Que sont les enregistrements SPF et comment puis-je les configurer?

49

C'est une question canonique sur la configuration des enregistrements SPF .

J'ai un bureau avec de nombreux ordinateurs qui partagent une adresse IP externe unique (je ne suis pas sûr si l'adresse est statique ou dynamique). Chaque ordinateur se connecte à notre serveur de messagerie via IMAP en utilisant Outlook. Les courriers électroniques sont envoyés et reçus par ces ordinateurs, et certains utilisateurs envoient et reçoivent également des courriers électroniques sur leur téléphone portable.

J'utilise http://wizard.easyspf.com/ pour générer un enregistrement SPF et je ne suis pas sûr de certains champs de l'assistant, notamment:

  1. Entrez tout autre domaine pouvant envoyer ou relayer du courrier pour ce domaine.
  2. Entrez les adresses IP au format CIDR pour les blocs réseau d'origine ou le courrier relais pour ce domaine.
  3. Entrez tout autre hôte pouvant envoyer ou relayer du courrier pour ce domaine.
  4. Dans quelle mesure les MTA sensibles à la SPF doivent-ils traiter cela?

Les premières questions me semblent assez sûres ... espérons avoir donné assez d'informations.

vulgarbulgar
la source

Réponses:

68

SPF enregistre en détail les serveurs autorisés à envoyer du courrier pour votre domaine.

Les questions 1 à 3 résument bien l’intérêt de SPF: vous êtes censé répertorier les adresses de tous les serveurs autorisés à envoyer des messages provenant de votre domaine.
Si vous ne disposez pas d'une liste exhaustive à ce stade, il n'est généralement pas judicieux de configurer un enregistrement SPF. De plus, un domaine ne peut avoir qu'un seul enregistrement SPF. Vous devez donc combiner toutes les informations dans un seul enregistrement.

Les questions individuelles aident vraiment à casser la liste pour vous.

  1. vous demande d'autres domaines dont les serveurs de messagerie peuvent relayer le courrier de votre part; Si vous avez par exemple un serveur MX secondaire sur mail-relay.example.org et qu'il s'agit du serveur de messagerie principal (enregistrement MX) du domaine example.org, vous devez alors entrer mx:example.org. Votre enregistrement SPF doit inclure l’enregistrement MX de votre propre domaine dans presque toutes les circonstances ( mx).
  2. vous demande votre netblocks ip. Si vous avez des serveurs colocalisés à 1.2.3.0/28 et que votre espace adresse de bureau est 6.7.8.0/22, entrez ip4:1.2.3.0/28 ip4:6.7.8.0/22. L'espace IPv6 doit être ajouté comme par exemple ip6:2a01:9900:0:4::/64.
  3. si (par exemple) vous avez également une machine éteinte dans le bureau de quelqu'un d'autre qui doit être autorisée à envoyer des messages de votre domaine, entrez-la également, avec par exemple a:mail.remote.example.com.

Les utilisateurs de votre téléphone mobile sont problématiques. S'ils envoient des e-mails en se connectant à votre serveur de messagerie en utilisant, par exemple, SMTP AUTH, et en les envoyant via ce serveur, vous les avez traités en indiquant l'adresse du serveur de messagerie entre (2). Si elles envoyez un email suffit juste de connecter à tout serveur de messagerie l'offre de fournisseur 3G / HSDPA, alors vous ne pouvez pas faire SPF de façon significative jusqu'à ce que vous avez Réarchitecture votre infrastructure e - mail afin que vous faites contrôler tous les points à partir desquels email prétendument de vous frappe de plein fouet l'Internet.

La question 4 est un peu différente et demande ce que les destinataires devraient faire avec les courriers électroniques prétendant provenir de votre domaine et ne provenant pas d'un des systèmes répertoriés ci-dessus. Il existe plusieurs réponses juridiques, mais les seules intéressantes sont ~all(soft fail) et -all(hard fail). ?all(pas de réponse) est aussi inutile que ~all(qv) et +allest une abomination.

~allest le choix simple; il indique aux personnes que vous avez répertorié un ensemble de systèmes autorisés à envoyer du courrier de votre part, mais que vous ne vous engagez pas en faveur d'une liste exhaustive, de sorte que les messages de votre domaine provenant d'autres systèmes peuvent toujours être légaux. Je vous exhorte à ne pas faire ça. Non seulement cela rend SPF complètement inutile, mais certains administrateurs de messagerie sur SF configurent délibérément leurs destinataires SPF pour les traiter ~allcomme le badge d'un spammeur. Si vous ne le faites pas -all, ne vous embêtez pas du tout avec le SPF .

-allest le choix utile; il indique aux personnes que vous avez répertorié les systèmes autorisés à envoyer des e-mails de votre part et qu'aucun autre système n'est autorisé à le faire. Ils peuvent donc refuser les e-mails provenant de systèmes non répertoriés dans votre enregistrement SPF. C'est le point de SPF, mais vous devez vous assurer que vous avez répertorié tous les hôtes autorisés à générer ou à relayer un courrier de votre part avant de l'activer .

Google est connu pour conseiller que

La publication d'un enregistrement SPF utilisant -all au lieu de ~ all peut entraîner des problèmes de diffusion.

eh bien oui. c'est tout l'intérêt du SPF . Nous ne pouvons pas savoir avec certitude pourquoi Google donne ce conseil, mais je soupçonne fortement que c'est pour empêcher les administrateurs systèmes qui ne savent pas exactement d'où provient leur courrier électronique. Si vous ne savez pas d'où provient tout votre courrier électronique, n'utilisez pas SPF . Si vous utilisez SPF, répertoriez tous les lieux d'où il provient et dites au monde en qui vous avez confiance, avec -all.

Notez que rien de tout cela ne lie le serveur d'un destinataire; le fait que vous annonciez un enregistrement SPF n'oblige en aucun cas quelqu'un d'autre à l'honorer. Il appartient aux administrateurs d’un serveur de messagerie de choisir le courrier électronique qu’ils acceptent ou non. Je pense que SPF vous autorise à décliner toute responsabilité pour les courriers électroniques prétendant provenir de votre domaine, mais ne l’était pas. Tout administrateur de messagerie venant à vous et se plaignant que votre domaine leur envoie du spam alors qu'il n'a pas pris la peine de vérifier l'enregistrement SPF que vous leur avez annoncé et qui lui aurait dit que l'e-mail devait être rejeté peut être renvoyé avec une puce à l'oreille.


Depuis que cette réponse a été canonisée, je ferais mieux de dire quelques mots à propos de includeet redirect. Ce dernier est plus simple; si votre enregistrement SPF, dites pour example.com, dit redirect=example.org, l’ example.orgenregistrement SPF remplace le vôtre. example.orgest également substitué à votre domaine dans ces recherches (par exemple, si example.orgl'enregistrement inclut le mxmécanisme, la MXrecherche doit être effectuée sur example.orget non sur votre propre domaine).

includeest largement mal compris et, comme le notent les auteurs de la norme, " le nom" inclure "a été mal choisi ". Si votre enregistrement SPF includede example.org« s dossier, puis example.org» le dossier doit être examiné par un destinataire pour voir si elle donne une raison quelconque (y compris +all) d'accepter votre e - mail . Si c'est le cas, votre courrier devrait passer. Si ce n'est pas le cas, le destinataire doit continuer à traiter votre enregistrement SPF jusqu'à l'atterrissage de votre allmécanisme. Ainsi, -allou bien toute autre utilisation de allexcept +all, dans un includeenregistrement d, n’a aucun effet sur le résultat du traitement.

Pour plus d'informations sur les enregistrements SPF, http://www.openspf.org est une excellente ressource.


Ne le prenez pas mal, mais si vous avez un mauvais enregistrement SPF, vous pouvez empêcher une fraction importante d’Internet de recevoir des emails de votre part jusqu’à ce que vous le corrigiez. Vos questions suggèrent que vous n'êtes peut-être pas tout à fait au courant de ce que vous faites, et si tel est le cas, vous voudrez peut-être envisager de faire appel à une assistance professionnelle avant de faire quelque chose qui empêche l'envoi d'un courrier électronique à un très grand nombre de personnes.

Edit : merci pour vos gentils mots, ils sont très appréciés.

Le SPF est avant tout une technique visant à empêcher l'utilisation de joe-jobbing , mais certaines personnes semblent avoir commencé à l'utiliser pour tenter de détecter le spam. Certains d’entre eux peuvent en effet attribuer une valeur négative à votre absence totale d’enregistrement SPF, ou à un enregistrement trop large (par exemple a:3.4.5.6/2 a:77.5.6.7/2 a:133.56.67.78/2 a:203.54.32.1/2, ce qui équivaut plutôt sournoisement à +all), mais cela dépend de vous et vous ne pouvez rien faire à ce sujet.

Personnellement, je pense que SPF est une bonne chose, et vous devriez annoncer un enregistrement si votre structure de courrier actuelle le permet, mais il est très difficile de donner une réponse faisant autorité, valable pour tout l'internet, sur la manière dont les gens utilisent un enregistrement DNS conçu pour une spécifique, quand ils décident de l’utiliser à des fins différentes. Tout ce que je peux dire avec certitude est que si vous faites de la publicité d' un enregistrement SPF avec une politique de -all, et vous obtenez mal, beaucoup de gens ne verront jamais votre courrier.

Edit 2 : supprimé suite aux commentaires et pour garder la réponse à jour.

MadHatter soutient Monica
la source
apprécier la réponse approfondie et simple en anglais (dont j’avais évidemment besoin). vous avez raison de noter que je suis principalement dans le noir et que je n'ai aucune affaire à porter le chapeau d'un maître de poste. une question de suivi: puisque nous parlons d'une très petite opération (environ 10 à 15 comptes de messagerie au total) - et ne pas envoyer de gros volumes de courrier - est-ce quelque chose que nous pouvons survivre sans pour le moment ou probablement se retrouver dans beaucoup de dossiers de spam là-bas? lorsque nous envoyons des messages en masse, nous utilisons des services tels que mailchimp, etc.
vulgarbulgar
Tout est bon pour deux choses: Le scénario 1."pas complètement au fait " que vous avez décrit. Il vous permet d’effectuer toute la configuration de manière réelle, y compris des tests réels, avant d’appuyer sur le déclencheur final. 2.Scores de spam. Si vous ne pouvez vraiment pas contrôler tous vos points de sortie du courrier, tous peuvent contribuer aux scores de spam pour les systèmes qui correspondent à votre enregistrement (bien sûr: ils peuvent également endommager le score des systèmes défaillants).
Joel Coel
Ils peuvent également nuire aux résultats avec les systèmes destinataires dont les administrateurs considèrent l' ~allindicateur de spam sur l'ensemble du domaine, dont au moins un sur SF.
MadHatter soutient Monica le
2
@MadHatter Un commentaire à Edit2 en particulier: La spécification SPF actuelle indique que vous devez utiliser l'un TXTou l' autre, SPFmais que vous devez utiliser les deux (identique), la spécification SPF à venir proposée abandonne SPFcar l'assimilation a été inférieure aux attentes et cause généralement des problèmes d'interopérabilité. Dans cet esprit, il semble peu conseillé de ne regarder que vers le haut SPF.
Håkan Lindqvist
3
Merci pour la vérité et j'ai ri aux éclats de rire "+ tout est une abomination."
jerclarke
3

Ce qui est important pour votre configuration est la configuration du serveur qui envoie finalement le courrier électronique à Internet. Vous dites que vous envoyez des emails via SMTP. Donc, en termes d’adresse IP, l’important est la configuration de votre serveur SMTP (question 2)

Si vous utilisez un tiers, tel que gmail, pour envoyer vos e-mails, vous devez inclure leurs enregistrements spf tels que: include: _spf.google.com (l'assistant ajax ne semble pas en être informé).

Pour "How Stringent", laissez le "soft fail" (~ all) si vous n'êtes pas sûr, mais sinon, "rejeter" (-all) est la voie à suivre une fois que votre configuration est propre.

Olivier S
la source