Como recuperar o nome de domínio do registro SPF inválido anterior?

4

TL; DR: Nós tivemos SPF permissivo demais ( +all ) e os spammers usaram isso para enviar toneladas de spam "de" nosso domínio. Restringimos isso a ~all e adicionamos o DMARC (embora não o DKIM), agora outros provedores não confiam em nossos e-mails reais. Como fazê-los confiar em nosso domínio / registro SPF sem torná-lo permissivo novamente?

Eu trabalhei para esta empresa por algum tempo agora. No entanto, o gerenciamento do DNS é feito por outras pessoas.

Tenho notado que o nosso registro SPF foi muito ruim (literalmente +all no final) e as pessoas que gerenciam o DNS argumentaram que isso é necessário, pois muitos servidores enviam relatórios semanais / diários automáticos. No entanto, em uma inspeção atenta, eles não usam nosso nome de domínio de correspondência. Por isso, sugeri que corrigisse o registro SPF para ter pelo menos ~all no final e adicionar o registro DMARC para receber relatórios de mensagens consideradas spam. Não foi possível adicionar o DKIM, pois há vários sistemas que exigem o envio de emails (todos enviados por proxy através dos servidores do GMail com seus servidores smtp-proxy).

Depois disso, começamos a receber um grande número de relatórios sobre mensagens de spam com nosso nome de domínio como remetente. Todos eles parecem com spam e definitivamente não são enviados de nossos servidores.

Obviamente, é isso que queríamos alcançar, mas agora vejo que nossas mensagens legítimas também são enviadas para spam, mesmo que todos os servidores de envio sejam adicionados ao SPF (usamos o Gmail para empresas).

P: Como podemos recuperar isso e fazer com que outros provedores confiem em e-mails enviados por hosts em nosso (agora válido) SPF?

UPD: Veja abaixo exemplos de registros SPF e DMARC que temos:

v=spf1 ip4:xx.xx.xx.xx ip4:yy.yy.yy.yy ip4:zz.zz.zz.zz include:_spf.google.com ~all

v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=none; fo=1; adkim=r; aspf=s
    
por Alexey Kamenskiy 27.08.2018 / 09:04

1 resposta

2

  1. DO DKIM para cada remetente legítimo. Isso é feito para todos os remetentes que você mostra no seu registro SPF?

  2. Altere o ~ ALL (softfail) para um -ALL (hardfail).

  3. Quando tiver certeza de que você autenticou todos os emails legítimos e teve p = none por algum tempo e os relatórios não estão exibindo emails legítimos como não autenticados, gradue-se de p=none to p=reject . Isso fará com que sua autenticação de e-mail tenha dentes, por assim dizer, já que os provedores de caixa de entrada começarão a rejeitar o e-mail não autenticado.

Depois de alterar para p = rejeitar, é importante certificar-se de que você mantenha a autenticação do e-mail atualizada, ou seja, se um endereço IP mudar ou mudar de fornecedor ou algo assim. É fundamental editar seu registro SPF e também configurar o DKIM.

Isso ajudará você a limpar sua reputação como spammers e os golpistas não poderão mais falsificar seu nome de domínio. Isso ajudará a começar a reconstruir o representante porque os spammers não estarão mais arruinando seu nome de domínio enviando mensagens terríveis com ele.

Fora da autenticação por e-mail, você também pode verificar se está usando práticas recomendadas para e-mail. Por exemplo, você envia e-mail marketing? Se sim, você faz double opt-in? Você perde periodicamente os endereços de e-mail que não estão engajados em um determinado período de tempo, digamos, 3 meses ou 6 meses, para que você não os envie para pessoas que, por qualquer motivo, nunca se envolvem com seus e-mails.

Verifique todos os endereços IP enviados para listas negras e assim por diante e, supondo que você tenha limpado as práticas que o colocaram na lista negra, solicite a remoção. Se for um endereço IP compartilhado que está na lista negra de listas negras sérias, talvez seja necessário falar com o ESP sobre o bloqueio de IP compartilhado em que você está.

    
por 27.08.2018 / 17:34

Tags