it-swarm-es.com

¿Cómo configuro SPF para múltiples dominios en un servidor? (también permite gmail como remitente)

SPF (Sender Policy Framework) parece una buena forma de combatir los spammers/spoofing.

Sin embargo, a pesar de leer las explicaciones varias veces, no entiendo muy bien cómo configurarlo correctamente.


Digamos que tengo mi servidor en a.x.com que aloja www.x.com y b.x.com y c.x.com y así.

Tambien tengo a.co.ukb.netc.info y así sucesivamente, cada uno de ellos con una variedad de subdominios, todos alojados en x.com

Para todos estos dominios y subdominios, quiero permitir que se envíe correo desde a.x.com

También me gustaría que todos permitieran el envío de correo desde Gmail para todos estos dominios.

¿Cómo configuro esto con SPF?

¿Puedo establecer un registro SPF para x.com (o a.x.com) y luego, para todo lo demás, solo tenga un simple include/pointer a x.com 's record, o debería hacerse de otra manera?

¿Alguien puede proporcionar algunos registros SPF para el ejemplo anterior?


Nota: La segunda parte de mi pregunta ha sido respondida (use "v=spf1 include:x.com -all "para incluir/señalar en x.com's record), pero la parte clave de qué configurar en x.com permanece sin respuesta ...

9
Peter Boughton

No puede evitar tener que modificar los archivos de zona para los dominios que no sean x.com, pero puede ahorrarse muchos problemas si define políticas comunes alojadas en un dominio y utiliza la palabra clave redirect SPF en el otros dominios. Ejemplo:

  • En el archivo de zona para x.com dominio:
 _ policy1 IN TXT "v = spf1 a: axcom -all" 
 _ policy2 IN TXT "v = spf1 include : _spf.google.com a: axcom -todos "

_spf.google.com es el registro que contiene el registro SPF de Gmail. No estoy seguro de si está documentado. Teóricamente deberías include:gmail.com pero eso es un redireccionamiento a _spf.google.com y ha habido al menos un parche SPF ampliamente utilizado para qmail que no lo siguió correctamente (se corrigió en agosto de 2008 pero aún podría implementarse). Las dos políticas son ejemplos, por supuesto: tener más de una con varias Los niveles de rigurosidad son extremadamente útiles al depurar, ya que solo tiene que modificar un nombre corto en el dominio de destino en lugar de copiar, propenso a errores.

  • En los archivos de zona para los otros dominios:
 @ IN TXT "v = redireccionamiento spf1 = _policy1.x.com" 

o

 @ IN TXT "v = redireccionamiento spf1 = _policy2.x.com" 

etc. Estoy usando redirect, no include, para hacer que la verificación SPF reemplace por completo el registro evaluado actualmente con el que estoy redirigiendo. include no hace eso, por ejemplo, un -all al final de un include no hace que la evaluación se detenga (include es un nombre muy inapropiado.) Debes evitar usar include cuando quieras "alias" a Registro SPF de otro dominio, ya que es bastante frágil (si olvida accidentalmente el final), es posible que todo su SPF en ese dominio sea ineficaz.

Editar: tenga en cuenta, sin embargo, que debe estar en guardia si desea permitir los servidores de Gmail como remitentes. El chaptcha de Gmail se ha descifrado, lo que significa que es posible automatizar los registros de cuentas, lo que significa que Gmail se puede usar (indirectamente) como un relé abierto (recibo decenas de solicitudes de registro de spambot por semana para el foro de discusión de mi empresa, todas usando gmail.com, y esas direcciones están activas, he permitido que algunas pasen con fines de verificación). Además, cualquier persona con una cuenta de Gmail puede omitir la verificación de SPF si está familiarizado con las partes del nombre de usuario de las direcciones de correo electrónico de sus dominios. .

7
Mihai Limbăşan

Sí, puede incluir la configuración de uno de sus dominios en los registros SPF para todos los demás dominios. Establecer el registro SPF de los otros dominios en lo siguiente debería funcionar:

v=spf1 include:x.com -all
4
womble

¿Ha intentado utilizar la herramienta web en http://www.openspf.org/ ? Puede que te resulte un poco más fácil lidiar con esto ...

Simplemente ingrese su dominio en el cuadro superior derecho y haga clic en el botón Ir. A partir de ahí, debería poder configurar las cosas rápidamente.

2
Avery Payne

El estándar, RFC 4408 , proporciona algunos ejemplos que se acercan mucho a lo que desea. Aquí hay un extracto del zonefile de x.com:

 @ IN TXT "v = spf1 a: axcom -todos" 
 IN SPF "v = spf1 a: axcom -todos" 
 
 www IN TXT "v = spf1 a: axcom -todos" 
 IN SPF "v = spf1 a: axcom -todos" 

Notas:

  • No agregué servidores de correo electrónico de Gmail porque no los conozco, pregunte a la gente de Gmail
  • 'a' es para 'dirección' (es no un registro DNS A, incluye IPv6)
  • Agregué registros SPF, según el RFC, aunque casi todas las implementaciones usan solo el registro TXT
2
bortzmeyer

Sí, debe agregar el registro SPF específico a cada dominio individualmente.

La razón de esto es que el único registro de tipo de aliasing (útil) en el DNS es el registro CNAME. Sin embargo, el registro CNAME hace que ocurra el aliasing para TODOS de los tipos RR en un RRset - no hay forma de decir "CNAME el registro SPF pero no los MX registros "

1
Alnitak