防伪防伪

Question

我正在努力通过正确配置SPF为我的领域。我们有两个MX服务器，只接收邮件，和两个出站中继服务器，我们希望列出在我们的SPF记录。

我们还有一个名为mail.sub.example.com的子域中的邮件服务器。它只发送此子域的邮件。两个MX服务器还负责此域的传入邮件。

我遇到的问题是用户经常将邮件从这个子域服务器转发到Gmail和其他提供程序，在那里他们使用这些远程提供程序的特性作为user@sub.example.com发送邮件。

那么，是否应该将Google的SPF记录添加为包含？

我担心，这样做会打开所有的谷歌，以便能够欺骗我的域名。如果没有列出，我们就失去了在整个电子邮件链中维护SPF所提供的安全性的好处。

当从我自己的域接收到MX服务器的电子邮件时，我也想从SPF保护中受益，并使用它来保护我自己的用户不接收来自我们域中的用户的伪造电子邮件。

Answer 1

Sub和示例应该有单独的SPF记录，包括您从以下地方发送电子邮件的服务器：

我建议使用ip4:机制，而不是A、MX或PTR，将这些DNS查找保存为包含:如果稍后添加第三方ESP的话。

-all拒绝

此外，看看DMARC，因为它将有更高的成功率，欺骗保护与大型邮箱提供商。

Gmail将从gmail发送电子邮件，但代表user@example.com，因此它将使用SPF来处理gmail，而不是example.com。