L'uso di SOFTFAIL su FAIL nel record SPF è considerato la migliore pratica?

31

O, in altre parole, si v=spf1 a mx ~allconsiglia l'utilizzo rispetto all'utilizzo v=spf1 a mx -all? La RFC non sembra dare alcun consiglio. La mia preferenza è sempre stata quella di utilizzare FAIL, il che fa apparire immediatamente i problemi. Trovo che con SOFTFAIL, i record SPF configurati in modo errato possano persistere indefinitamente, poiché nessuno se ne accorge.

Tutti gli esempi che ho visto online, tuttavia, sembrano usare SOFTFAIL. Ciò che mi ha fatto dubitare della mia scelta è stato quando ho visto le istruzioni di Google Apps per la configurazione di SPF:

Crea un record TXT contenente questo testo: v = spf1 include: _spf.google.com ~ all

La pubblicazione di un record SPF che utilizza -all anziché ~ all può causare problemi di consegna. Consulta gli intervalli di indirizzi IP di Google per i dettagli sugli indirizzi per i server di posta di Google Apps.

Gli esempi sono eccessivamente cauti spingendo l'uso di SOFTFAIL? Ci sono buoni motivi che rendono l'uso di SOFTFAIL una buona pratica?

email  spf 
Michael Kropat
fonte
Potresti trovare questo en.wikipedia.org/wiki/… utile.
Pacerier,

Risposte:

21

Bene, non era certamente l'intento della specifica da utilizzare invece: softfail è inteso come un meccanismo di transizione, in cui è possibile contrassegnare i messaggi senza rifiutarli del tutto.

Come hai scoperto, i messaggi non riusciti in modo definitivo tendono a causare problemi; alcuni servizi legittimi, ad esempio, falsificheranno gli indirizzi del tuo dominio al fine di inviare posta per conto dei tuoi utenti.

Per questo motivo, il softfail meno draconiano è raccomandato in molti casi come un modo meno doloroso per ottenere ancora molto aiuto che SPF offre, senza alcuni mal di testa; i filtri antispam del destinatario possono ancora prendere il softfail come un forte suggerimento che un messaggio può essere spam (cosa che molti fanno).

Se sei sicuro che nessun messaggio debba mai provenire da un nodo diverso da quello che hai specificato, usa sicuramente fail come previsto dallo standard SPF .. ma come hai osservato, il softfail è sicuramente cresciuto oltre il previsto uso.

Shane Madden
fonte
2
Quindi, a meno che non abbia circostanze specifiche che richiedono l'uso di SOFTFAIL, è sicuro attenersi a FAIL. Eccezionale. Grazie.
Michael Kropat,
1
@Shane, Per quanto riguarda "alcuni servizi legittimi falsificheranno gli indirizzi del tuo dominio" (paragrafo 2), quali sono alcuni esempi a cui ti riferivi?
Pacerier,
1
Spoofing the Header From: va bene. Nessun servizio legittimo falsificherà la busta-From, che è l'unico mittente su cui SPF ha qualcosa da dire - nessun altro server su Internet ha affari che inviano e-mail mentre mi dirige il rimbalzo, che essendo la funzione formale della busta-From .
MadHatter supporta Monica il
7

-tutti dovrebbero sempre essere utilizzati NESSUNA ECCEZIONE. Non usarlo ti sta aprendo a qualcuno che sta falsificando il tuo nome di dominio. Gmail per esempio ha ~ tutto. Gli spammer falsificano sempre gli indirizzi gmail.com. Lo standard dice che dobbiamo accettare e-mail da loro a causa di ~ all. Personalmente non seguo lo standard su questo, perché ho capito che molti di voi hanno impostato i record SPF in modo errato. Faccio valere ~ tutto, tutto, proprio come farei tutti. Sintassi SPF Errori SPF

sole di mezzanotte
fonte
5
Sono d'accordo con questa opinione. Per me l'unico motivo di Softfail sono gli scopi di test. Se mantieni aggiornato il tuo record SPF non c'è motivo per usare un softfail. In caso contrario, non vi è alcun motivo per SPF. Non credo che nessun servizio legittimo debba falsificare la loro email come proveniente dal tuo dominio.
Tim,
Sfiderei questo: perché dipende. Se tutti coloro che usano questo dominio conoscono le implicazioni, questo è assolutamente perfetto. Ma non dimenticare: i messaggi dai moduli di contatto del sito Web potrebbero andare persi senza che nessuno se ne accorga. Spesso questi messaggi sono impostati per inoltrare il tuo messaggio via mail per conto tuo. MA se stai configurando la posta per qualcun altro, non farlo. Non conoscono i moduli dei contatti che non vengono esaminati e impedisce loro di impostare l'indirizzo di posta come alias conveniente presso altri provider, ad esempio gmail.
wedi,
5

A mio avviso, Google si affida non solo a SPF, ma anche a DKIM e in definitiva a DMARC per valutare le e-mail. DMARC prende in considerazione sia la firma SPF che DKIM. Se uno dei due è valido, Gmail accetterà l'e-mail, ma se entrambi falliscono (o non funzionano), ciò indicherà chiaramente che l'e-mail potrebbe essere fraudolenta.

Questo è dalle pagine DMARC di Google :

Un messaggio deve fallire sia i controlli SPF che DKIM per fallire anche DMARC. Un singolo errore di controllo che utilizza entrambe le tecnologie consente al messaggio di passare DMARC.

Penso quindi che sarebbe consigliabile utilizzare SPF in modalità softfail per consentirgli di entrare nel più grande algoritmo di analisi della posta.

Darwin
fonte
1
Molto interessante, anche se non vedo come la conclusione derivi dalle premesse. Se DMARC può passare con un SPF FAIL o un SPF SOFTFAIL, che importa quale scegli?
Michael Kropat,
4
Penso che se imposti il ​​record SPF su FAIL, non arriverà nemmeno alla valutazione DMARC ... ma potrei sbagliarmi. Le specifiche non sono chiare su questo ...
darwin
ad errore SPF vs SoftFail: a) è importante per coloro che non hanno implementato DMARC b) anche quando DMARC fallisce il solo SPF può essere un motivo per contrassegnare il tuo messaggio come spam mentre SoftFail non sarebbe il caso. par.
Vlastimil Ovčáčík,
ad errore SPF impedisce la valutazione DMARC : se implementato, DMARC viene sempre valutato perché a) se SPF e / o DKIM superano DMARC deve verificare l' allineamento b) se entrambi non riescono DMARC deve aggiornare le statistiche del rapporto di errore.
Vlastimil Ovčáčík,
1

Forse il motivo per cui il softfail è ancora usato è che molti utenti (correttamente o erroneamente) inoltrano la configurazione, forse dalla loro e-mail di lavoro a casa, questo verrebbe rifiutato se l'hardfail è abilitato

Jon Redwood
fonte
2
Se lo fanno contro il consiglio degli amministratori di posta, si meritano che la loro e-mail fallisca.
MadHatter supporta Monica il
1
Le e-mail inoltrate a @MadHatter hanno il loro mittente della busta conservato, quindi sarebbe il record SPF dell'origine che verrebbe controllato (e molto probabilmente fallire) non il record SPF del datore di lavoro. Se il server di posta del datore di lavoro aggiorna il mittente della busta di quanto sarebbe aggiornato a un valore che non fallirebbe poiché non vi sarebbe alcuna differenza tra la posta inoltrata e quella normale in uscita (per quanto riguarda SPF).
Vlastimil Ovčáčík,
1
@ VlastimilOvčáčík hai ragione, o per dirla in altro modo, se vai avanti con SRS starai bene. Se non lo fai, non lo farai e evitarti -allsemplicemente di aiutare le configurazioni di inoltro di altre persone (ovvero non SRS) non è una buona idea.
MadHatter supporta Monica il
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.