Суть задачи такова.
А) Существует множество ДОБАВЛЯЕМЫХ клиентских серверов domain1,2,3+∞
Б) Существует множество ДОБАВЛЯЕМЫХ почтовых серверов mail1,2,3+∞ ///Задача///
Каждый клиентский сервер должен слать через все почтовые сервера. Сохраняя политик SPF, DMARC и DKIM ///Проблема///
Очень не удобно каждому domain1,2,3+∞ прописывать разрешающую запись spf для большого числа mail1,2,3+∞, особенно учитывая что они могут добавляться. Что одни, что другие.
-----------------------------------Думаю решением такое -------------------------------------------
А) Создается собственный DNS сервер dnsdomain.ru к примеру.
Б) Существующим и регестрируемым клиентам доменам domain1,2,3+∞ предлагается внести запись типа v=spf1 redirect=_spf.dnsdomain.ru Это не сложно, не затруднительно в принципе - справятся. При этом уже разрешения для spf прописываю на dnsdomain.ru - опять же для каждого mail1,2,3+∞
- Не очень удобно - но реализуемо.
///Собственно вопрос///
Сколько записей прописывать можно dnsdomain.ru, и лучше прописывать и домен и ip или достаточно ip ///Прошу совета///
Как на Ваш взгляд можно упростить задачу и сохранить правила.
Проблема с большим количеством доменов действительно решается через include: или redirect=.
В SPF политике достаточно прописывать ip. Это является наиболее правильным решением, при условии что количество IP не превышает разумного и не будет приводить, например, к превышению размера DNS-ответа.
В таком случае можно использовать SPF с макроподстановками, например
v=spf1 exists:%{ir}._spf.dnsdomain.ru ~all
или v=spf1 exists:%{ir}._spf.%{d} ~all
и прописывать разрешеные почтовые серверы для каждого домена в отведенной зоне. Но делать так в ситуации, когда можно обойтись перечислением адресов и сетей через ip4: я бы не рекомендовал.
к примеру сейчас у нас 60 серверов надо прописать.
В принципе по длине вроде можно (я не помню ограничение какое)
Первое не удобство что раз в 2/3 дня могут вноситься изминения, и чем проще все будет тем лучше, тем более что не все клиенты могут прописать даже 1 запись.
SPF с макроподстановками - это для меня большой темный лес?
макроподстановки описаны в https://tools.ietf.org/html/rfc7208#section-7
там ничего сложного нет. Например, в случае
v=spf1 exists:%{ir}._spf.dnsdomain.ru ~all
ir означает IP адрес (i) в обратной нотации (r)
если SMTP клиент приходит с IP 1.2.3.4 будет запрошена запись
4.3.2.1._spf.dnsdomain.ru, если такая запись существует - то SPF будет считаться pass.
Может быть и можно, но они разные бывают и меняются.
А 60 ip адресов в spf это уже перебор?
С макросами прикольно, надо почитать..
Роюсь в инете встретил у почтовика унисендер spf2.0/ не встречал такое еще.
Владимир почитал, статья на самом деле учень легкая и многоинформативная.
Единственно может я смотрю сквозь пальцы.
Написано до 10 запросов dns - как их посчитать я понимаю в общих чертах.
Не совсем допонял ip:4.... / ip:4.... это 2 запроса или 1, два разных адреса понимаю как 2 запроса.
Я себе для эксперемента (до твоего совета познакомиться со статьей сделал)
v=spf1 a mx a:b2bmails.ru a:trb2mails.ru ip4:95.46.114.185 ip4:95.46.8.104 ip4:78.108.95.160 ip4:78.108.82.196 ip4:93.170.123.71 ip4:95.46.8.188 ip4:178.250.241.129 ip4:93.170.123.238 ip4:31.148.99.113 ip4:31.148.99.161 ip4:78.108.88.184 ip4:93.170.123.22" "7 ip4:93.170.123.230 ip4:31.148.99.242 ip4:95.46.114.15 ip4:78.108.88.225 ip4:93.170.123.95 ip4:31.148.99.117 ip4:31.148.99.213 ip4:95.46.8.29 ip4:51.38.48.247 ip4:164.132.45.33 ~all
Не смейся - я больше учусь чем желаю получить точность соответствия правил.
По сути у меня a mx a:b2bmails.ru a:trb2mails.ru - 5 запросов mx=2
и далее каждый ip
//// Протестировал на mail-tester.com вроде pass все
- заметил он в ДНС вывел я скопировал с него выше какйю то крокозябуру ip4:93.170.123.22" "7
в записях домена значиться норм ip4:93.170.123.227
И падать ДНС spf - начинают не от кол-ва запросов от 1 письма а при массовом кол-ве писем? Тут чет не до пойму.
На эту запись требуется 1 запрос на запись, по одному запросу на каждую из трех 'a' , 1 запрос на получение списка mx и по одному запросу на каждое имя в mx записи, итого 5 запросов + количество mx (например у b2bmails.ru 2 MX записи). Итого получается 7 запросов. Если другие домены будут делать редирект - то для них будет 8 запросов. Это укладывается в лимит, но если кто-то будет включать эту политику в свою, то может получить проблемы. Т.е. если вы планируете что ваши клиенты будут включать ваш сервис и при этом пользоваться еще чем-то - то такая политика недопустима, т.к. у клиентов почти наверняка возникнут проблемы с превышением лимита на запросы.
Двойные кавычки в ответе это нормально, TXT запись пришла в двух текстовых строках, стандарт это допускает.
DNS сам по себе не падает, просто он работает поверх негарантированного транспорта (UDP) и чувствителен к потере пакетов, а некторая потеря пакетов между двумя хостами в сети есть всегда, где-то больше, где-то меньше, и где-то может достигать нескольких процентов.
