Les enregistrements SPF précisent quels serveurs sont autorisés à envoyer mail pour votre domaine.
Les questions 1 à 3 résument bien l'intérêt du SPF : vous êtes censé répertorier les adresses de tous les serveurs qui sont autorisés à envoyer des messages provenant de votre domaine.
Si vous ne disposez pas d'une liste exhaustive à ce stade, il n'est généralement pas judicieux de mettre en place un enregistrement SPF. De plus, un domaine ne peut avoir qu'un seul enregistrement SPF, vous devrez donc combiner toutes les informations dans un seul enregistrement.
Les questions individuelles permettent simplement de décomposer la liste pour vous.
- vous demande d'autres domaines dont les serveurs de messagerie peuvent relayer votre courrier ; si vous avez par exemple un serveur MX secondaire à mail-relay.example.org, et qu'il s'agit du serveur de messagerie principal (enregistrement MX) pour le domaine
example.org alors vous devez entrer mx:example.org . Votre enregistrement SPF devrait inclure l'enregistrement MX de votre propre domaine dans presque toutes les circonstances ( mx ).
- vous demande vos blocs de réseau IP. Si vous avez des serveurs colocalisés à 1.2.3.0/28, et que votre espace d'adressage de bureau est 6.7.8.0/22, entrez
ip4:1.2.3.0/28 ip4:6.7.8.0/22 . L'espace IPv6 doit être ajouté comme eg ip6:2a01:9900:0:4::/64 .
- si (par exemple) vous avez également une machine dans le bureau de quelqu'un d'autre qui doit être autorisée à envoyer du courrier à partir de votre domaine, entrez-la également, avec par exemple
a:mail.remote.example.com .
Les utilisateurs de votre téléphone portable posent problème. S'ils envoient des messages électroniques en se connectant à votre serveur de messagerie à l'aide de SMTP AUTH, par exemple, et en les envoyant par l'intermédiaire de ce serveur, vous les avez déjà traités en indiquant l'adresse du serveur de messagerie au point (2). S'ils envoient des e-mails en se connectant simplement à un serveur de messagerie quelconque proposé par le fournisseur 3G/HSDPA, vous ne pouvez pas utiliser SPF de manière significative tant que vous n'avez pas réorganisé votre infrastructure de messagerie de manière à faire contrôler chaque point à partir duquel un courriel censé provenir de vous atteint l'internet.
La question 4 est un peu différente, et demande ce que les destinataires doivent faire avec les e-mails qui prétendent provenir de votre domaine qui n'a pas proviennent de l'un des systèmes énumérés ci-dessus. Il existe plusieurs réponses légales, mais les seules intéressantes sont les suivantes ~all (soft fail) et -all (échec cuisant). ?all (pas de réponse) est aussi inutile que ~all (qv), et +all est une abomination.
~all est le choix le plus simple ; il indique aux gens que vous avez listé un certain nombre de systèmes qui sont autorisés à envoyer du courrier depuis votre domaine, mais que vous ne vous engagez pas à ce que cette liste soit exhaustive, de sorte que le courrier de votre domaine provenant d'autres systèmes peut encore être légal. Je vous conseille vivement no pour le faire. Non seulement cela rend le SPF complètement inutile, mais certains administrateurs de courrier sur SF configurent délibérément leurs récepteurs SPF pour qu'ils traitent le SPF de la manière suivante ~all comme l'insigne d'un spammeur. Si tu ne vas pas faire -all Ne vous embêtez pas à utiliser un FPS. .
-all est le choix le plus utile ; il indique aux gens que vous avez listé les systèmes qui sont autorisés à envoyer des courriels de votre part, et qu'aucun autre système n'est autorisé à le faire, donc ils peuvent rejeter les courriels provenant de systèmes qui ne sont pas listés dans votre enregistrement SPF. C'est l'objectif de SPF, mais vous devez vous assurer que vous avez répertorié tous les hôtes autorisés à envoyer ou relayer du courrier avant de l'activer. .
Google est connu pour conseiller que
Publication d'un enregistrement SPF qui utilise -all i problèmes de livraison.
Eh bien, oui, c'est possible ; c'est là tout l'intérêt du FPS . Nous ne pouvons pas savoir avec certitude pourquoi Google donne ce conseil, mais je soupçonne fortement que c'est pour empêcher les administrateurs système qui ne savent pas exactement d'où vient leur courrier électronique de se causer des problèmes de livraison. Si vous ne savez pas d'où viennent tous vos courriels, n'utilisez pas le SPF. . Si vous utilisez un FPS, dressez la liste de tous les endroits d'où il provient, et dites au monde entier que vous avez confiance en cette liste, avec -all .
Notez que rien de tout cela n'est contraignant pour le serveur d'un destinataire ; le fait que vous annonciez un enregistrement SPF n'oblige en rien les autres à l'honorer. C'est à l'administrateur d'un serveur de messagerie donné qu'il appartient de décider quel courriel il accepte ou rejette. Ce que je pense que le SPF fait, c'est vous permettre de décliner toute responsabilité pour les e-mails qui prétendent provenir de votre domaine, mais qui ne le sont pas. Tout administrateur de courrier électronique qui vient se plaindre que votre domaine lui envoie du spam alors qu'ils n'ont pas pris la peine de vérifier l'enregistrement SPF que vous publiez et qui leur aurait indiqué que l'email devait être rejeté. peuvent équitablement être renvoyés avec une puce dans l'oreille.
Puisque cette réponse a été canonisée, je ferais mieux de dire quelques mots sur les points suivants include y redirect . Cette dernière solution est plus simple ; si votre enregistrement SPF, par exemple pour example.com dit redirect=example.org entonces example.org de l'enregistrement SPF remplace votre propre. example.org est également substitué à votre domaine dans ceux (par exemple, si example.org Le palmarès de l'association comprend le mx mécanisme, le MX la recherche doit être effectuée sur example.org et non sur votre propre domaine).
include est largement incompris, et comme le notent les auteurs de la norme " le nom "include" a été mal choisi ". Si votre enregistrement SPF include s example.org le record de l'UE, alors example.org Le dossier de l'intéressé devrait être examiné par un destinataire pour voir s'il donne une raison quelconque (y compris +all ) pour accepter votre courriel . Si c'est le cas, votre courrier devrait passer. Si ce n'est pas le cas, le destinataire doit continuer à traiter votre enregistrement SPF jusqu'à ce qu'il atterrisse sur votre adresse IP. all mécanisme. Ainsi, -all ou bien tout autre utilisation de all sauf +all dans un include d, n'a aucun effet sur le résultat du traitement.
Pour plus d'informations sur les enregistrements SPF http://www.openspf.org est une excellente ressource.
Ne le prenez pas mal, mais si vous vous trompez dans un enregistrement SPF, vous pouvez empêcher une fraction significative de l'Internet de recevoir vos e-mails jusqu'à ce que vous le répariez. Vos questions suggèrent que vous n'êtes peut-être pas complètement au fait Si c'est le cas, vous devriez envisager de faire appel à un professionnel avant de faire quelque chose qui vous empêcherait d'envoyer des e-mails à un grand nombre de personnes.
Modifier Merci pour vos aimables paroles, elles sont très appréciées.
Le FPS est avant tout une technique visant à empêcher joe-jobbing mais certaines personnes semblent avoir commencé à l'utiliser pour essayer de détecter le spam. Certains d'entre eux peuvent en effet attribuer une valeur négative au fait que vous n'ayez pas d'enregistrement SPF du tout, ou un enregistrement trop large (par ex. a:3.4.5.6/2 a:77.5.6.7/2 a:133.56.67.78/2 a:203.54.32.1/2 ce qui équivaut plutôt sournoisement à +all ), mais cela dépend d'eux et vous ne pouvez pas y faire grand-chose.
Personnellement, je pense que SPF est une bonne chose, et que vous devriez annoncer un enregistrement si votre structure de courrier actuelle le permet, mais il est très difficile de donner une réponse faisant autorité, valable pour l'ensemble de l'internet, sur la façon dont les gens utilisent un enregistrement DNS conçu dans un but spécifique, lorsqu'ils décident de l'utiliser dans un but différent. Tout ce que je peux dire avec certitude est que si vous faire annoncer un enregistrement SPF avec une politique de -all et que vous vous trompez, beaucoup de gens ne verront jamais votre courrier.
Edit 2 : supprimé suite à des commentaires, et pour garder la réponse à jour.
