У меня есть почтовые домены размещённые на публичных почтовых площадках типа яндекса, мэйла. Я хочу ужесточить правила spf, позволив отправлять письма от имени домена только яндексу.
Я хочу, чтобы в конце записи стояло -all
Яндекс рекомендует следующие варианты заполнения spf
v=spf1 redirect=_spf.yandex.net
v=spf1 ip4:IP-1 ip4:IP-2 ip4:IP-3 include:_spf.yandex.net ~all
Проблема в том, что у _spf.yandex.ru прописана следующая запись:
v=spf1 include:_spf-ipv4.yandex.ru include:_spf-ipv6.yandex.ru include:_spf-ipv4-yc.yandex.ru ~all
и там в конце этот злосчастный ~all
Есть у меня подозрение, что redirect и include отличаются друг от друга именно учётом этого ~all .
до чтения rfc я ещё на дорос. Подскажите, как правильно сделать?
вот rfc как раз и стоит читать в таких случаях
или гуглить, благо на тему spf dmarc dkim много информации redirect означает конец записи. а значит применяться будет тот "all" модификатор который в редиректе, вы на это не повлияете include, даже содержащий другие "all" модификаторы во включенных записях - читает spf до конца и применит ту опцию которая указана последней
Однако если у вас настроен DMARC и DKIM - для вас нет разницы между ~all и -all
играют более внятную и понятную роль в случае нарушений, в том числе при проверке SPF
А так как гугл просто неимоверно форсирует DMARC https://dmarcian.com/yahoo-and-google-dmarc-required/ то его приходится делать везде, где есть шанс что письмо уйдет в гугл. А значит - везде. и softfail (~) в SPF получается чем-то вроде легаси или бэкап опции для серваков которые еще не проверяют dmarc по какой то причине
