การใช้ SOFTFAIL บน FAIL ในเรคคอร์ด SPF ถือเป็นการปฏิบัติที่ดีที่สุดหรือไม่


31

หรือใช้วิธีอื่นคือv=spf1 a mx ~allแนะนำให้ใช้มากกว่าv=spf1 a mx -allหรือไม่ RFCไม่ปรากฏขึ้นเพื่อให้คำแนะนำใด ๆ ความชอบของฉันคือการใช้ FAIL ซึ่งทำให้เกิดปัญหาชัดเจนทันที ฉันพบว่าด้วย SOFTFAIL ระเบียน SPF ที่กำหนดค่าไม่ถูกต้องจะได้รับอนุญาตให้มีอยู่เรื่อย ๆ เนื่องจากไม่มีใครสังเกตเห็น

ตัวอย่างทั้งหมดที่ฉันได้เห็นทางออนไลน์ดูเหมือนจะใช้ SOFTFAIL สิ่งที่ทำให้ฉันถามตัวเลือกของฉันคือเมื่อฉันเห็นคำแนะนำของ Google Appsสำหรับการกำหนดค่า SPF:

สร้างระเบียน TXT ที่มีข้อความนี้: v = spf1 include: _spf.google.com ~ all

การเผยแพร่ระเบียน SPF ที่ใช้ -all แทน ~ all อาจทำให้เกิดปัญหาการจัดส่ง ดูช่วงที่อยู่ IP ของ Google สำหรับรายละเอียดเกี่ยวกับที่อยู่สำหรับเซิร์ฟเวอร์อีเมลของ Google Apps

ตัวอย่างมีความระมัดระวังมากเกินไปโดยการผลักดันการใช้ SOFTFAIL หรือไม่? มีเหตุผลที่ดีที่ทำให้การใช้ SOFTFAIL เป็นแนวปฏิบัติที่ดีที่สุดหรือไม่?


คุณอาจพบว่าen.wikipedia.org/wiki/นี้มีประโยชน์
Pacerier

คำตอบ:


21

แน่นอนว่าไม่ใช่ความตั้งใจของสเปคที่จะใช้แทน - softfail นั้นมีจุดประสงค์เพื่อเป็นกลไกการเปลี่ยนแปลงซึ่งคุณสามารถมีข้อความที่ถูกทำเครื่องหมายโดยไม่ปฏิเสธพวกเขาทันที

ตามที่คุณพบการล้มเหลวของข้อความทันทีมีแนวโน้มที่จะทำให้เกิดปัญหา ตัวอย่างเช่นบริการที่ถูกกฎหมายบางอย่างจะหลอกที่อยู่โดเมนของคุณเพื่อส่งอีเมลในนามของผู้ใช้ของคุณ

ด้วยเหตุนี้จึงแนะนำให้ใช้ softfail draconian น้อยลงในหลาย ๆ กรณีซึ่งเป็นวิธีที่เจ็บปวดน้อยกว่าที่จะได้รับความช่วยเหลือมากมายที่ SPF เสนอโดยไม่ต้องปวดหัว ตัวกรองสแปมของผู้รับยังสามารถใช้ softfail เป็นคำแนะนำที่แข็งแกร่งว่าข้อความอาจเป็นจดหมายขยะ (ซึ่งหลายคนทำ)

หากคุณมั่นใจว่าไม่ควรมีข้อความมาจากโหนดอื่นนอกเหนือจากที่คุณระบุดังนั้นให้ใช้ความล้มเหลวตามมาตรฐาน SPF ที่กำหนดไว้ แต่ตามที่คุณสังเกตเห็น softfail นั้นเติบโตเกินกว่าที่ควรจะเป็น ใช้.


2
ดังนั้นถ้าฉันมีสถานการณ์เฉพาะที่ต้องการใช้ SOFTFAIL มันปลอดภัยที่จะติดกับ FAIL น่ากลัว ขอบคุณ
Michael Kropat

1
@Shane เกี่ยวกับ "บริการที่ถูกกฎหมายบางอย่างจะหลอกที่อยู่โดเมนของคุณ" (วรรค 2) มีตัวอย่างใดบ้างที่คุณอ้างถึง
Pacerier

1
การปลอมแปลงส่วนหัวจาก: ไม่เป็นไร ไม่มีบริการที่ชอบด้วยกฎหมายจะหลอกลวงซองจดหมายซึ่งเป็นผู้ส่งรายเดียวเกี่ยวกับ SPF ที่มีอะไรจะพูด - ไม่มีเซิร์ฟเวอร์อื่นบนอินเทอร์เน็ตที่มีธุรกิจใด ๆ ที่ส่งอีเมลในขณะที่กำกับการตีกลับมาหาฉัน .
MadHatter สนับสนุน Monica

7

- ไม่ควรใช้ทุกข้อยกเว้น หากไม่ต้องการใช้จะเปิดตัวเองกับใครบางคนที่แอบอ้างชื่อโดเมนของคุณ เช่น Gmail มี ~ ทั้งหมด ผู้ส่งอีเมลขยะจะหลอกที่อยู่อีเมล gmail.com ตลอดเวลา มาตรฐานบอกว่าเราต้องยอมรับอีเมลจากพวกเขาเพราะ ~ ทั้งหมด ฉันเองไม่ปฏิบัติตามมาตรฐานในเรื่องนี้เพราะฉันรู้ว่าคุณส่วนใหญ่มีการตั้งค่าระเบียน SPF ของคุณไม่ถูกต้อง ฉันบังคับใช้ ~ ทั้งหมดหรือไม่ทั้งหมดตามที่ฉันต้องการ ไวยากรณ์ของ SPF ความผิดพลาดของ SPF


5
ฉันสองความคิดเห็นนี้ สำหรับฉันเหตุผลเดียวสำหรับ Softfail คือจุดประสงค์ในการทดสอบ หากคุณเก็บบันทึก SPF ของคุณเป็นปัจจุบันไม่มีเหตุผลที่จะใช้ softfail ถ้าคุณทำไม่ได้ไม่มีเหตุผลสำหรับค่า SPF เลย ฉันไม่คิดว่าบริการที่ชอบด้วยกฎหมายควรปลอมแปลงอีเมลของพวกเขาว่ามาจากโดเมนของคุณ
ทิม

ฉันจะท้าทายสิ่งนี้: เพราะมันขึ้นอยู่กับ หากทุกคนที่ใช้โดเมนนี้รู้ถึงความเกี่ยวข้อง แต่อย่าลืม: ข้อความจากแบบฟอร์มการติดต่อเว็บไซต์อาจหายไปโดยไม่มีใครสังเกตเห็น บ่อยครั้งที่ข้อความเหล่านี้ถูกตั้งค่าให้ส่งต่อข้อความของคุณทางอีเมลในนามของคุณ แต่ถ้าคุณตั้งค่าอีเมลให้คนอื่นอย่าทำเช่นนั้น พวกเขาไม่ทราบเกี่ยวกับแบบฟอร์มผู้ติดต่อที่ไม่ผ่านและจะป้องกันไม่ให้พวกเขาตั้งค่าที่อยู่อีเมลเป็นชื่อแทนที่ชัดเจนที่ผู้ให้บริการรายอื่นเช่น gmail
WEDI

5

ในความเข้าใจของฉัน Google ไม่เพียงอาศัย SPF แต่ยังใช้ DKIM และ DMARC ในท้ายที่สุดเพื่อประเมินอีเมล DMARC คำนึงถึงทั้ง SPF และการลงนาม DKIM หากถูกต้อง Gmail จะยอมรับอีเมล แต่ถ้าทั้งคู่ล้มเหลว (หรือ softfail) นี่จะเป็นตัวบ่งชี้ที่ชัดเจนว่าอีเมลนั้นอาจเป็นการฉ้อโกง

นี่คือจากGoogles DMARC-pages :

ข้อความจะต้องล้มเหลวทั้ง SPF และ DKIM ตรวจสอบเพื่อให้ล้มเหลว DMARC การตรวจสอบครั้งเดียวล้มเหลวโดยใช้เทคโนโลยีใดข้อความหนึ่งอนุญาตให้ข้อความส่งผ่าน DMARC

ฉันคิดว่ามันจะแนะนำให้ใช้ SPF ในโหมด softfail เพื่อให้มันเข้าสู่ขั้นตอนวิธีการวิเคราะห์จดหมายที่ดีกว่า


1
น่าสนใจมากถึงแม้ว่าฉันจะไม่เห็นว่าข้อสรุปจะตามมาอย่างไรจากสถานที่ หาก DMARC สามารถผ่านด้วย SPF FAIL หรือ SPF SOFTFAIL ได้คุณจะเลือกว่าจะเลือกรุ่นใด
Michael Kropat

4
ฉันคิดว่าถ้าคุณตั้งค่าระเบียน SPF เป็น FAIL จะไม่ทำให้การประเมิน DMARC ... แต่ฉันอาจเข้าใจผิด รายละเอียดไม่ชัดเจนเกี่ยวกับเรื่องนี้ ...
34499

โฆษณา SPF ล้มเหลวเทียบกับ SoftFail: a)สำคัญสำหรับผู้ที่ไม่ใช้ DMARC b)แม้ว่า DMARC ผ่านการล้มเหลวของ SPF เพียงอย่างเดียวอาจเป็นเหตุผลในการทำเครื่องหมายข้อความของคุณว่าเป็นสแปมในขณะที่ SoftFail จะไม่ใช่เคส เกณฑ์
Vlastimil Ovčáčík

โฆษณา SPF ล้มเหลวป้องกัน DMARC eval : หากใช้งาน DMARC จะได้รับการประเมินเสมอเพราะ)ถ้า SPF และ / หรือ DKIM ผ่าน DMARC ต้องตรวจสอบการจัดตำแหน่ง b)หากทั้งสองล้มเหลว DMARC ต้องอัปเดตสถิติรายงานความล้มเหลว
Vlastimil Ovčáčík

1

บางทีเหตุผลที่ยังคงใช้ softfail ก็คือผู้ใช้จำนวนมาก (ถูกหรือผิด) ส่งต่อการตั้งค่าอาจจากอีเมลที่ทำงานไปที่บ้านของพวกเขานี้จะได้รับการปฏิเสธหาก hardfail เปิดใช้งาน


2
หากพวกเขาทำเช่นนั้นกับคำแนะนำของผู้ดูแลระบบอีเมลพวกเขาสมควรที่จะได้รับอีเมลที่ล้มเหลว
MadHatter รองรับโมนิก้า

1
@MadHatter อีเมลที่ส่งต่อมีการเก็บรักษาผู้ส่งซองจดหมายดังนั้นมันจะเป็นระเบียน SPF ของจุดเริ่มต้นที่จะตรวจสอบ (และมักจะล้มเหลว) ไม่ใช่ระเบียน SPF ของนายจ้าง หากเซิร์ฟเวอร์อีเมลของนายจ้างอัพเดตผู้ส่งซองจดหมายมากกว่าที่จะได้รับการอัปเดตเป็นค่าที่จะไม่ล้มเหลวเนื่องจากจะไม่มีความแตกต่างระหว่างเมลที่ส่งต่อและขาออกปกติ (เท่าที่เกี่ยวข้องกับ SPF)
Vlastimil Ovčáčík

1
@ VlastimilOvčáčíkคุณพูดถูกหรือจะเป็นอีกทางหนึ่งถ้าคุณส่งต่อด้วย SRS คุณจะสบายดี หากคุณไม่ทำเช่นนั้นคุณจะไม่ทำและละทิ้ง-allเพียงเพื่อช่วยให้การตั้งค่าการส่งต่อที่เสีย (เช่นไม่ใช่ SRS) ของผู้อื่นไม่ใช่ความคิดที่ดี
MadHatter สนับสนุนโมนิก้า
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.