Является ли использование SOFTFAIL over FAIL в записи SPF лучшей практикой?

31

Или, другими словами, использование v=spf1 a mx ~allрекомендуется по сравнению с использованием v=spf1 a mx -all? RFC не дает никаких рекомендаций. Я всегда предпочитал использовать FAIL, из-за чего проблемы становятся очевидными немедленно. Я обнаружил, что с SOFTFAIL неправильно настроенные записи SPF могут сохраняться бесконечно, так как никто не замечает.

Однако все примеры, которые я видел в Интернете, похоже, используют SOFTFAIL. Что заставило меня задуматься, я выбрал, когда увидел инструкции Служб Google по настройке SPF:

Создайте TXT-запись, содержащую этот текст: v = spf1 include: _spf.google.com ~ all

Публикация записи SPF, в которой используется -all вместо ~ all, может привести к проблемам с доставкой. См. Диапазоны IP-адресов Google для получения подробной информации об адресах почтовых серверов Служб Google.

Являются ли примеры чрезмерно осторожными, подталкивая использование SOFTFAIL? Существуют ли веские причины, которые делают использование SOFTFAIL лучшей практикой?

email spf Майкл Кропат
источник
Вы можете найти это en.wikipedia.org/wiki/… полезным.
Pacerier

Ответы:

21

Ну, это, конечно, не было целью спецификации для его использования вместо этого - softfail предназначен в качестве механизма перехода, где вы можете пометить сообщения, не отклоняя их напрямую.

Как вы обнаружили, неудачные сообщения обычно вызывают проблемы; некоторые законные службы, например, будут подделывать адреса вашего домена, чтобы отправлять почту от имени ваших пользователей.

Из-за этого во многих случаях рекомендуется менее драконовский программный отказ как менее болезненный способ по-прежнему получать большую помощь, которую предлагает SPF, без некоторых головных болей; Спам-фильтры получателя могут по-прежнему воспринимать программную ошибку как сильный намек на то, что сообщение может быть спамом (что многие и делают).

Если вы уверены, что никакое сообщение не должно приходить от узла, отличного от указанного, то обязательно используйте сбой в соответствии со стандартом SPF ... но, как вы заметили, softfail определенно вышел за рамки своего предназначения использовать.

Шейн Мэдден
источник
2
Поэтому, если у меня нет особых обстоятельств, требующих использования SOFTFAIL, безопасно придерживаться FAIL. Потрясающе. Спасибо.
Майкл Кропат
1
@Shane, что касается некоторых «законных служб, которые подделывают адреса вашего домена» (параграф 2), на какие примеры вы ссылались?
Pacerier
1
Спуфить заголовок От: все в порядке. Никакая законная служба не подделает конверт-От, который является единственным отправителем, о котором SPF может сказать - ни у какого другого сервера в Интернете нет никакого бизнеса, отправляющего электронную почту, в то время как он направляет мне сообщения об отскоке, что является формальной функцией конверта-От ,
MadHatter поддерживает Монику
7

-все должны всегда использоваться без исключения. Не использовать его - значит открыть себя кому-то, кто подделывает ваше доменное имя. Например, в Gmail есть все. Спамеры подделывают адреса gmail.com постоянно. Стандарт гласит, что мы должны принимать электронные письма от них из-за всего. Я лично не следую стандарту в этом, потому что я понял, что большинство из вас неправильно настроили свои записи SPF. Я применяю все, все так же, как и все. SPF Синтаксис SPF ошибок

полуденное солнце
источник
5
Я придерживаюсь этого мнения. Для меня единственной причиной Softfail являются цели тестирования. Если вы обновляете свою SPF-запись, то нет причин использовать программную ошибку. Если вы этого не сделаете, нет никаких причин для SPF вообще. Я не думаю, что какой-либо законный сервис должен подделывать свою электронную почту как пришедшую с вашего домена.
Тим
Я бы оспаривал это: потому что это зависит. Если каждый, кто использует этот домен, знает последствия, это абсолютно нормально. Но не забывайте: сообщения с контактных форм веб-сайта могут быть потеряны без уведомления. Часто эти сообщения настраиваются для пересылки вашего сообщения по почте от вашего имени. НО, если вы настраиваете почту для кого-то другого, не делайте этого. Они не знают о том, что формы контактов не проходят, и это мешает им настроить почтовый адрес в качестве удобного псевдонима у другого провайдера, например, Gmail.
среду,
5

В моем понимании, Google полагается не только на SPF, но и на DKIM и, в конечном счете, DMARC для оценки электронной почты. DMARC учитывает как SPF, так и DKIM-подпись. Если какой-либо из них действителен, Gmail примет электронное письмо, но в случае сбоя обоих (или программного сбоя) это будет явным признаком того, что электронное письмо может быть мошенническим.

Это из Googles DMARC-страниц :

Сообщение должно не пройти проверку SPF и DKIM, чтобы также не выполнить проверку DMARC. Один провал проверки с использованием любой технологии позволяет сообщению проходить DMARC.

Поэтому я думаю, что было бы рекомендовано использовать SPF в режиме softfail, чтобы позволить ему войти в более широкий алгоритм анализа почты.

Дарвин
источник
1
Очень интересно, хотя я не понимаю, как из этого следует вывод. Если DMARC может передать либо SPF FAIL, либо SPF SOFTFAIL, то какое это имеет значение, какой вы выберете?
Майкл Кропат
4
Я думаю, что если вы установите запись SPF на FAIL, она даже не дойдет до оценки DMARC ... но я могу ошибаться. Спецификации не ясны на этом ...
Дарвин
Ad SPF Fail против SoftFail: a) это важно для тех, у кого DMARC не реализован; b) даже если DMARC пропускает отказавший SPF, это может быть причиной для пометки вашего сообщения как спама, в то время как SoftFail не подходит для этого случая. пункт
Властимил Овчачик
ad SPF Fail предотвращает DMARC eval : если реализовано, DMARC всегда оценивается, потому что a) если SPF и / или DKIM проходит, DMARC необходимо проверить выравнивание b) если оба сбоя DMARC необходимо обновить статистику отчета об ошибках.
Властимил Овчачик
1

Возможно, причина, по которой софтфайл все еще используется, заключается в том, что многие пользователи (правильно или неправильно) настраивают переадресацию, может быть, с рабочего письма на дом, это будет отклонено, если включен hardfail

Джон Редвуд
источник
2
Если они делают это вопреки советам почтовых администраторов, они заслуживают того, чтобы их электронная почта перестала работать.
MadHatter поддерживает Монику
1
Отправленные в @MadHatter электронные письма сохраняют отправителя конвертов, поэтому проверяется (и, скорее всего, не удается) запись SPF источника, а не запись SPF работодателя. Если почтовый сервер работодателя обновит отправителя конверта, то он будет обновлен до значения, которое не даст сбоя, поскольку не будет разницы между переадресованной и обычной исходящей почтой (в отношении SPF).
Властимил Овчачик
1
@ VlastimilOvčáčík Вы правы, или, другими словами, если вы перешли с SRS, у вас все будет хорошо. Если вы этого не сделаете, вы этого не сделаете, и отказ от -allпростой помощи другим пользователям - это плохая идея.
MadHatter поддерживает Монику