Как восстановить доменное имя из предыдущей плохой записи SPF?
TL; DR: У нас был SPF слишком разрешающий ( + all ) и спамеры использовали это для рассылки тонны спама «с» нашего домена. Мы ограничили это ~ all и добавили DMARC (но не DKIM), теперь другие провайдеры не доверяют нашим реальным электронным письмам. Как заставить их доверять нашей записи домена / SPF, не делая ее снова слишком разрешительной?
Я уже некоторое время работаю в этой компании. Однако управление DNS осуществляется другими людьми.
Я заметил, что наша запись SPF была довольно плохой (буквально + все в конце), и люди, которые управляют DNS, утверждали, что это необходимо, поскольку многие серверы отправляют автоматические еженедельные / ежедневные отчеты. Однако при ближайшем рассмотрении они не используют имя нашего почтового домена. Поэтому я предложил исправить запись SPF, чтобы в конце было хотя бы ~ all , и добавить запись DMARC для получения отчетов о сообщениях, которые считаются спамом. Мы не могли добавить DKIM, так как существует несколько систем, требующих отправки электронной почты (все проксируются через серверы GMail с их smtp-прокси-серверами).
Как только мы это сделали, мы начали получать большое количество отчетов о спам-сообщениях с наше доменное имя в качестве отправителя. Все они выглядят как спам и определенно не отправляются с наших серверов.
Очевидно, это то, чего мы хотели достичь, но теперь я вижу, что наши законные сообщения также отправляются в спам, хотя все отправляющие серверы добавлены в SPF (мы используем Gmail для бизнеса).
Q: Как мы можем исправить это и заставить других провайдеров доверять электронной почте, отправляемой хостами в нашем (теперь действующем) SPF?
UPD: Ниже приведены примеры имеющихся у нас записей SPF и DMARC:
v=spf1 ip4:xx.xx.xx.xx ip4:yy.yy.yy.yy ip4:zz.zz.zz.zz include:_spf.google.com ~all
v=DMARC1; p=none; rua=mailto:dmarc.report@company.com; ruf=mailto:dmarc.report@company.com; sp=none; fo=1; adkim=r; aspf=s
DO DKIM для каждого законного отправителя. Это сделано для всех отправителей, которых вы указываете в своей записи SPF?
Измените ~ ALL (softfail) на -ALL (hardfail).
Если вы уверены, что аутентифицировали всю легальную электронную почту и получили p = none какое-то время, и в отчетах не отображается законная электронная почта как неподтвержденная, затем переходите от
p = noneкp = reject. Это сделает вашу аутентификацию электронной почты, так сказать, «зубами», поскольку провайдеры почтовых ящиков фактически начнут отклонять неаутентифицированную электронную почту.
После того, как вы перешли на p = reject, важно убедиться, что вы действительно хорошо умеете сохранять аутентификацию электронной почты в актуальном состоянии, то есть в случае изменения IP-адреса или смены провайдера или чего-то еще, критически важно отредактировать запись SPF, а также настроить DKIM.
Это поможет вам очистить свою репутацию, поскольку спамеры и мошенники больше не будут иметь возможность подделать ваше доменное имя. Это поможет начать восстанавливать репутацию, потому что спамеры больше не будут портить ваше доменное имя, отправляя с ним ужасные сообщения.
Помимо аутентификации по электронной почте, вы также можете убедиться, что используете лучшие практики для электронной почты. Например, вы занимаетесь маркетингом по электронной почте? Если да, то делаете ли вы двойную подписку?Вы периодически закрываете адреса электронной почты, которые не использовались определенное количество времени, скажем, 3 или 6 месяцев, чтобы вы не отправляли сообщения людям, которые по какой-либо причине никогда не взаимодействуют с вашими электронными письмами.
Проверьте все IP-адреса. адреса, которые вы отправляете для черных списков и т. д., и, если вы очистили методы, которые привели вас в черный список, подайте заявку на удаление. Если это общий IP-адрес, внесенный в серьезные черные списки, вам может потребоваться поговорить с ESP о блоке общего IP-адреса, в котором вы находитесь.