SPF rekord működése; ki - kire mutat??

Sziasztok,

Ahogy a címből is kiderül... bele keveredtem az SPF rekord beállításaiba. Ki kire mutat és hogyan?

Adott egy szerver, legyen mondjuk mx2.example.hu. Ez a szerver a levél küldő szerver.

Van egy másik szerver, amin fut egy weboldal, legyen mondjuk: weboldal.hu címen elérhető. Levelet szeretnék küldeni a weboldal.hu egyik scriptjével az mx2.example.hu szerveren keresztül az info@webolda.hu feladóval. Ebben az esetben, hova állítok SPF rekordot a webolda.hu, vagy az example.hu címhez?

Kérlek segítsetek, mert már nagyon bele keveredtem. Megpróbáltam 15 beállítást kb, de mind vagy softfail, vagy pedig neutral eredményt adott.

A válaszokat és a segítséget előre is köszönöm.

Hozzászólások

Az SPF rekord azt határozza meg, hogy az adott domain nevében mely hosztnevek / IP címek jogosultak levelet küldeni.

Tehát, ha a levél feladója @webolda.hu-ra végződik, akkor a webolda.hu domain SPF rekordját kell beállítani azon hosztnevekre / IP címekre, ahonnak kimehetnek a levelek, jelen esetben az mx2.example.hu hosztnévre vagy az IP címére.

webolda.hu.  IN  TXT "v=spf1 a:mx2.example.hu ?all"

a subdomainbe vedd fel ezt az spf-et. edit: de én nem így csinálnám, nincs azzal semmi baj, ha felveszel konkrét IP-ket az spf-be, vagy beleteszed/benthagyod az mx-et is "extraként" stb.

edit2: ja, és ugye TXT-ként veszed fel, és nem a deprecated SPF-ként?

TXT-ként veszem fel igen... ugyan akkor nem jó és nem működik

Tehát weboldal.hu domainhez felvettem két A rekordot(mx1 és mx2), amik a megfelelő szerver IP címére mutatnak.
Majd felvettem a fentebb említett A rekordos SPF txt rekordot, de továbbra is hiba.

De miért?? Nem értem...

Az MX-et nem tudom bele tenni, mert a domain mx rekordja egy teljesen másik szerverre mutat. A levelek fogadását egy külső szolgáltató kezeli.

Á, értem. Röviden: az SPF-ben azokat az IP-ket kell felsorolni, amelyek küldhetnek legálisan levelet, tehát amelyik IP-ről végül kimegy a levél.

A jelenlegi softfail lehet a ~ oka?

Igen, ilyenkor nem dobja el a rossz IP-ről érkező levelet, de felpontozhatja, hogy gyanús. Érdemes a DMARC és a forensic bekapcsolása, egy XML-t fogsz kapni a nagyobb szolgáltatóktól, hogy mit látnak az adott domain levelezése kapcsán, ezt vagy megtanulod értelmezni, vagy feltöltöd dekódolni, de nagyon hasznos. Ha minden oké, akkor mehet a `-all`, mert ezt az igazi védelem.