SPF-record. Внедрять или нет?

Приветствую all.

Продолжаю свой цикл «Идеи для Хабра». Напоминаю, что я администрирую сей сайт в низкоуровневом плане (сервера, ОС, даемоны и взаимодействие всего этого) и меня достаточно сильно интересует мнение моих коллег, имеющих практический опыт использования того, что указано в теме поста. Пока что идет все достаточно вяло, но несколько полезных сведений я уже почерпнул.

Предыдущие вопросы:


На сей раз вопрос крутится вокруг почтовой подсистемы. У нас практически вся почта MX-записями завёрнута на gmail.com. Это достаточно удобно и устраивает почти всех, если, конечно, абстрагироваться от вопросов о «большом брате». Но есть сервера, где в свою очередь крутятся наши сайты, многие из которых рассылают пользователям разные уведомления. С недавнего времени, все письма от некоторых из наших серверов идут к пользователям не напрямую, а через релей, на языке админов «smarthost»: это удобно, так как не надо тонко настраивать штатный sendmail, нужно просто вставить строчку и все. А настроить надо правильно только релей.

Итак, что мы имеем в итоге? Собственно, вся легитимная почта с домена habrahabr.ru идет нашим пользователям только с Гугля и с нашего релея. Т.е. есть хорошая возможность прописать в зоне SPF-запись с ссответствующими данными и с опцией "-all". У этой технологии есть масса плюсов и несколько минусов: один из минусов связывают с возможными проблемами при пересылке писем. Конечно, правильные MTA при пересылке должны изменять заголовки и т.д., но не у всех же все настроено так как нужно.

В связи с вышеизложенным, как вы думаете, стоит ли прописывать жёсткое "-all" или ограничиться только неуверенным "~all"?

P.S. Кстати, DKIM уже работает, релей успешно подписывает исходящую почту. Если ваши почтовые клиенты будут писать о недействительной подписи, дайте знать.
  • Вопрос задан
  • 6489 просмотров
Пригласить эксперта
Ответы на вопрос 3
Maxima
@Maxima
Народу у нас в разы меньше конечно но уведомлений бывает оочень много, ибо рассылки, и только с ~all ну и диапазоны ip конечно.
Уже года 4 полет нормальный.
Ответ написан
Комментировать
Если у вас почта на gmail, то -all не надо делать, могут быть проблемы с доставкой почты, сам гугл не рекомдует делать -all, так же нельзя и без SPF ибо в разы увеличивается ложные срабатывания антиспама даже внутри компании.
Ответ написан
Комментировать
helldweller
@helldweller
PornOps
Я пишу -all, но разрешаю популярным в рунете почтовикам "пересылать" мои письма(если, например, какой-то юзер, которому идет письмо(например на mail.ru), настроил пересылку на свой корп. ящик)
myzone.ru     text = "v=spf1 include:_spf.myzone.ru -all"
_spf.myzone.ru        text = "v=spf1 a:mx1.myzone.ru a:mx2.myzone.ru include:_spf.yandex.ru include:_spf.mail.ru include:_spf.google.com -all"


В остальных своих зонах пишу:
somezone.ru     text = "v=spf1 redirect=_spf.myzone.ru"

Удобно!

Для Sender ID, возможно будет выглядеть так, поправьте если не прав.
myzone.ru     text = "v=spf2.0/mfrom include:_spf.myzone.ru -all"
_spf.myzone.ru        text = "v=spf2.0/mfrom a:mx1.myzone.ru a:mx2.myzone.ru include:_spf.yandex.ru include:_spf.mail.ru include:_spf.google.com -all"
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы