SPF / TXT Record - Richtig gesetzt

[Rukola]

Beispiel:

Domain: example.com | Server IP: 1.1.1.1

-> ! Die Mails werden von einem externen Mailserver ausgeliefert

Der Hauptmailserver zum Senden und Empfangen ist:

Hostname: mailexample.com | Server IP: 2.2.2.2 Prio 10

Zusätzlich sind aber auch noch 2 Backup-Mailserver eingetragen, die halt nur bei Ausfall zwischenspeichern mit Prio 50 & 60 , und dann an den Hauptmailserver ausliefern.

Ich hätte nun gerne, dass nur der mailexample.com für die Domain example.com ausliefern darf.

Bisher hatte ich immer folgenden Eintrag: v=spf1 +a +mx -all

Nun bin ich mir nicht sicher ob das in dem Fall noch richtig ist. Im Grunde müsste doch das +a weg , aber wie ist das mit dem mx ... im Grunde sind doch dann ALLE Server erlaubt, die einen MX-Eintrag haben !?

Die zweite wichitge Frage wäre die Syntax...

So ... example.com. IN TXT "v=spf1 mx -all"
oder so ... v=spf1 mx -all

Wird beides vom DNS-Panel angenommen. Auch bei dem a für die Erlaubnis, dass auch der Server senden darf, auf dem die Domain liegt. Einmal gesehen mit a , aber auch mit +a

 

[danton]

v=spf1 mx -all

würde alle MX umfassen, also auch die beiden Backup-MX. Wenn du wirklich nur den Hauptmailserver nutzen willst, dann mußt du mit der IP-Adresse arbeiten:

v=spf1 ip4:2.2.2.2 -all

Das erlaubt explizit diese eine Adresse.
Ich habe meinen TXT-Record ohne die " eingetragen. Den Qualifikator (+, -, ~, ?) kannst du auch weglassen (wie oben bei mx bzw. ip4), dann wird das + als Default angenommen. Siehe auch Wikipedia

 

[Rukola]

Danke für deine Info ! Dann werde ich das so umsetzen. Noch eine Rückfrage ..

v=spf1 mx -all

Ich habe meinen TXT-Record ohne die " eingetragen. [/url]

Also auch ohne ... example.com. IN TXT ... davor ?

Habe nun auch gelesen, dass manche zwei Einträge machen. Einmal einen TXT und einmal einen SPF.

 

[nexus]

Habe nun auch gelesen, dass manche zwei Einträge machen. Einmal einen TXT und einmal einen SPF.

Der SPF Resource Record wurde durch RFC 7208 obsolet.

 

[danton]

Also auch ohne ... example.com. IN TXT ... davor ?

Das kommt auf deinen DNS-Anbieter an. Das

example.com. IN TXT

beschreibt, dass es sich um einen TXT-Record für example.com handelt, der Wert ist dann

v=spf1 ip4:2.2.2.2 -all

Wenn du direkt die Zonendatei des bind bearbeitest, mußt es natürlich hinschreiben, im Webinterface des Domain-Anbieters hast du oft separate Felder für Domain, Record-Type, Wert (und ggfl noch weitere wie z.B. die Prio beim MX-Record). Dann gehört in Wert nur der Wert rein.

Habe nun auch gelesen, dass manche zwei Einträge machen. Einmal einen TXT und einmal einen SPF.

Da sich der SPF-Recordtype nicht wirklich durchgesetzt hat, wurde er im April 2014 widerrufen. Software, die SPF-Einträge auswertet, schaut normalerweise bevorzugt oder sogar exklusiv in den TXT-Records nach. Also reicht ein TXT-Eintrag aus (SPF wird auch nicht von jeder Nameserver-Implementation unterstützt)

 

[Rukola]

Alles klar, nun habe ich es verstanden. Vielen Dank !