如何构造SPF记录？

Question

我们既通过Google应用程序发送电子邮件，也通过Klaviyo发送邮件--这是一个有点像mailchimp的工具。

我渴望建立一个SPF记录，以确保他们是正确的认证。

我让我的主人做这件事，他们创造了两项记录：

v=spf1 include:_spf.google.com ~all
v=spf1 include:send.benefacto.org ~all

根据这个https://support.google.com/a/answer/4568483?hl=en，当你有多个SPF记录时，它们都需要被包装成一个。

v=spf1 include:send.benefacto.org include:_spf.google.com ~all

这有道理吗？

Answer 1

我不会使用~all，而是使用-all。如果您关心身份验证，那么您最好让它失败，如果它不好的话。

我还看到你在跟踪Klaviyo的文档，但我只想澄清一下，您的电子邮件是否与@send.benefacto.org的返回路径一起发送？这被称为RFC5321。这是用来测试你的SPF记录。如果是的话，你很好。

你的send.benefacto.org的防晒成绩应该是简单的。

v=spf1 include:send.benefacto.org -all

您不需要包含google，因为谷歌不使用"send.benefacto.org“，因为它是RFC5321。

现在，对于谷歌来说，你需要修复它。因为您有两个SPF记录位于这里：您的Benefacto.org SPF记录

你不需要组合它，你只需要删除这个条目。

v=spf1 include:send.benefacto.org ~all

这只会让你有：

v=spf1 include:_spf.google.com ~all

因为Klaviyo和Gmail用不同的RFC5321发送邮件--你不需要将它们结合在一起(我正试图把这一点带回家，这并不会有什么影响-只是为ESP创建一个不可撤销的查找)

您还应该通过向"mailtest@unlocktheinbox.com"发送一封电子邮件，确保您的SPF记录在这两个邮件来源中都正确有效。

您还应该考虑设置DKIM，我认为您将能够设置DMARC与放松的对齐。但是你需要对DMARC和第三方发送者小心一点，并进行相应的测试。

Answer 2

是的，您需要将SPF指令合并到域中的单个记录中。根据规范，单个域上存在多个SPF记录是一个错误。