Cách định cấu hình bản ghi DNS SPF cho nhiều tên miền phụ

Tôi có một tên miền, chẳng hạn như example.com và nhiều máy chủ (có thể là hàng trăm), mỗi máy chủ có một IP công cộng và một tên miền phụ (sub1.example.com, sub2.example.com, v.v.). Mỗi máy chủ lưu trữ một cài đặt Postfix. Mục tiêu ở đây là có thể gửi email từ bất kỳ máy chủ nào (không nhận email). Tuy nhiên, không có máy chủ email nào được đính kèm với tên miền chính (example.com)

Bây giờ tôi đang cố gắng thiết lập các mục SPF trong DNS, nhưng tôi gặp một chút khó khăn. Tôi đã thử nhiều cách kết hợp nhưng chúng luôn kết thúc với SPF SOFTFAIL khi cố gắng gửi email tới gmail. Ngoài ra, làm thế nào để khắc phục các hạn chế về độ dài của bản ghi SPF với nhiều máy chủ/IP đó tôi không rõ ràng.

Thêm một số ngữ cảnh khác (mặc dù tôi đã chấp nhận câu trả lời của Bob).

Ý tưởng là có một kiến ​​trúc rất dư thừa, trong đó bất kỳ máy chủ nào cũng có thể bị lỗi và toàn bộ hệ thống sẽ tiếp tục hoạt động (ít nhất là để gửi email).Tôi không có quyền kiểm soát dải địa chỉ IP : máy chủ sẽ được cung cấp ở nhiều quốc gia và với nhiều nhà cung cấp. Tôi đã thử xác định mục nhập SPF chỉ cho tên miền chính.

                     600 TRONG TXT "v=spf1 mx ~all"

Khi gửi tới Gmail, tôi gặp lỗi SOFTFAIL khi xác thực SPF, email được gửi từ tên miền phụ (như sub1.domain.com)

Sau đó, tôi đã cố gắng thêm địa chỉ IP của người gửi vào bản ghi:

                      600 TRONG TXT "v=spf1 mx ip4:server_ip ~all"

Nhưng tôi kết thúc với cùng một lỗi SOFTFAIL. Cũng đã cố gắng thêm một mục nhập SPF khác cho tên miền phụ, nhưng theo như tôi hiểu, chỉ nên tạo một mục nhập SPF :-/ Tôi cũng đã cố gắng bao gồm: tên miền, với kết quả tương tự.

Bất kỳ trợ giúp hoặc hướng dẫn sẽ được đánh giá cao :-)

Nó phụ thuộc một chút vào mục tiêu của bạn là gì và bạn gặp vấn đề gì.

Có một số cơ chế SPF để so khớp các lớp máy chủ mà không liệt kê trực tiếp tất cả các máy chủ trong bản ghi SPF, ví dụ:

• các ip4 cơ chế và tương đương ip6 cơ chế để khớp với các mạng con khi tất cả các máy chủ của bạn thuộc về một hoặc nhiều dải địa chỉ IP chỉ dành riêng cho bạn:

  ip4:<ip4-mạng>/<prefix-length>
  ip6:<ip6-mạng>/<prefix-length>
  

• bạn có thể tạo một bản ghi A (ví dụ: bob.example.com) chứa tất cả các bản ghi IPv4 A và/hoặc IPv6 AAAA (theo kiểu vòng tròn) của các máy chủ mà bạn muốn cho phép gửi thư trực tiếp qua IPv4 resp. IPv6 và tham khảo điều đó trong bản ghi SPF của bạn:

  âv=spf1 a:bob.example.com. ~tất cảâ
  
  bob.example.com. TRONG 10.0.0.1
  bob.example.com. TRONG 192.168.0.1
  bob.example.com. TRONG 172.16.0.2
  bob.example.com. TRONG AAAA 2001:db8:ffff:ffff:ffff:ffff:ffff:fff1 
  

• các bao gồm từ khóa có thể được sử dụng khi bản ghi SPF của bạn trở nên quá dài để vừa với một bản ghi DNS. Ví dụ: bản ghi Gmail/Google SPF hiện tại không trực tiếp bao gồm bất kỳ dải IP nào nhưng bao gồm các dải từ ba bản ghi bổ sung:

  _spf.google.com. 300 TRONG TXT "v=spf1 bao gồm:_netblocks.google.com bao gồm:_netblocks2.google.com bao gồm:_netblocks3.google.com ~all"
  
  _netblocks.google.com. 300 TRONG TXT "v=spf1 ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16 ip4 :108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"
  
  _netblocks2.google.com. 300 TRONG TXT "v=spf1 ip6:2001:4860:4000::/36 ip6:2404:6800:4000::/36 ip6:2607:f8b0:4000::/36 ip6:2800:3f0:4000::/ 36 ip6:2a00:1450:4000::/36 ip6:2c0f:fb50:4000::/36 ~all"
  
  _netblocks3.google.com. 300 TRONG TXT "v=spf1 ip4:172.217.0.0/19 ip4:172.217.32.0/20 ip4:172.217.128.0/19 ip4:172.217.160.0/20 ip4:172.217.192.0/19 ip4:172.253.160.0/20 ip4:172.217.192.0/19 ip4:172.253.160.0/ :172.253.112.0/20 ip4:108.177.96.0/19 ip4:35.191.0.0/16 ip4:130.211.0.0/22 ​​~all"
  

Một cách khác là KHÔNG cho phép tất cả các máy chủ của bạn gửi email trực tiếp. Thiết lập một hoặc nhiều máy chủ dưới dạng chuyển tiếp thư chuyên dụng và chỉ ủy quyền cho những máy chủ trong SPF của bạn. Sau đó, tất cả các máy chủ khác mà bạn định cấu hình để sử dụng các máy chủ chuyển tiếp đó.