Bir sunucudaki birden çok etki alanı için SPF'yi nasıl yapılandırabilirim? (ayrıca gönderici olarak gmail'e izin verir)

9

SPF (Gönderen Politikası Çerçevesi) spam gönderenler / kimlik sahtekarlığıyla mücadele için iyi bir yol gibi görünüyor.

Ancak, açıklamaları birkaç kez okumaya rağmen, doğru bir şekilde nasıl yapılandırılacağını tam olarak anlamıyorum.


Diyelim ben benim sunucu var ki a.x.comhangi ana www.x.comve b.x.comve c.x.comvb.

Ayrıca a.co.uk b.net c.info, hepsi de barındırılan alt alanlardan oluşan bir ürün yelpazesine sahibim .x.com

Tüm bu alan adları ve alt alan adları için, postaların gönderilmesine izin vermek istiyorum a.x.com

Ayrıca bunların hepsinin, tüm bu alanlar için Gmail'den gönderilen postalara izin vermesini istiyorum.

Bunu SPF ile nasıl ayarlarım?

x.com(Veya a.x.com) için bir SPF kaydı ayarlayabilir miyim ve sonra her şey için sadece kayıt için basit bir içerme / işaretçi var mı x.comyoksa farklı yapılması gerekiyor mu?

Yukarıdaki örnek için herhangi bir SPF kaydı olabilir mi?


Not: Sorumun ikinci kısmı cevaplandı (" kayıtlarını v=spf1 include:x.com -alleklemek / x.comkaydetmek için" " tuşunu kullanın), ancak neyin ayarlanacağının kilit kısmı x.comcevapsız kalır ...

domain-name-system  email  spam  spf 
Peter Boughton
kaynak
Aslında spam'ı azaltmanın umutsuzca etkisiz bir yolu olduğu kanıtlandı. Aslında, tartışmasız, bu sadece gönderen adres sahteciliğine hitap etmek içindir.
Christopher Edwards
2
"yalnızca gönderenin adres sahteciliğine yöneliktir" - tam olarak, spam gönderenlerin başkalarının alan adlarından gelmiş gibi görünen postalar göndermesini engellemek.
Peter Boughton

Yanıtlar:

7

X.com dışındaki etki alanları için bölge dosyalarını değiştirmek zorunda kalmazsınız, ancak bir etki alanında barındırılan ortak ilkeleri tanımlayıp redirectdiğer etki alanlarında SPF anahtar sözcüğünü kullanarak kendinize çok fazla sorun kaydedebilirsiniz . Misal:

  • x.comEtki alanının bölge dosyasında :
_policy1 IN TXT "v = spf1 a: axcom -all"
_policy2 IN TXT "v = spf1 şunları içerir: _spf.google.com a: axcom -all"

_spf.google.comGmail SPF kaydını tutan kayıttır. Belgelenip belgelenmediğinden emin değilim. Teorik olarak yapmalısınız include:gmail.comama bu bir yönlendirme _spf.google.comve qmail için en az bir yaygın olarak kullanılan SPF yaması vardı ve bunu düzgün takip etmedi (Ağustos 2008'de düzeltildi, ancak hala dağıtılabilir.) İki politika elbette örnektir - hataya yol açarken, hataya eğilimli kopya yapıştırma yerine yalnızca hedef etki alanında kısa bir ad değiştirmeniz gerektiğinden, farklı düzeylerde birden çok katıya sahip olmak hata ayıklamada son derece kullanışlıdır.

  • Diğer alan adları için bölge dosyalarında:
@ IN TXT "v = spf1 yönlendirmesi = _policy1.x.com"

veya

@ IN TXT "v = spf1 yönlendirmesi = _policy2.x.com"

vb kullanıyorum redirect, değil includetamamen ben yönlendirmekten ediyorum biriyle şu anda değerlendirilen kaydını değiştirmek için SPF kontrolünü neden. includebunu yapmazsa - örneğin, a'nın -allsonunda a, includedeğerlendirmenin durmasına neden olmaz ( includebüyük bir yanlış adlandırmadır.) includeBir SPF kaydını başka bir alandan "takma adlandırmak" istediğinizde kullanmaktan kaçınmalısınız çünkü oldukça kırılgandır - sondaki kazayı unutursanız -tüm bu etki alanındaki tüm SPF'nizi etkisiz hale getirebilirsiniz.

Düzenleme: Bununla birlikte, Gmail sunucularının gönderici olarak izin vermesini istiyorsanız, tetikte olmanız gerektiğini lütfen unutmayın. Gmail bölümü çatlamış, yani hesap kayıtlarını otomatikleştirmek mümkün, yani Gmail (dolaylı olarak) açık geçiş olarak kullanılabilir (şirket tartışma forumum için haftada onlarca spambot kayıt isteği alıyorum gmail.com e-posta adresleri - ve bu adresler canlı, kontrol amacıyla birkaç kişinin geçmesine izin verdim.) Ayrıca, Gmail hesabına sahip olan herkes, alan adlarınızdaki e-posta adreslerinin uwsername bölümlerine aşina olup olmadığını SPF kontrolünü atlayabilir. .

Mihai Limbăşan
kaynak
Teşekkürler, bu yardımcı bir cevap. En son kontrol ettiğimde, Gmail diğer adreslerden e-posta gönderebilmeniz için e-posta doğrulaması gerektiriyor. Bu nedenle, bu adresin gelen kutusu güvenli olduğunda işler yolunda mı? Ayrıca bortzmeyer'in cevabındaki gibi 'www' satırlarına sahip olmak ne kadar önemli?
Peter Boughton
1
Doğru, ama foudationda bir çatlak göründüğünde, eminim birisi nehrin yarısını sıkmak için bir yol bulacaktır :) Yapmamalısın demiyorum, sadece ayak parmaklarında olmanı ve Gmail’in istismar ediliyor, yani lütfen Gmail yetkisini süresiz terk etmeyin. Onlara daha fazla çevrimiçi varlığa güvendiğimden daha fazla güveniyorum, ama bu sadece güven değil, sadece güven değil.
Mihai Limbăşan
Neden bortzmeyer www girişleri dahil bilmiyorum. @ Www.x.com adresinden (çok fazla kullanılmamakla birlikte) sade tuhaf görünen ve teknik açıdan anlayışlı olmayan insanlardan daha az karışıklığa neden olan postalar göndermediğiniz sürece tamamen işe yaramazlar.
Mihai Limbăşan
2
Ayrıca, SPF kayıt türlerini kullanmazdım. TXT ile devam etmenizi tavsiye ederim. SPF kaydı türü yalnızca RFC başına, BIND 9.4 ve üstü tarafından desteklenen gerekir ayrıca TXT kayıtlarının kopyaları korumak sen şeyler (kötü) CopyPaste gerekir yani ve senkronize (sert) onları korumak gerekir. TXT, öngörülebilir gelecek için birincil SPF dağıtım mekanizması olacağından kazanç mevcut değil, quoth openspf.org.
Mihai Limbăşan
1
@Mihai Limbasan: mükemmel cevap, paylaştığınız için teşekkürler. Cevabınızı güncellemeniz gerektiğini düşünüyorsanız, Google , doğru bir şekilde anladığımı varsayarak, ref v=spf1 include:_spf.google.com ~allyerine tercih ediyor gibi görünüyor -all. google.com/support/a/bin/answer.py?answer=178723
Marco Demaio
4

Evet, alan adlarınızdan birindeki yapılandırmayı diğer tüm alan adları için SPF kayıtlarına ekleyebilirsiniz. Diğer etki alanlarının SPF kaydını aşağıdaki şekilde ayarlamak hile yapmalıdır:

v=spf1 include:x.com -all
womble
kaynak
Bu "yalnızca işe yarar" mı yoksa _spf alt alan adı veya benzeri bir alan gerektirir mi?
Peter Boughton
Başlangıçta doğrudan x.com'da tanımlanan SPF kayıtlarına sahipseniz, diğer etki alanlarının dahil edilmesinin doğrudan x.com'u da işaret edebileceğinden eminim. SPF kaydınızı _spf.x.com yolunda tanımlarsanız, evet, bu FQDN'yi de gösterecek şekilde içerme işlemini biraz değiştirmeniz gerekir.
womble
2

Http://www.openspf.org/ adresindeki web aracını kullanmayı denediniz mi? Bununla başa çıkmanız biraz daha kolay olabilir ...

Alanınızı sağ üst kutuya girin ve git düğmesini tıklayın. Oradan, aceleyle bir şeyler ayarlayabilmelisin.

Avery Payne
kaynak
1
Bu araçla birkaç kez denedim, ancak açıklamalar yeterince açık değil.
Peter Boughton
2

Standart RFC 4408 , istediğinize çok yakın bazı örnekler sunar. İşte x.com'un zonefile özeti:

@ IN TXT "v = spf1 a: axcom -all"
      IN SPF "v = spf1 a: axcom -all"

www IN TXT "v = spf1 a: axcom -all"
      IN SPF "v = spf1 a: axcom -all"

Notlar:

  • Gmail e-posta sunucularını eklemedim çünkü onları tanımıyorum, Gmail kullanıcılarına sorun
  • 'a', 'adres' içindir ( bir DNS A kaydı değildir , IPv6 içerir)
  • Neredeyse tüm uygulamalar yalnızca TXT kaydını kullanıyor olsa da, RFC başına SPF kayıtları ekledim
bortzmeyer
kaynak
1

Evet, belirli bir SPF kaydını her etki alanına tek tek eklemeniz gerekir.

Bunun nedeni, DNS'deki tek (yararlı) diğer ad türü kaydının CNAMEkayıt olmasıdır. Ancak CNAMEkayıt için gerçekleşmesi aliasing neden olur ALL RRset içinde RRtypes arasında - hayır demek için bir yol "var CNAMESPF kaydı ancak MXkayıtları "

Alnitak
kaynak
Her etki alanı için bir SPF kaydı eklemem gerektiğini anlıyorum , ancak basit bir işaretçiyi daha sonra tüm karmaşık komutların yaşayabileceği ana etki alanına depolamayı umuyordum . Womble, bunun için include: {domain} 'i kullanabileceğimi gösteriyor, ancak bunun sadece diğer alan için SPF kayıtlarında / noktaları içerip içermediği veya bir _spf.x.com alt alan adı barındırmam gerekiyorsa hala net değilim?
Peter Boughton
evet, bkz. womble'ın cevabı
Alnitak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.