Можно ли использовать ключевые слова a, mx и include вместе в SPF?
Да, вы можете объединить все эти ключевые слова вместе, только убедитесь, что вы не достигли предела поиска, равного максимум 10 поискам адресных записей : https://tools.ietf.org/ html / rfc7208 # section-4.6.4
- Ключевые слова a и ptr приводят к одному поиску
- ключевое слово ptr устарело и больше не должно использоваться
- ключевое слово mx приводит к такому количеству поиск, поскольку запись MX возвращает домены
- , ключевые слова
includeвключают указанную запись SPF, а именно:
$ dig srv.cat TXT +short
"v=spf1 a a:include"
В то время как a: include приводит к ошибке, поскольку домен ] include не существует.
Технически возможно смешивать любые механизмы, но все, кроме механизмов ip4 и ip6 , вызовет дополнительные поиски DNS, и общее ограничение - 10 DNS-запросов ( RFC 7208, 4.6.4 ). Каждый a вызывает один дополнительный поиск, а каждые mx - несколько, в зависимости от количества серверов MX за ним. Кроме того, include может иметь связанный механизм, который также учитывается до предела.
Вам следует тщательно продумать, какие серверы действительно отправляют электронную почту из домена в качестве отправителя конверта , и ограничить свою запись SPF только необходимыми серверами. Поскольку ваша запись SPF теперь собрана, похоже, у вас нет этих знаний, и вы пытаетесь добавить все «на всякий случай». Политика заканчивается на ~ all , что делает все остальное только softfail .Это не предотвращает злоупотребления эффективно; рассмотрите возможность использования вместо этого -all .
Кроме того, не использует ptr ( RFC 7208, 5.5 ):
Примечание. Этот механизм медленный, он не такой надежный, как другие {{ 1}} в случае ошибок DNS и ложится большой нагрузкой на серверы имен .arpa. Если используются, правильные записи PTR должны быть на месте для хостов домена, а механизм
ptrДОЛЖЕН быть одним из механизмов, проверяемых последним. После многолетнего опыта развертывания SPF был сделан вывод, что в этом нет необходимости и вместо этого следует использовать более надежные альтернативы. Однако он все еще используется как часть протокола SPF, поэтому совместимые реализацииcheck_host ()ДОЛЖНЫ поддерживать его.