Для прохождения проверки SPF отправляющий IP-адрес должен пройти хотя бы один из механизмов. Механизмы включения проверяют входящий IP-адрес, используя включенную запись SPF, и «возвращают» результат.
Используя ваш пример:
a.example.com IN TXT "v=spf1 include:b.example.com +all" b.example.com IN TXT "v=spf1 -all"
Включенная запись вернет ошибку, так как она содержит только -all
механизм. Однако первая запись пройдет, потому что у нее есть +all
механизм.
Используя более подробный пример:
a.example.com IN TXT "v=spf1 ip4:1.2.3.4 mx include:spf.example.org -all" a.example.com IN MX 0 mailserver.example.com mailserver.example.com IN A 1.2.3.5 spf.example.org IN TXT "v=spf1 ip4:4.3.0.0/16 -all"
Я запишу результаты каждого механизма в том же порядке, в котором они указаны в записи. Итак, результаты будут отформатированы так:
- a.example.com:
[ip4] [mx] [include] [-all]
- spf.example.org:
[ip4] [-all]
Со следующими адресами отправителя:
1.2.3.4
- spf.example.org ->
fail fail
- a.example.com ->
pass fail fail fail
Окончательный результат будет pass
, так как пройдена хотя бы одна проверка
1.2.3.5
- spf.example.org ->
fail fail
- a.example.com ->
fail pass fail fail
Окончательный результат будет pass
, так как пройдена хотя бы одна проверка
4.3.10.20
- spf.example.org ->
pass fail
- a.example.com ->
fail fail pass fail
Окончательный результат будет pass
, так как пройдена хотя бы одна проверка
TL; DR: механизм включения оценивается отдельно, а результат возвращается к оценке записи, которая его включила. Оценка записи не выполняется, если не найдено ни одного механизма. Так как вы закончили свой пример +all
, он всегда будет совпадать и, следовательно, пройдет.