Comments 17
К сожалению, вы не разобрались в вопросе. Иначе я не могу объяснить присутствие в статье устаревшего ADSP и других более тонких, но важных, ремарок.
Буду рада, если вы поможете мне улучшить этот материал
О том, что ADSP устарел, я уже написал. Его роль выполняет DMARC.
Далее же, чтобы не пересказывать вам опубликованную, в том числе, и на Habrahabr информацию, рекомендую поиском пройтись по статьям по ключевым словам SPF, DKIM и DMARC. Все аспекты (ну почти) их использования неплохо описаны в статьях, к примеру, Mail.ru.
Если говорить о тонкостях, то, к примеру, надо быть готовым к тому, что использование запрещающих политик DMARC может негативно сказаться на пересылаемой почте и листах рассылки.
dmarc вообще по сути не приелся никому. Так как чтобы получить "dmarc passed", то достаточно добавить запись. Отчетами никто по сути и не занимается. Вот если бы почтовик отправлял отсчет, которые надо было отработать в риалтайме, и следом произвести некие действия, то было бы куда интереснее.
SPF — палка о двух концах, которая выдает ваши пулы на блюдечке с каемочкой. Поэтому, если стоит тема с поднятием пула (за десяти айпи или сразу на /24 блоке), то надо очень аккуратно с ним и с объяслением айпи, которые могут слать от домена. Иначе, как писал, раскрывается весь пул, а операторы бывают капризные жадные.
На счет DKIM: очень хорошая штука, можно проверить, что письмо было отправлено правильным доменом (from). В то же время, есть и второй dkim — когда вторая подпись от того сервера, который отправил письмо. Например from: support@example.com с сервера mta-1.example-one.com, первым DKIM будет @example.com, а вторым — example-one.com.
upd: отщепятки
Ещё как приелся. Если огрубить, то DMARK это политика, а SPF и DKIM — методы аутентификации. То есть, если вы просто прописали SPF и DKIM, но не прописали DMARK, принимающая сторона такая: ну, окей, это письмо прошло проверку DKIM, а это не прошло. Сама решу, что с ними делать. С DMARK вы сами решаете, что нужно делать.
Это рекомендации, которым будут следовать большинство крупных игроков. Допустим, если я директор атомной станции, то я хочу, чтобы письмо, якобы отправленное с моего адреса, но не прошедшее проверку подлинности, не отфильтровывалось в спам, где его всё равно найдёт наивный журналист, а не принималось получателем совсем. С DMARK я могу это сделать (окей, я могу рекомендовать это сделать).
Мой пойнт в том, что уменьшение вероятности подделки писем всем полезно, а добавить запись типа такой ничего не стоит:
_dmarc.domain.com TXT "v=DMARC1; p=reject"
Именно так. Не знали, что делать. Без DMARK сервер может положить письма, проверка SPF и DKIM которых зафейлилась, во входящие, в спам, или может отказаться принимать совсем. Непредсказуемо. С DMARK вы имеете возможность рекомендовать серверу, как поступить, и большáя часть сервисов вас послушает. Отказываться от этой возможности глупо.
Просто попробуйте провести массовую рассылку писем, не проходящих аутентификацию SPF и DKIM, с разной политикой DMARC, и вы поймёте, о чём речь.
И больше того. Для одного из моих доменов были корректно настроены SPF и DKIM для случая отправки писем почтовым сервером. А ещё мы делали рассылку на несколько тысяч получателей с другого сервера, который не был упомянут в SPF и не подписывал письма по DKIM. Эти письма не отфильтровывались в спам и в половине случаев. То есть любой мог отправить письмо от нашего имени, а принимающая сторона с большой вероятностью сказала бы: «Ой, письмо чё-то не прошло проверки SPF и DKIM, хотя они настроены для домена, ну и ладно».
Смешанные чувства. Сам как раз прошёл по всем граблям, написал такую же статью, но не успел опубликовать. Необходимость в систематизирующем материале вооот такая вот была.
Полный синтаксис DKIM, DMARC и SPF