Чи вважається використання SOFTFAIL над FAIL у записі SPF найкращою практикою?

Або кажучи іншим способом, чи v=spf1 a mx ~allрекомендується використовувати над використанням v=spf1 a mx -all? Здається, РФС не дає жодних рекомендацій. Моєю перевагою завжди було використання FAIL, через що проблеми стають очевидними негайно. Я вважаю, що за допомогою SOFTFAIL неправильно налаштовані SPF-записи можуть зберігатися нескінченно довго, оскільки ніхто не помічає.

Однак усі приклади, які я бачив в Інтернеті, схоже, використовують SOFTFAIL. Що змусило мене поставити під сумнів свій вибір, коли я побачив інструкції Google Apps щодо налаштування SPF:

Створіть запис TXT, що містить цей текст: v = spf1 include: _spf.google.com ~ all

Опублікування запису SPF, який використовує -all замість ~ all, може спричинити проблеми з доставкою. Докладні відомості про адреси поштових серверів Google Apps див. У діапазоні IP-адрес Google.

Чи є приклади надто обережними, натискаючи на використання SOFTFAIL? Чи є вагомі причини, які роблять використання SOFTFAIL найкращою практикою?

Ну, напевно, це не специфікація для його використання, натомість - softfail призначений як механізм переходу, де можна помітити повідомлення, не відкидаючи їх прямо.

Як ви виявили, відмова повідомлень відверто, як правило, викликає проблеми; деякі законні послуги, наприклад, підроблять адреси вашого домену, щоб надсилати пошту від імені ваших користувачів.

Через це у багатьох випадках менш драконівський м'який піст рекомендується як менш болісний спосіб все-таки отримати багато допомоги, яку пропонує СПФ, без деяких головних болів; Фільтри спаму одержувача все ще можуть сприймати програмне забезпечення як сильний натяк на те, що повідомлення може бути спамом (що багато хто робить).

Якщо ви впевнені, що жодне повідомлення не повинно надходити з іншого вузла, ніж вказане вами, тоді, будь-ласка, використовуйте помилку як призначений стандарт SPF .. але, як ви зауважили, softfail, безумовно, вийшов за межі призначеного використання.

-все завжди слід використовувати НЕ ВИКЛЮЧЕННЯ. Не використовувати його - це відкрити себе, щоб хтось підробив ваше доменне ім’я. Наприклад, Gmail має ~ all. Нерухомість підробляє gmail.com постійно. Стандарт говорить, що ми повинні приймати електронні листи від них через ~ all. Я особисто не дотримуюсь цього стандарту, тому що я зрозумів, що більшість із вас неправильно налаштувала свої SPF-записи. Я примушую ~ все, «все» так само, як і я б - все. Синтаксис SPF помилок SPF

Наскільки я розумію, Google для оцінки електронних листів покладається не лише на SPF, але й на DKIM та, зрештою, DMARC. DMARC враховує як SPF, так і DKIM-підписання. Якщо будь-яке дійсне, Gmail прийме повідомлення електронної пошти, але якщо обидва не вдасться (або softfail), це буде чіткою ознакою того, що електронна пошта може бути шахрайською.

Це з DMARC-сторінок Googles :

У повідомленні повинно бути відмовлено як перевірка SPF, так і DKIM, щоб також не відбувся DMARC. Помилка однієї перевірки за допомогою будь-якої технології дозволяє повідомленню передавати DMARC.

Тому я вважаю, що рекомендується використовувати SPF в режимі softfail, щоб дозволити йому ввійти до більшого алгоритму аналізу пошти.

Можливо, причина softfail все ще використовується в тому, що багато користувачів (правильно чи неправильно) налаштовують переадресацію, можливо, з їх робочої електронної пошти додому, це буде відхилено, якщо включено hardfail