使用Amazon SES和Google Apps的正确SPF记录是什么

Question

什么是适用于Amazon SES和Google Apps的正确SPF记录：

Google Apps表示他们希望您使用“〜”代码： http ： //support.google.com/a/bin/answer.py？ hl = zh-CN＆ answer = 178723 ，但大多数其他示例都有短划线“ - ”代替。

亚马逊希望：“v = spf1 include：amazonses.com -all”

Google希望：“v = spf1 include：_spf.google.com~all”

---

我们目前有这个，将两者结合在一起：

TXT“v = spf1包括：amazonses.com包括：_spf.google.com~all”

SPF“v = spf1包括：amazonses.com包括：_spf.google.com~all”

---

1）这是正确的SPF记录吗？

2）如果TXT和SPF DNS记录的记录完全相同，我们是否遗漏了任何内容？ 这就是我们所拥有的，我们没有别的东西。

我们只发送来自Google Apps和Amazon SES的电子邮件，没有别的。

Answer 1

1. 发布TXT记录：

    "v=spf1 include:_spf.google.com include:amazonses.com ~all" 

   Amazon SES 文档说，域名不需要额外的SPF配置，但事实证明，在记录中添加include:amazonses.com也会使发件人ID通过。 即使发件人ID被认为 已过时 ，一些接收器也可以实现它。

   如果Amazon SES 配置为使用自定义MAIL-FROM子域，则发布子域的另一个TXT记录：

    "v=spf1 include:amazonses.com ~all" 

   设置自定义子域以获得更好的可传递性和客户体验是一件好事。 例如，域名将显示在Gmail中的mailed-by字段中。

   您可以使用-all而不是~all 。 在这种情况下，收件人可能会拒绝从SPF记录中未涵盖的来源发送的电子邮件。

2. 根据RFC 7208的3.1节：

   SPF记录必须仅作为DNS TXT（类型16）资源记录（RR）[RFC1035]发布。

   因此，SPF记录类型现已过时。

3. 关于您的评论，这里有一个简单的方法来测试SPF是否有效：

   • 从Gmail和Amazon SES测试电子邮件表单发送电子邮件至check-auth@verifier.port25.com 。
   • 然后，搜索SPF check: pass的自动回复SPF check: pass 。

Answer 2

正确的是在SPF中包含每个发件人，关于 - 或者它是SPF属性

“ - ”=仅允许列出的主机

“〜”=列出的主机应该发送但可能存在另一个发送方。

如果您100％确定您拥有所有列出的发件人，您可以更改〜为 - 但是您不应该同时保留两者。

TXT“v = spf1包括：amazonses.com包括：_spf.google.com -all”

www.openspf.org/SPF_Record_Syntax

Answer 3

在尝试创建正确的SPF记录并阻止来自亚马逊的电子邮件被分类为垃圾邮件数月后，我发现SPF语法验证器已经存在。 使用Validator和SPF Policy Tester我能够创建符合我要求的SPF记录。

Gmail的：

v=spf1 ip4:199.255.192.0/22 ip4:199.127.232.0/22 ip4:54.240.0.0/18 ip4:69.169.224.0/20 a:amazonses.com include:_spf.google.com +mx ?all

Yandex的：

v=spf1 ip4:199.255.192.0/22 ip4:199.127.232.0/22 ip4:54.240.0.0/18 ip4:69.169.224.0/20 a:amazonses.com include:_spf.yandex.net +mx ?all