<div dir="ltr"><div dir="auto" style="word-wrap:break-word"><br><div class="m_-400294249660548155AppleOriginalContents" style="direction:ltr"><blockquote type="cite"><div>On Oct 12, 2017, at 13:05, Anton Shestakov <<a href="mailto:av6@dwimlabs.net" target="_blank">av6@dwimlabs.net</a>> wrote:</div><br class="m_-400294249660548155Apple-interchange-newline"><div><div>On Thu, 12 Oct 2017 11:03:01 -0400<br>Augie Fackler <<a href="mailto:raf@durin42.com" target="_blank">raf@durin42.com</a>> wrote:<br><br><blockquote type="cite">I've done some sniffing around, and it looks like we could at least start figuring out *why* we're getting on this spamhaus list if we would enable DMARC in notify-only mode, and it would definitely help our IP reputation to have an SPF record. So I think we should configure the following DNS entries:<br><br><br># We could probably also put "a mx" in here to allow the A and MX<br># records for <a href="http://mercurial-scm.org" target="_blank">mercurial-scm.org</a> to transact mail.<br><a href="http://mercurial-scm.org" target="_blank">mercurial-scm.org</a>.  IN TXT "v=spf1 ip4:192.81.134.36 ip6:2600:3c01::f03c:91ff:fedb:<wbr>76b6/64 ~all"<br></blockquote><br>If you decide to put "a mx" here (it definitely makes sense doing that),<br>you won't need to hardcode the IP addresses. That way whatever's<br>checking SPF on the other end will resolve A and AAAA for<br>"<a href="http://mercurial-scm.org" target="_blank">mercurial-scm.org</a>" and its configured MX hosts in the process of<br>validating.<br><br>...except without the /64 in ipv6 field, but are you sure you're using<br>multiple IPv6 addresses from that subnet on the server for email?<br>Addresses that don't resolve back to <a href="http://mercurial-scm.org" target="_blank">mercurial-scm.org</a> (try with `dig<br>-x`) will suffer penalties when trying to deliver mail. So it may be<br>better to make sure everything uses only one IPv6 address, one that<br>resolves to <a href="http://mercurial-scm.org" target="_blank">mercurial-scm.org</a>. It will also simplify this SPF record<br>down to "v=spf1 a mx ~all".<br><br>If DMARC reports reveal that people pretend to be m-s.o to send spam,<br>it will help somewhat to change from SoftFail ("~all") to Fail ("-all").<br><br><blockquote type="cite"># rua = "aggregate data reporting address"<br># ruf = "forensic data reporting address"<br># fo = "failure option" -> 1 means "report for any failure"<br># By default this applies to 100% of mail.<br>_<a href="http://dmarc.mercurial-scm.org" target="_blank">dmarc.mercurial-scm.org</a>. IN TXT "v=DMARC1; p=none; rua=mailto:<a href="mailto:dmarc@mercurial-scm.org" target="_blank">dmarc@mercurial-<wbr>scm.org</a>; ruf=mailto:<a href="mailto:dmarc@mercurial-scm.org" target="_blank">dmarc@mercurial-<wbr>scm.org</a>; fo=1"<br></blockquote><br>I'd like to link this FAQ entry from <a href="http://dmarc.org" target="_blank">dmarc.org</a> about "ruf":<br><br><a href="https://dmarc.org/wiki/FAQ#Do_I_want_to_receive_Failure_Reports_.28ruf.3D.29.3F" target="_blank">https://dmarc.org/wiki/FAQ#Do_<wbr>I_want_to_receive_Failure_<wbr>Reports_.28ruf.3D.29.3F</a><br><br>It says "[make] sure you are ready to receive a LOT of messages".<br><br>Also, not sure how verbose the forensic format is, but some incoming<br>mail may look a lot like spam, dmarc@m-s.o will probably need to accept<br>that?<br></div></div></blockquote></div><br><div><br></div><div>Okay, given that, let's do this for now:</div><div><br></div><div><div><div><a href="http://mercurial-scm.org" target="_blank">mercurial-scm.org</a>.  IN TXT "v=spf1 a mx ~all"</div></div></div><div><div># rua = "aggregate data reporting address"<br># ruf = "forensic data reporting address"<br># fo = "failure option" -> 1 means "report for any failure"<br># By default this applies to 100% of mail.<br>_<a href="http://dmarc.mercurial-scm.org" target="_blank">dmarc.mercurial-scm.org</a>. IN TXT "v=DMARC1; p=none; rua=mailto:<a href="mailto:dmarc@mercurial-scm.org" target="_blank">dmarc@mercurial-<wbr>scm.org</a>; ruf=mailto:<a href="mailto:dmarc@mercurial-scm.org" target="_blank">dmarc@mercurial-<wbr>scm.org</a>; fo=1"</div></div><div><br></div><div>If the raging torrent of mail to dmarc@ proves too dire, we'll tune things.</div><div><br></div><div>Kevin, we're ready for mpm to make the DNS change, right?</div></div></div>