为第三方添加SPF记录，但我自己的域没有一个

我们有一个第三方服务代表我们发送一些电子邮件。他们在外发电子邮件中使用我们的域名。他们要求我们为他们配置SPF记录。

我们目前尚未为自己的域定义SPF记录，该记录与第三方“欺骗”记录相同。

我担心的是，如果我们为第三方添加记录而未定义自己的记录，那么来自我们服务器的邮件可能会被拒绝。

我的担忧有效吗？

如果您没有SPF记录，则收件人通常将无法通过安全措施并接受您的电子邮件（尽管情况开始有所改变）。提供SPF记录后，您必须包括所有合法邮件发件人，因为否则未列出的发件人将被视为可能的伪造来源。

严格来说，您可以包括~all或?all避免列出所有邮件发件人，但是如果这样做，您将无法从SPF记录中获得任何好处，除非对其进行测试是正确的。

理想情况下，您的第三方已经拥有通用的SPF记录，您只需将include:spf.thirdparty.dom元素添加到记录中即可。如果他们不这样做，那么您可能很想为他们创建自己的记录并以自己的方式将其链接起来，以便您轻松地进行管理。

例如，如果您是contoso.com：

thirdparty1.spf.contoso.com txt 'v=spf1 ... -all' # list their mail senders for you
thirdparty2.spf.contoso.com txt 'v=spf1 ... -all' # list their mail senders for you
spf.contoso.com txt 'v=spf1 ... -all'             # list your mail senders
contoso.com txt 'v=spf1 include:spf.contoso.com include:thirdpart1.spf.contoso.com include:thirdparty2.spf.contoso.com -all'

一些有用的资源：

• DMARC包含SPF和DKIM，因此值得考虑。Google，Yahoo和其他公司正在积极使用它来验证入站电子邮件，https：//dmarc.org/overview/
• 设置SPF记录时的最佳做法列表，http：//www.openspf.org/Best_Practices
• 尽管名称如此，但它是设置SPF记录的有用方法，网址为http://www.openspf.org/FAQ/Common_mistakes

您可以将第3方服务放入对其他服务器具有中立规则的SPF记录中：

?all

并至少包括您自己的邮件服务器：

+mx

在您的域上保留SPF记录是一件好事。开始为其他服务器添加白名单和中性文件，并且当您拥有所有服务器的最新SPF记录时，可以将默认值更改为“失败”（-all）或“软失败”（〜all）。

这里有一个很好的文档，以及openspf.org上的许多其他有用信息