Чи вважається використання SOFTFAIL над FAIL у записі SPF найкращою практикою?


31

Або кажучи іншим способом, чи v=spf1 a mx ~allрекомендується використовувати над використанням v=spf1 a mx -all? Здається, РФС не дає жодних рекомендацій. Моєю перевагою завжди було використання FAIL, через що проблеми стають очевидними негайно. Я вважаю, що за допомогою SOFTFAIL неправильно налаштовані SPF-записи можуть зберігатися нескінченно довго, оскільки ніхто не помічає.

Однак усі приклади, які я бачив в Інтернеті, схоже, використовують SOFTFAIL. Що змусило мене поставити під сумнів свій вибір, коли я побачив інструкції Google Apps щодо налаштування SPF:

Створіть запис TXT, що містить цей текст: v = spf1 include: _spf.google.com ~ all

Опублікування запису SPF, який використовує -all замість ~ all, може спричинити проблеми з доставкою. Докладні відомості про адреси поштових серверів Google Apps див. У діапазоні IP-адрес Google.

Чи є приклади надто обережними, натискаючи на використання SOFTFAIL? Чи є вагомі причини, які роблять використання SOFTFAIL найкращою практикою?


Ви можете вважати це корисним для en.wikipedia.org/wiki/… .
Pacerier

Відповіді:


21

Ну, напевно, це не специфікація для його використання, натомість - softfail призначений як механізм переходу, де можна помітити повідомлення, не відкидаючи їх прямо.

Як ви виявили, відмова повідомлень відверто, як правило, викликає проблеми; деякі законні послуги, наприклад, підроблять адреси вашого домену, щоб надсилати пошту від імені ваших користувачів.

Через це у багатьох випадках менш драконівський м'який піст рекомендується як менш болісний спосіб все-таки отримати багато допомоги, яку пропонує СПФ, без деяких головних болів; Фільтри спаму одержувача все ще можуть сприймати програмне забезпечення як сильний натяк на те, що повідомлення може бути спамом (що багато хто робить).

Якщо ви впевнені, що жодне повідомлення не повинно надходити з іншого вузла, ніж вказане вами, тоді, будь-ласка, використовуйте помилку як призначений стандарт SPF .. але, як ви зауважили, softfail, безумовно, вийшов за межі призначеного використання.


2
Тож, якщо у мене немає конкретних обставин, які вимагають використання SOFTFAIL, безпечно дотримуватися FAIL. Дивовижно. Спасибі.
Михайло Кропат

1
@Shane. Що стосується того, що "деякі законні послуги підроблять адреси вашого домену" (параграф 2), які приклади ви посилалися?
Pacerier

1
Підробляння заголовка від: добре. Жоден законний сервіс не зможе підробляти конверт-From - це єдиний відправник, про якого SPF має що сказати - жоден інший сервер в Інтернеті не має жодного бізнесу, що надсилає електронну пошту, при цьому прямий відскакує від мене, що це формальна функція конверта. .
MadHatter підтримує Моніку

7

-все завжди слід використовувати НЕ ВИКЛЮЧЕННЯ. Не використовувати його - це відкрити себе, щоб хтось підробив ваше доменне ім’я. Наприклад, Gmail має ~ all. Нерухомість підробляє gmail.com постійно. Стандарт говорить, що ми повинні приймати електронні листи від них через ~ all. Я особисто не дотримуюсь цього стандарту, тому що я зрозумів, що більшість із вас неправильно налаштувала свої SPF-записи. Я примушую ~ все, «все» так само, як і я б - все. Синтаксис SPF помилок SPF


5
Я другий на цю думку. Для мене єдиною причиною Softfail є тестування. Якщо ви постійно оновлюєте свій SPF-запис, немає жодної причини використовувати softfail. Якщо цього не зробити, то для SPF взагалі немає причин. Я не думаю, що будь-яка законна служба не повинна підробляти їх електронну пошту як те, що надходить з вашого домену.
Тім

Я би заперечив це: адже це залежить. Якщо всі, хто використовує цей домен, знають наслідки, це абсолютно добре. Але не забувайте: повідомлення з контактних форм веб-сайтів можуть загубитися, не помічаючи. Часто ці повідомлення налаштовуються для пересилання вашого повідомлення поштою від імені вас. Але, якщо ви налаштовуєте пошту для когось іншого, не робіть цього. Вони не знають про форми контактів, які не проходять, і це заважає їм встановити адресу електронної пошти як сприятливий псевдонім у іншого постачальника, наприклад, gmail.
весілля

5

Наскільки я розумію, Google для оцінки електронних листів покладається не лише на SPF, але й на DKIM та, зрештою, DMARC. DMARC враховує як SPF, так і DKIM-підписання. Якщо будь-яке дійсне, Gmail прийме повідомлення електронної пошти, але якщо обидва не вдасться (або softfail), це буде чіткою ознакою того, що електронна пошта може бути шахрайською.

Це з DMARC-сторінок Googles :

У повідомленні повинно бути відмовлено як перевірка SPF, так і DKIM, щоб також не відбувся DMARC. Помилка однієї перевірки за допомогою будь-якої технології дозволяє повідомленню передавати DMARC.

Тому я вважаю, що рекомендується використовувати SPF в режимі softfail, щоб дозволити йому ввійти до більшого алгоритму аналізу пошти.


1
Дуже цікаво, хоча я не бачу, як висновок випливає з приміщень. Якщо DMARC може передавати або SPF FAIL, або SPF SOFTFAIL, то яке значення має, який саме ви обрали?
Михайло Кропат

4
Я думаю, що якщо встановити запис SPF на FAIL, це навіть не зробить його оцінкою DMARC ... але я можу помилитися. Технічні характеристики цього питання не зрозумілі ...
darwin

ad SPF Fail vs SoftFail: a) це має значення для тих, хто не реалізує DMARC; b) навіть коли DMARC передає невдачу SPF, це може стати причиною позначати ваше повідомлення як спам, тоді як SoftFail не був би тим самим. абз.
Властиміл Овчачик

ad SPF Fail заважає DMARC eval : якщо впроваджено, DMARC завжди оцінюється, оскільки a) якщо SPF та / або DKIM проходить DMARC, потрібно перевірити вирівнювання b) якщо обидва не вдається DMARC потребує оновлення статистики звіту про помилки.
Властиміл Овчачик

1

Можливо, причина softfail все ще використовується в тому, що багато користувачів (правильно чи неправильно) налаштовують переадресацію, можливо, з їх робочої електронної пошти додому, це буде відхилено, якщо включено hardfail


2
Якщо вони роблять це проти порад адміністраторів пошти, вони заслуговують на те, щоб їх електронна пошта вийшла з ладу.
MadHatter підтримує Моніку

1
Переслані електронні листи @MadHatter зберігають відправника конвертів, тому це було б перевірено (і, швидше за все, не вдалося) SPF-джерелом запису, а не записом SPF роботодавця. Якщо поштовий сервер роботодавця оновлює відправника конверту, він буде оновлений до значення, яке не вийде з ладу, оскільки не буде різниці між пересиланою та звичайною вихідною поштою (що стосується SPF).
Властиміл Овчачик

1
@ VlastimilOvčáčík ви праві, або, якщо говорити, якщо ви перейдете з SRS, ви будете в порядку. Якщо ви цього не зробите, ви не хочете, і ухилятися від них -allпросто для того, щоб допомогти іншим людям зірватися (тобто не-SRS), налаштування переадресації не є хорошою ідеєю.
MadHatter підтримує Моніку
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.