Sziasztok,
Ahogy a címből is kiderül... bele keveredtem az SPF rekord beállításaiba. Ki kire mutat és hogyan?
Adott egy szerver, legyen mondjuk mx2.example.hu. Ez a szerver a levél küldő szerver.
Van egy másik szerver, amin fut egy weboldal, legyen mondjuk: weboldal.hu címen elérhető. Levelet szeretnék küldeni a weboldal.hu egyik scriptjével az mx2.example.hu szerveren keresztül az info@webolda.hu feladóval. Ebben az esetben, hova állítok SPF rekordot a webolda.hu, vagy az example.hu címhez?
Kérlek segítsetek, mert már nagyon bele keveredtem. Megpróbáltam 15 beállítást kb, de mind vagy softfail, vagy pedig neutral eredményt adott.
A válaszokat és a segítséget előre is köszönöm.
- 585 megtekintés
Hozzászólások
Az SPF rekord azt határozza meg, hogy az adott domain nevében mely hosztnevek / IP címek jogosultak levelet küldeni.
Tehát, ha a levél feladója @webolda.hu-ra végződik, akkor a webolda.hu domain SPF rekordját kell beállítani azon hosztnevekre / IP címekre, ahonnak kimehetnek a levelek, jelen esetben az mx2.example.hu hosztnévre vagy az IP címére.
webolda.hu. IN TXT "v=spf1 a:mx2.example.hu ?all"
- A hozzászóláshoz be kell jelentkezni
És ha a weboldal.hu DNS-ébe fel van véve mind az mx szerverek A rekorddal, tehát mx1.weboldal.hu és mx2.weboldal.hu és az rámutat a kiküldő mx szerver IP címére, akkor miért nem jó az alábbi beállítás?
v=spf1 a ~all
- A hozzászóláshoz be kell jelentkezni
a subdomainbe vedd fel ezt az spf-et. edit: de én nem így csinálnám, nincs azzal semmi baj, ha felveszel konkrét IP-ket az spf-be, vagy beleteszed/benthagyod az mx-et is "extraként" stb.
edit2: ja, és ugye TXT-ként veszed fel, és nem a deprecated SPF-ként?
- A hozzászóláshoz be kell jelentkezni
TXT-ként veszem fel igen... ugyan akkor nem jó és nem működik
Tehát weboldal.hu domainhez felvettem két A rekordot(mx1 és mx2), amik a megfelelő szerver IP címére mutatnak.
Majd felvettem a fentebb említett A rekordos SPF txt rekordot, de továbbra is hiba.
De miért?? Nem értem...
- A hozzászóláshoz be kell jelentkezni
A `v=spf1 mx ~all` jobb, mert ebben nincs benne a webszerver címe, tehát ha feltörik és véletlenül nem nézik meg, hogy másik host a smarthost, akkor segíthet.
De idővel az ~all helyett legyen majd -all.
- A hozzászóláshoz be kell jelentkezni
Az MX-et nem tudom bele tenni, mert a domain mx rekordja egy teljesen másik szerverre mutat. A levelek fogadását egy külső szolgáltató kezeli.
A jelenlegi softfail lehet a ~ oka?
- A hozzászóláshoz be kell jelentkezni
Az MX-et nem tudom bele tenni, mert a domain mx rekordja egy teljesen másik szerverre mutat. A levelek fogadását egy külső szolgáltató kezeli.
Á, értem. Röviden: az SPF-ben azokat az IP-ket kell felsorolni, amelyek küldhetnek legálisan levelet, tehát amelyik IP-ről végül kimegy a levél.
A jelenlegi softfail lehet a ~ oka?
Igen, ilyenkor nem dobja el a rossz IP-ről érkező levelet, de felpontozhatja, hogy gyanús. Érdemes a DMARC és a forensic bekapcsolása, egy XML-t fogsz kapni a nagyobb szolgáltatóktól, hogy mit látnak az adott domain levelezése kapcsán, ezt vagy megtanulod értelmezni, vagy feltöltöd dekódolni, de nagyon hasznos. Ha minden oké, akkor mehet a `-all`, mert ezt az igazi védelem.
- A hozzászóláshoz be kell jelentkezni
Igazából csak türelmetlen voltam... Állítgattam, de nem vártam meg, hogy a DNS rendesen frissüljön.
Többször is volt már jó beállítás, csak a türelem volt kevés.
Köszönöm ;)
- A hozzászóláshoz be kell jelentkezni
Ilyenkor érdemes minimálisan venni a TTL időket...
- A hozzászóláshoz be kell jelentkezni
egyes MTA-k rosszul viselik a végső "-all" szabályt és azért pontozzák fel az amúgy spf=pass email-eket is.
- A hozzászóláshoz be kell jelentkezni
Nézd meg itt, hogy mit látsz az SPF rekordban, hátha az segít megvilágosodni:
https://eVIR.hu
Elektronikus Vállalatirányítási Információs Rendszer
- A hozzászóláshoz be kell jelentkezni