Lub inaczej mówiąc, czy używanie jest v=spf1 a mx ~all
zalecane zamiast używania v=spf1 a mx -all
? RFC nie wydaje żadnych zaleceń. Zawsze wolałem używać FAIL, co powoduje, że problemy stają się natychmiast widoczne. Uważam, że w przypadku SOFTFAIL niepoprawnie skonfigurowane rekordy SPF mogą trwać w nieskończoność, ponieważ nikt tego nie zauważa.
Wydaje się jednak, że wszystkie przykłady, które widziałem online, używają SOFTFAIL. To, co skłoniło mnie do pytania, to wybór, kiedy zobaczyłem instrukcje Google Apps dotyczące konfigurowania SPF:
Utwórz rekord TXT zawierający ten tekst: v = spf1 include: _spf.google.com ~ all
Opublikowanie rekordu SPF, który używa -all zamiast ~ all, może powodować problemy z dostarczaniem. Zobacz zakresy adresów IP Google, aby uzyskać szczegółowe informacje na temat adresów serwerów pocztowych Google Apps.
Czy przykłady są zbyt ostrożne, zmuszając do użycia SOFTFAIL? Czy istnieją dobre powody, dla których korzystanie z SOFTFAIL jest najlepszą praktyką?
Odpowiedzi:
Cóż, z pewnością nie było to celem specyfikacji, aby zamiast tego była używana - softfail ma służyć jako mechanizm przejściowy, w którym można oznaczać wiadomości bez ich całkowitego odrzucania.
Jak się okazało, brakujące wiadomości wprost powodują problemy; niektóre legalne usługi, na przykład, sfałszują adresy Twojej domeny, aby wysyłać pocztę w imieniu użytkowników.
Z tego powodu mniej drakoński softfail jest zalecany w wielu przypadkach jako mniej bolesny sposób na uzyskanie dużej ilości pomocy, jaką oferuje SPF, bez niektórych bólów głowy; filtry antyspamowe adresata nadal mogą traktować ten softfail jako wyraźną wskazówkę, że wiadomość może być spamem (co wielu robi).
Jeśli masz pewność, że żadna wiadomość nie powinna pochodzić z innego węzła niż ten, który podałeś, to na pewno użyj fail zgodnie z zamierzonym standardem SPF ... ale jak zauważyłeś, softfail zdecydowanie przekroczył swój zamierzony cel posługiwać się.
źródło
-wszystko powinno być zawsze używane BEZ WYJĄTKU. Nieużywanie go oznacza otwarcie się na kogoś, kto fałszuje twoją nazwę domeny. Gmail na przykład ma ~ wszystko. Spamerzy cały czas podszywają się pod adresy gmail.com. Standard mówi, że musimy akceptować e-maile od nich z powodu ~ wszystkich. Ja osobiście nie przestrzegam tego standardu, ponieważ zdałem sobie sprawę, że większość z was źle skonfigurowała swoje rekordy SPF. Egzekwuję ~ wszyscy, wszyscy, tak jak ja-wszyscy. Składnia SPF Błędy SPF
źródło
W moim rozumieniu Google ocenia nie tylko SPF, ale także DKIM i ostatecznie DMARC. DMARC bierze pod uwagę zarówno podpisywanie SPF, jak i DKIM. Jeśli którykolwiek z nich jest prawidłowy, Gmail zaakceptuje wiadomość e-mail, ale jeśli obie się nie powiedzą (lub nie powiedzie się), będzie to wyraźny sygnał, że wiadomość e-mail może być fałszywa.
To jest ze stron DMARC Google :
Dlatego myślę, że byłoby zalecane użycie SPF w trybie softfail, aby pozwolić mu wejść w większy algorytm analizy poczty.
źródło
Być może powodem, dla którego wciąż używana jest funkcja softfail, jest to, że wielu użytkowników (słusznie lub niesłusznie) przekazuje konfigurację, być może z służbowego adresu e-mail do domu, zostanie to odrzucone, jeśli włączona zostanie funkcja hardfail
źródło
-all
po prostu pomocy innym osobom (np. Nie-SRS) w ustawieniach przekazywania nie jest dobrym pomysłem.