Apakah menggunakan SOFTFAIL lebih dari FAIL dalam catatan SPF dianggap praktik terbaik?

31

Atau dengan kata lain, apakah menggunakan v=spf1 a mx ~alldirekomendasikan lebih dari menggunakan v=spf1 a mx -all? RFC tampaknya tidak membuat rekomendasi apa pun. Preferensi saya selalu menggunakan FAIL, yang menyebabkan masalah segera terlihat. Saya menemukan bahwa dengan SOFTFAIL, catatan SPF yang dikonfigurasi secara salah diizinkan untuk bertahan tanpa batas waktu, karena tidak ada yang memperhatikan.

Semua contoh yang saya lihat online, tampaknya menggunakan SOFTFAIL. Apa yang membuat saya mempertanyakan pilihan saya adalah ketika saya melihat instruksi Google Apps untuk mengonfigurasi SPF:

Buat data TXT yang berisi teks ini: v = spf1 sertakan: _spf.google.com ~ semua

Menerbitkan catatan SPF yang menggunakan -all bukannya ~ semua dapat menyebabkan masalah pengiriman. Lihat rentang alamat IP Google untuk detail tentang alamat untuk server surat Google Apps.

Apakah contohnya terlalu berhati-hati dengan mendorong penggunaan SOFTFAIL? Adakah alasan bagus yang menjadikan penggunaan SOFTFAIL sebagai praktik terbaik?

Michael Kropat
sumber
Anda mungkin menemukan ini en.wikipedia.org/wiki/... berguna.
Pacerier

Jawaban:

21

Yah, itu jelas bukan maksud dari spesifikasi untuk digunakan sebagai gantinya - softfail dimaksudkan sebagai mekanisme transisi, di mana Anda dapat memiliki pesan yang ditandai tanpa langsung menolaknya.

Seperti yang Anda temukan, kegagalan pesan langsung cenderung menyebabkan masalah; beberapa layanan yang sah, misalnya, akan memalsukan alamat domain Anda untuk mengirim email atas nama pengguna Anda.

Karena itu, softfail yang kurang tajam direkomendasikan dalam banyak kasus sebagai cara yang tidak terlalu menyakitkan untuk tetap mendapatkan banyak bantuan yang ditawarkan SPF, tanpa sedikitpun sakit kepala; filter spam penerima masih dapat menggunakan softfail sebagai petunjuk kuat bahwa pesan mungkin adalah spam (yang banyak dilakukan).

Jika Anda yakin bahwa tidak ada pesan yang seharusnya datang dari node selain dari apa yang Anda tentukan, maka tentu saja, gunakan gagal sesuai standar SPF yang dimaksudkan .. tetapi seperti yang telah Anda amati, softfail pasti telah berkembang melampaui yang dimaksudkan menggunakan.

Shane Madden
sumber
2
Jadi, kecuali saya memiliki keadaan khusus yang mengharuskan penggunaan SOFTFAIL, aman untuk tetap menggunakan FAIL. Luar biasa. Terima kasih.
Michael Kropat
1
@ Shane, Mengenai "beberapa layanan yang sah akan menipu alamat domain Anda" (paragraf 2), apa saja contoh yang Anda maksud?
Pacerier
1
Spoofing the Header From: baik-baik saja. Tidak ada layanan yang sah yang akan memalsukan amplop-Dari, yang merupakan satu-satunya pengirim yang ingin dikatakan SPF - tidak ada server lain di internet yang memiliki bisnis mengirim email sembari mengarahkan bouncing kepada saya, yang menjadi fungsi formal amplop-Dari .
MadHatter mendukung Monica
7

-Semua harus selalu digunakan TANPA PENGECUALIAN. Untuk tidak menggunakannya adalah membuka diri Anda kepada seseorang yang memalsukan nama domain Anda. Gmail misalnya memiliki ~ semua. Alamat spammer spoof gmail.com sepanjang waktu. Standar mengatakan kita harus menerima email dari mereka karena ~ semua. Saya pribadi tidak mengikuti standar ini, karena saya menyadari sebagian besar dari Anda telah salah mengatur data SPF Anda. Saya menegakkan ~ semua,? Semua, sama seperti saya akan -semua. Sintaks SPF Kesalahan SPF

matahari tengah malam
sumber
5
Saya mendukung pendapat ini. Bagi saya satu-satunya alasan Softfail adalah tujuan pengujian. Jika Anda tetap memperbarui SPF, tidak ada alasan untuk menggunakan softfail. Jika tidak, tidak ada alasan untuk SPF sama sekali. Saya rasa layanan apa pun yang sah tidak boleh memalsukan email mereka yang berasal dari domain Anda.
Tim
Saya akan menantang ini: karena itu tergantung. Jika semua orang yang menggunakan domain ini mengetahui implikasinya, ini benar-benar baik. Tapi jangan lupa: pesan dari formulir kontak situs web mungkin hilang tanpa ada yang memperhatikan. Seringkali pesan-pesan ini diatur untuk meneruskan pesan Anda melalui surat atas nama Anda. TETAPI jika Anda mengatur surat untuk orang lain, jangan lakukan itu. Mereka tidak tahu tentang formulir kontak yang tidak melalui dan mencegah mereka untuk mengatur alamat email sebagai alias convinient di beberapa penyedia lain, misalnya gmail.
wedi
5

Dalam pemahaman saya, Google tidak hanya mengandalkan SPF, tetapi juga pada DKIM dan akhirnya DMARC untuk mengevaluasi email. DMARC memperhitungkan penandatanganan SPF dan DKIM. Jika salah satu valid, Gmail akan menerima email tetapi jika keduanya gagal (atau kegagalan lunak), ini akan menjadi indikasi yang jelas bahwa email tersebut mungkin curang.

Ini dari laman-laman Googles DMARC :

Pesan harus gagal baik pemeriksaan SPF dan DKIM juga gagal DMARC. Kegagalan pemeriksaan tunggal menggunakan kedua teknologi memungkinkan pesan untuk melewati DMARC.

Karena itu saya pikir akan direkomendasikan untuk menggunakan SPF dalam mode softfail untuk memungkinkannya masuk ke dalam algoritma analisis surat yang lebih besar.

darwin
sumber
1
Sangat menarik, meskipun saya tidak melihat bagaimana kesimpulannya mengikuti dari tempat. Jika DMARC dapat lulus dengan SPF FAIL atau SPF SOFTFAIL, lalu apa bedanya yang mana yang Anda pilih?
Michael Kropat
4
Saya pikir jika Anda mengatur catatan SPF ke FAIL, itu bahkan tidak akan sampai ke evaluasi DMARC ... tapi saya mungkin salah. Spesifikasinya tidak jelas tentang ini ...
darwin
Kegagalan iklan SPF vs SoftFail: a) itu penting bagi mereka yang tidak menerapkan DMARC b) bahkan ketika DMARC gagal memalsukan SPF saja bisa menjadi alasan untuk menandai pesan Anda sebagai spam sementara SoftFail tidak akan menjadi kasus. par.
Vlastimil Ovčáčík
Kegagalan iklan SPF mencegah evaluasi DMARC : jika diterapkan, DMARC selalu dievaluasi karena a) jika SPF dan / atau DKIM melewati DMARC perlu memeriksa penyelarasan b) jika keduanya gagal, DMARC perlu memperbarui statistik laporan kegagalan.
Vlastimil Ovčáčík
1

Mungkin alasan softfail masih digunakan adalah karena banyak pengguna (benar atau salah) meneruskan penerusan, mungkin dari email kantor mereka ke rumah, ini akan ditolak jika hardfail diaktifkan

Jon Redwood
sumber
2
Jika mereka melakukan itu terhadap saran dari administrator surat, mereka layak memiliki email gagal.
MadHatter mendukung Monica
1
@MadHatter meneruskan email memiliki pengirim amplop mereka yang disimpan, jadi itu akan menjadi catatan SPF asal yang akan diperiksa (dan kemungkinan besar gagal) bukan catatan SPF perusahaan. Jika server surat majikan memperbarui pengirim amplop daripada yang akan diperbarui ke nilai yang tidak akan gagal karena tidak akan ada perbedaan antara surat keluar dan surat keluar normal (sejauh menyangkut SPF).
Vlastimil Ovčáčík
1
@ VlastimilOvčáčík Anda benar, atau dengan kata lain, jika Anda meneruskan dengan SRS Anda akan baik-baik saja. Jika tidak, Anda tidak akan melakukannya, dan menghindari -allhanya untuk membantu pengaturan penerusan orang lain yang rusak (yaitu non-SRS) bukanlah ide yang baik.
MadHatter mendukung Monica