特别是如果它们带有参考资料,我可以查看诸如网络帖子或在线文档等。
我已经设置了 Postfix 并创建了一个映射到 Gmail 帐户的别名。当我从我自己的一个(谷歌邮件)帐户发送邮件时,它会通过,但如果来自外部的人给我发邮件,谷歌将不会接受来自我服务器的邮件。日志内容包含以下内容:
Aug 20 13:47:09 Ubuntu-1204-precise-64-minimal postfix/smtpd[8249]: connect from mailout.example.com[1.1.1.1]
Aug 20 13:47:09 Ubuntu-1204-precise-64-minimal postfix/smtpd[8249]: DB399E3318: client=mailout.example.com[1.1.1.1]
Aug 20 13:47:09 Ubuntu-1204-precise-64-minimal postfix/cleanup[8253]: DB399E3318: message-id=<015e01ce9d9a$f988a750$ec99f5f0$@dk>
Aug 20 13:47:09 Ubuntu-1204-precise-64-minimal postfix/qmgr[8230]: DB399E3318: from=<test@example.com>, size=3813, nrcpt=1 (queue active)
Aug 20 13:47:09 Ubuntu-1204-precise-64-minimal postfix/smtpd[8249]: disconnect from mailout.example.com[1.1.1.1]
Aug 20 13:47:10 Ubuntu-1204-precise-64-minimal postfix/smtp[8255]: DB399E3318: to=<example@gmail.com>, orig_to=<example@mydomain.com>, relay=gmail-smtp-in.l.google.com[2a00:1450:4010:c04::1b]:25, delay=1.1, delays=0.22/0/0.14/0.76, dsn=5.7.1, status=bounced (host gmail-smtp-in.l.google.com[2a00:1450:4010:c04::1b] said: 550-5.7.1 [2a01:4f8:d12:11c2::2 16] The sender does not meet basic ipv6 550-5.7.1 sending guidelines of authentication and rdns resolution …我在通过 subdomain.example.com 访问的 Linode 上管理一个 VPS,我需要从这个子域发送电子邮件。我无法在 Linode DNS 管理器中设置任何 TXT 记录,因为 example.com 的名称服务器是别的东西,而不是 ns1.linode.com 等。所以我需要请有权访问 example.com 的人添加一些记录为了我。如果在子域的域仪表板中设置 SPF 和 DKIM 的 TXT 记录,它们有何不同?
我公司的SPF记录格式如下:
“v=spf1 include:_spf.google.com ~all a mx ip4:XX0.0/23 include:spf.example.com ?all”
所以我们的 SPF 记录中间有一个“~all”。在openspf.com 网站上,他们这样说关于“全部”机制:
这种机制总是匹配的。它通常位于 SPF 记录的末尾。
因此,他们不会说“所有”必须放在 SPF 记录的末尾,而是说它通常放在末尾。
在我们公司,最近我们看到从我们的 SPF 记录中列出的服务器发送的电子邮件中出现一些软故障,但我们的 SPF 记录通过了我迄今为止找到的所有验证工具。
我想知道的是,在包含 Google Apps (_spf.google.com) 之后的这个“~all”是否会导致解析停止并且无法识别 SPF 记录的其余部分?通过与软失败是否取决于解析它的人以及他们如何处理 SPF 记录的具体实现?是否有任何理由拥有不在 SPF 记录末尾的“全部”机制?
是的,我知道我们可以更改我们的 SPF 记录。这个问题更多地是为了澄清这一切是如何运作的,而不一定是解决我们的具体情况。
最后......我们的电子邮件被雅虎看到了!不再那么垃圾了。欢呼!
但是我注意到雅虎!接收 MTA 添加 X-YMailISG 标头。它非常大... 2**10 位?
既然我已经在我醒着的生活中投入了太多时间来制作我们的电子邮件标头,我很想知道 X-YMailISG 标头是什么。有人可以告诉我吗?它会带来任何安全/真实性问题吗?谷歌结果几乎无法理解。
在为 SPF 和 DKIM 调整我们域的 DNS 区域文件中的 TXT 记录后,我终于成功地从 Yahoo! 不再标记为
X-YahooFilteredBulk 并且出色的服务 check-auth@verifier.port25.com 返回的结果显示电子邮件通过了 SPF、DKIM 和 Sender-ID 检查,并在 SpamAssassin 中显示为火腿。雅虎!甚至添加了 Received-SPF: pass 标头。
有用的链接:
http : //www.goldfisch.at/knowwiki/howtos/dkim-filter
http://old.openspf.org/wizard.html
Amazon Route 53 支持“SPF 记录”和“TXT 记录”。我阅读的大多数文档都告诉我将我的 SPF 记录列为 TXT 记录。我了解 SPF 记录是较新的标准。因此,我复制我的 SPF 记录是否正确,以便将它们列为 SPF 记录和 TXT 记录以确保向后兼容,同时也遵循新标准?我不熟悉 DNS,所以不确定这是否会导致任何问题,或者我是否应该费心复制它们?
我的记录如下:
"v=spf1 include:_spf.google.com include:amazonses.com -all"
"spf2.0/pra include:_spf.google.com include:amazonses.com -all"
我正在为我的项目使用具有自己域(Google Apps)的 gmail。现在我想添加外部邮件服务器来为用户发送通知。Gmail 不提供 DKIM 的私钥,如果密钥将在外部邮件服务器上生成,在严格规则的情况下,来自 gmail 的所有邮件都将被拒绝。在这种情况下如何使用 SPF+DKIM+DMARC 来防止邮件欺骗?
我有一个邮件服务器,我需要为其创建 AAAA DNS 记录并更新 SPF 记录以包含其 IPv6 地址。
一个ifconfig命令显示范围:链接IPv6地址和范围:全球IPv6地址。我应该将哪一个放入 AAAA 和 SPF 记录?
Scope:Global 是一个 /128 地址,scope:Link 是一个 /64。
Scope:Link 地址是 FE80 地址,这意味着不可路由。这是否意味着我必须输入 Scope:Global 地址?
我有一个通过 Mailchimp 和 Google 发送电子邮件的域。我已经为它们设置了 DKIM,并添加了 DMARC 记录(用于测试 atm)。我收集 DMARC 失败的报告,其中绝大多数报告都是 SPF 失败的。
根据我的理解,SPF 是可以发送电子邮件的 IP/主机的白名单,而 DKIM 是发件人必须用来签署电子邮件的密钥。对我来说,DKIM 似乎更适合欺骗保护。
在我搜索的所有地方,我都只看到 SPF 对于电子邮件保护至关重要,但在我的情况下我不明白为什么。由于设置了 DKIM,只有 Mailchimp 和 Google 可以发送电子邮件,并且 DMARC 将使收件人拒绝来自其他任何地方的电子邮件。限制 IP 地址似乎并没有给这种组合带来任何好处。
在这种情况下可以使用 +all 禁用 SPF 吗?如果我这样做,在什么情况下我会受到较少的保护?