7 votos

¿Cuáles son los registros SPF correctos permitir local y entrega de Google Apps

Recientemente hemos trasladado nuestra pila de servidor a un nuevo conjunto de datos de la granja, y algunos de nuestros clientes están teniendo problemas con el correo electrónico que se envían desde sus GApps de cuentas. Antes de que el servidor movimiento que no tenía problemas, pero tengo la sospecha de que tal vez el cambio de IP, etc podría tener algún papel en esto.

Hemos encontrado el problema fue que algunos de los dominios incorrecto SPF encabezados y no incluyen el Google registros SPF.

He añadido registros TXT para todos los dominios con las siguientesv=spf1 include:_spf.google.com ~all que ha resuelto el problema con la entrega, pero no entiendo SPF suficiente para saber que si todos los registros TXT en nuestra plantilla DNS están bien.

Si un dominio utiliza Google Apps para el envío de correo, podemos deshabilitar el local de enrutamiento de correo para ese dominio para evitar cualquier mails internos no pasan, y todos los no GApps registros MX son eliminados.

En la actualidad los siguientes son el programa de instalación en cada dominio:

domain.com.      TXT v=spf1 +a +mx -all
domain.com.      TXT v=spf1 include:_spf.google.com ~all
mail.domain.com. TXT v=spf1 ip4:xxx.xxx.xxx.xxx a mx a:mail.domain.com mx:domain.com ?all

Así que mi pregunta(s) son:

Son los registros anteriores fina (algunos SPF volver pruebas positivas, otras negativas) como global para todos los dominios que se agregan al servidor?

Pueden los dos domain.com registros DNS de arriba se concatenan en uno?

Está bien tener el Google incluye registro SPF para los dominios que no están enviando a través de Google Apps?

Es necesario borrar el otro registro TXT si están utilizando las Aplicaciones de Google. No me imagine que sería necesario eliminar la mail.domain.com registro como correo no se originan a partir de ahí, pero puede que causa problemas si está presente.

Tenemos 100+ dominios que se ejecutan en el servidor de la pila y la actualización de todos ellos es que no va a ser divertido, pero prefiero ser hecho correctamente.

Gracias de antemano.

13voto

Alex Puntos 5342

¿Por qué tienes tres diferentes registros SPF? También, ¿por qué tienes un registro separado para mail.domain.com , ¿aceptas cualquier mail en ese nombre de dominio? Básicamente, un solo domain.com TXT v=spf1 include:_spf.google.com +a +mx ~all debería ser suficiente.

5voto

mgorven Puntos 19205

Solo debe haber un registro SPF en un nombre de host, por lo que mucho combinar los dos en uno. SPF es básicamente una lista de mecanismo (que coincidir con algo) y la acción a tomar de ese mecanismo. Usted puede tener muchos de estos mecanismos en su registro SPF como usted desea. Para domain.com desea que este:

domain.com. IN  TXT "v=spf1 include:_spf.google.com +a +mx -all"

Lo que significa que los siguientes están activadas (con la primera coincidencia mecanismo es el resultado).

  • Recuperar el registro SPF en _spf.google.com y evaluarlo (include:). Google registro SPF se parece a esto:

    _spf.google.com descriptive text "v=spf1 ip4:216.239.32.0/19 ip4:64.233.160.0/19 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:209.85.128.0/17 ip4:66.102.0.0/20 ip4:74.125.0.0/16 ip4:64.18.0.0/20 ip4:207.126.144.0/20 ip4:173.194.0.0/16 ?all"
    
  • Aceptar si la dirección IP del cliente que se encuentra dentro de una de esas subredes IPv4 (ipv4:)

  • Aceptar si la dirección IP del cliente es Un registro para el dominio (+a)

  • Aceptar si la dirección IP del cliente es un registro MX para el dominio (+mx)
  • Rechazar todo lo (-all)

Su registro SPF mail.domain.com , probablemente puede ser simplificado a este:

mail.domain.com.    IN  TXT "v=spf1 ip4:xxx.xxx.xxx.xxx a mx:domain.com ?all"

Suponiendo que mail.domain.com no tiene un registro MX. Si tiene un registro MX añadir el mx plazo (antes de la all).

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: