Moin,
ich will den neuen SPF-Eintrag für socotec.de gestalten, damit wir den zeitig am Start haben. Bei der Verteiltheit bietet es sich an, einen zentralen include-Record zu bauen, welchen dann alle Domains inkludieren - auf diese Weise schaffen wir ein Framework in welches wir weitere, neue socotec-Töchter schnell reinholen können.
Dazu verankern wir in der Domain socotec.de die SPF-Settings, welche alle dann für ihre Domain einbinden werden. Wir starten mit einem Eintrag, der den BF nennt und dann selbst alle E-Mail-Lieferanten mit einem weiteren include einbindet:
_spf.socotec.de "v=spf1 ip4:152.53.21.220 ip6:2a03:4000:6c:51d:3867:5dff:fe32:4550 include:_supplier.socotec.de -all"
Der Eintrag für die Lieferanten ist eine Zusammenfassung Eurer domainspezifischen Settings und er sieht so aus:
_supplier.socotec.de "v=spf1 include:_spf.rexx-suite.com include:secureserver.net include:mktomail.com include:spf.protection.outlook.com include:spf-eu.emailsignatures365.com -all"
Für canzler.de und zpp.de sähe das dann so aus:
zpp.de "v=spf1 include:_spf.socotec.de ~all"
Und für canzler.de so:
cancler.de "v=spf1 include:_spf.socotec.de -all"
Ihr seht durch den include können wir die legitimierten Server einbinden, aber (!) domainspezifisch sagen was mit allen anderen (all-Modifier) passieren soll. zpp.de sagt mit ~all softfail und canzler.de sagt mit -all hardfail. So können wir neue, zusätzliche Domains dann auch von der Policy her stagen, indem wir am all-Modifier tunen.
Sollte sich an der Liste der zu legimierenden Systeme was ändern, dann changen wir das nur dort und alle Domains haben mit einem Change gleich die richtigen Settings.
Bitte prüft mal, ob ich Eure aktuellen Einstellungen sauber in die neue Policy übertragen habe:
p@mbp ~ % dig +short TXT socotec.de | grep spf1 "v=spf1 a mx include:spf.protection.outlook.com include:_spf.rexx-suite.com include:mktomail.com include:spf-eu.emailsignatures365.com -all"
p@mbp ~ % dig +short TXT zpp.de | grep spf1 "v=spf1 ip4:195.50.145.0/27 ip4:83.169.47.0/24 include:secureserver.net include:_spf.rexx-suite.com ~all"
p@mbp ~ % dig +short TXT canzler.de | grep spf1 "v=spf1 ip4:62.153.145.204 include:_spf.rexx-suite.com -all"
Wenn das aus Eurer Sicht passt, dann würde ich daraus einen Task für Carsten in der socotec.de erstellen, damit wir den BF richtig aufbauen und testen können. Eure Domains ziehen wir dann in einem weiteren Schritt nach.
Grüße
p@rick