¿Qué son los registros SPF y cómo los configuro?


49

Esta es una pregunta canónica sobre la configuración de registros SPF .

Tengo una oficina con muchas computadoras que comparten una única IP externa (no estoy seguro si la dirección es estática o dinámica). Cada computadora se conecta a nuestro servidor de correo a través de IMAP usando Outlook. El correo electrónico es enviado y recibido por esas computadoras, y algunos usuarios también envían y reciben correo electrónico en sus teléfonos móviles.

Estoy usando http://wizard.easyspf.com/ para generar un registro SPF y no estoy seguro acerca de algunos de los campos del asistente, específicamente:

  1. Ingrese cualquier otro dominio que pueda enviar o retransmitir correo para este dominio
  2. Ingrese cualquier dirección IP en formato CIDR para los bloques de red que originan o retransmiten correo para este dominio
  3. Ingrese cualquier otro host que pueda enviar o retransmitir correo para este dominio
  4. ¿Cuán estrictos deberían tratar esto los MTA con FPS?

Las primeras preguntas de las que estoy bastante seguro ... espero haber dado suficiente información.

Respuestas:


68

SPF registra en detalle qué servidores pueden enviar correo para su dominio.

Las preguntas 1-3 realmente resumen todo el punto de SPF: se supone que debe enumerar las direcciones de todos los servidores que están autorizados para enviar correo proveniente de su dominio.
Si no tiene una lista exhaustiva en este momento, generalmente no es una buena idea configurar un registro SPF. Además, un dominio solo puede tener un registro SPF, por lo que deberá combinar toda la información en un solo registro.

Las preguntas individuales realmente ayudan a desglosar la lista por usted.

  1. le pide otros dominios cuyos servidores de correo pueden retransmitir su correo; si tiene, por ejemplo, un servidor MX secundario en mail-relay.example.org, y ese es el servidor de correo principal (registro MX) para el dominio example.org, entonces debe ingresar mx:example.org. Su registro SPF debe incluir el registro MX de su propio dominio en casi todas las circunstancias ( mx).
  2. te pide tus ip netblocks. Si tiene servidores ubicados en 1.2.3.0/28, y el espacio de direcciones de su oficina es 6.7.8.0/22, ingrese ip4:1.2.3.0/28 ip4:6.7.8.0/22. El espacio IPv6 se debe agregar como, por ejemplo ip6:2a01:9900:0:4::/64.
  3. si (por ejemplo) también tiene una máquina apagada en la oficina de otra persona a la que se le debe permitir enviar correo desde su dominio, ingrese eso también, por ejemplo a:mail.remote.example.com.

Los usuarios de su teléfono móvil son problemáticos. Si envían un correo electrónico conectándose a su servidor de correo usando, por ejemplo, SMTP AUTH, y enviando a través de ese servidor, entonces usted se ha ocupado de ellos enumerando la dirección del servidor de correo en (2). Si envían correo electrónico con sólo conectarse a cualquier servidor de correo oferta del proveedor 3G / HSDPA, entonces usted no puede hacer SPF manera significativa hasta que haya rearchitected su infraestructura de correo electrónico para que haga controlar cada punto desde el que tienen por objeto correo electrónico sea de usted golpea el Internet.

La pregunta 4 es un poco diferente y pregunta qué deben hacer los destinatarios con el correo electrónico que dice ser de su dominio que no proviene de uno de los sistemas enumerados anteriormente. Hay varias respuestas legales, pero las únicas interesantes son ~all(falla suave) y -all(falla difícil). ?all(sin respuesta) es tan inútil como ~all(qv), y +alles una abominación.

~alles la simple elección; le dice a la gente que ha enumerado un grupo de sistemas que están autorizados a enviarle correo, pero que no se compromete a que esa lista sea exhaustiva, por lo que el correo de su dominio que proviene de otros sistemas aún podría ser legal. Te insto a que no hagas eso. No solo hace que SPF sea completamente inútil, sino que algunos administradores de correo en SF configuran deliberadamente sus receptores SPF para tratarlos ~allcomo la insignia de un spammer. Si no lo vas a hacer -all, no te molestes con SPF en absoluto .

-alles la opción útil le informa a las personas que usted ha enumerado los sistemas que pueden enviarle correos electrónicos, y que ningún otro sistema está autorizado para hacerlo, por lo que pueden rechazar correos electrónicos de sistemas que no figuran en su registro SPF. Este es el objetivo de SPF, pero debe asegurarse de haber enumerado todos los hosts que están autorizados para originar o retransmitir su correo antes de activarlo .

Se sabe que Google aconseja que

Publicar un registro SPF que use -todos en lugar de ~ todos puede ocasionar problemas de entrega.

bueno, sí, puede; ese es el objetivo de SPF . No podemos saber con certeza por qué Google da este consejo, pero sospecho firmemente que es para evitar que los administradores de sistemas que no saben exactamente de dónde proviene su correo electrónico causen problemas de entrega. Si no sabe de dónde proviene todo su correo electrónico, no use SPF . Si va a usar SPF, enumere todos los lugares de donde proviene y dígale al mundo que confía en esa lista -all.

Tenga en cuenta que nada de esto es vinculante en el servidor de un destinatario; el hecho de que anuncies un registro SPF de ninguna manera obliga a nadie más a honrarlo. Depende de los administradores de cualquier servidor de correo determinado qué correo electrónico eligen aceptar o rechazar. Lo que creo que SPF hace es permitirle rechazar cualquier otra responsabilidad por el correo electrónico que dice ser de su dominio, pero no lo fue. Cualquier administrador de correo que venga a usted quejándose de que su dominio les está enviando correo no deseado cuando no se han molestado en verificar el registro SPF que anuncia que les habría dicho que el correo electrónico debería ser rechazado puede ser enviado con una pulga en el oído.


Como esta respuesta se ha canonizado, es mejor que diga algunas palabras sobre includey redirect. Este último es más simple; si su registro SPF, por ejemplo example.com, dice redirect=example.org, entonces example.orgel registro SPF reemplaza al suyo. example.orgtambién se sustituye por su dominio en esas búsquedas (p. ej., si example.orgel registro incluye el mxmecanismo, la MXbúsqueda debe realizarse en example.org, no en su propio dominio).

includees ampliamente incomprendido, y como señalan los autores de la norma, " el nombre 'incluir' fue mal elegido ". Si su registro SPF includes example.org's registro, a continuación, example.org' s registro debe ser examinado por un receptor para ver si se da cualquier motivo (incluyendo +all) para aceptar su correo electrónico . Si lo hace, su correo debería pasar. Si no es así, el destinatario debe continuar procesando su registro SPF hasta aterrizar en su allmecanismo. Por lo tanto, -allo cualquier otro uso de allexcepto +all, en un includeregistro d, no tiene ningún efecto en el resultado del procesamiento.

Para obtener más información sobre los registros SPF, http://www.openspf.org es un excelente recurso.


No tome esto de la manera incorrecta, pero si obtiene un registro SPF incorrecto, puede evitar que una fracción significativa de Internet reciba correos electrónicos de usted hasta que lo arregle. Sus preguntas sugieren que es posible que no esté completamente al tanto de lo que está haciendo, y si ese es el caso, es posible que desee considerar obtener asistencia profesional antes de hacer algo que le impida enviar correos electrónicos a una gran cantidad de personas.

Editar : gracias por sus amables palabras, son muy apreciadas.

El SPF es principalmente una técnica para evitar el trabajo de Joe , pero algunas personas parecen haber comenzado a usarlo para tratar de detectar el spam. De hecho, algunos de ellos pueden atribuir un valor negativo al hecho de que no tenga ningún registro SPF o un registro demasiado amplio (p a:3.4.5.6/2 a:77.5.6.7/2 a:133.56.67.78/2 a:203.54.32.1/2. Ej. , Que se iguala a escondidas +all), pero eso depende de ellos y no hay mucho que pueda hacer al respecto.

Personalmente, creo que SPF es algo bueno, y debe anunciar un registro si su estructura de correo actual lo permite, pero es muy difícil dar una respuesta autorizada, válida para todo Internet, sobre cómo las personas están usando un registro DNS diseñado para un propósito específico, cuando deciden usarlo para un propósito diferente. Todo lo que puedo decir con certeza es que si se hace publicidad de un registro SPF con una política de -all, y hacerlo mal, mucha gente nunca verá su correo.

Edición 2 : eliminada de acuerdo con los comentarios, y para mantener la respuesta actualizada.


Agradezco la respuesta completa y sencilla en inglés (que obviamente necesitaba). tienes razón al notar que estoy mayormente en la oscuridad y no tengo por qué usar el sombrero de un administrador de correos. una pregunta de seguimiento: dado que estamos hablando de una operación muy pequeña (alrededor de 10-15 cuentas de correo electrónico en total), y no enviamos grandes volúmenes de correo, ¿es esto algo por lo que podemos sobrevivir por el momento, o probablemente lo haremos? terminar en muchas carpetas de spam por ahí? cuando hacemos de correo masivo, usamos servicios como MailChimp, etc
vulgarbulgar

El ~ todo es bueno para dos cosas: 1.Que "no está completamente al tanto " escenario que describe. Le permite hacer toda la configuración de una manera real, incluidas las pruebas reales, antes de apretar el gatillo final. 2.Puntajes de spam. Si realmente no puede controlar todos sus puntos de salida de correo, ~ todos pueden ayudar a los puntajes de spam para aquellos sistemas que coinciden con su registro (por supuesto: también pueden dañar el puntaje para aquellos sistemas que fallan).
Joel Coel

También pueden perjudicar la puntuación con los sistemas receptores cuyos administradores consideran ~allun indicador de correo no deseado en todo el dominio, de los cuales hay al menos uno en SF.
MadHatter apoya a Monica el

2
@MadHatter Un comentario a Edit2 específicamente: la especificación SPF actual dice que debe usar cualquiera TXTo SPFque debe usar ambos (idénticos), la próxima especificación SPF propuesta abandona SPFya que la absorción ha sido menor de lo esperado y en su mayoría solo causa problemas de interoperabilidad. Con eso en mente, parece desaconsejable solo mirar hacia arriba SPF.
Håkan Lindqvist

3
Gracias por la verdad y me reí a carcajadas con "+ todo es una abominación".
jerclarke

3

Lo importante para su configuración es la configuración del servidor que finalmente envía el correo electrónico a Internet. Dices que envías correos electrónicos a través de SMTP. Entonces, en términos de dirección IP, lo que importa es la configuración de su servidor SMTP (pregunta 2)

Si está utilizando un tercero, como gmail, para enviar sus correos electrónicos, debe incluir sus registros spf de esta manera: incluir: _spf.google.com (el asistente de ajax no parece saberlo).

Para el "Cómo estricto", deje el "fallo suave" (~ todos) si no está seguro, pero de lo contrario "rechazar" (-todos) es el camino a seguir una vez que su configuración esté limpia.

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.