Está usando SOFTFAIL sobre FAIL no registro SPF considerado a melhor prática?

Navegue suas respostas
28

Ou, em outras palavras, está usando v=spf1 a mx ~all recomendado ao usar v=spf1 a mx -all ? O RFC não parece fazer recomendações. Minha preferência sempre foi usar FAIL, o que faz com que os problemas se tornem aparentes imediatamente. Acho que com o SOFTFAIL, registros SPF configurados incorretamente podem persistir indefinidamente, pois ninguém percebe.

Todos os exemplos que vi online, no entanto, parecem usar o SOFTFAIL. O que me fez questionar minha escolha foi quando vi as instruções do Google Apps para configurar o SPF:

Create a TXT record containing this text: v=spf1 include:_spf.google.com ~all

Publishing an SPF record that uses -all instead of ~all may result in delivery problems. See Google IP address ranges for details about the addresses for the Google Apps mail servers.

Os exemplos estão sendo excessivamente cautelosos ao usar o SOFTFAIL? Existem boas razões que tornam o uso de SOFTFAIL uma prática recomendada?

    
por Michael Kropat 31.01.2012 / 19:07

4 respostas

21

Bem, certamente não foi a intenção da especificação para ser usada - softfail é um mecanismo de transição, onde você pode ter as mensagens marcadas sem rejeitá-las completamente.

Como você descobriu, falhas nas mensagens tendem a causar problemas; Alguns serviços legítimos, por exemplo, falsificarão os endereços do seu domínio para enviar e-mails em nome de seus usuários.

Por causa disso, o softfail menos draconiano é recomendado em muitos casos como uma maneira menos dolorosa de ainda obter muita ajuda que o SPF oferece, sem algumas dores de cabeça; os filtros de spam do destinatário ainda podem considerar o softfail como um strong indício de que uma mensagem pode ser spam (o que muitos fazem).

Se você está confiante de que nenhuma mensagem deve vir de um nó diferente do que você especificou, então, use fail conforme o padrão SPF pretendido ... mas como você observou, o softfail definitivamente cresceu além do uso pretendido.

    
por 31.01.2012 / 19:15
6

-all sempre deve ser usado NO EXCEPTION. Para não usá-lo, você está se abrindo para alguém falsificando seu nome de domínio. Gmail, por exemplo, tem um ~ todos. Spammers spoof gmail.com endereços o tempo todo. A norma diz que devemos aceitar e-mails deles por causa de todos. Eu pessoalmente não sigo o padrão sobre isso, porque eu percebi que a maioria de vocês configurou seus registros SPF incorretamente. Eu faço cumprir tudo, assim como eu faria. Sintaxe SPF Erros do SPF

    
por 30.01.2016 / 20:32
4

No meu entender, o Google depende não apenas do SPF, mas também do DKIM e, em última instância, do DMARC para avaliar e-mails. O DMARC leva em consideração a assinatura SPF e DKIM. Se um deles for válido, o Gmail aceitará o e-mail, mas se ambos falharem (ou não funcionar), isso será uma indicação clara de que o e-mail pode ser fraudulento.

Isso é de páginas do DMARC no Google :

A message must fail both SPF and DKIM checks to also fail DMARC. A single check failure using either technology allows the message to pass DMARC.

Portanto, acho que seria recomendado usar o SPF no modo softfail para permitir que ele entrasse no maior algoritmo de análise de correspondência.

    
por 18.03.2015 / 11:08
1

Talvez o motivo pelo qual o softfail ainda seja usado é que muitos usuários (com ou sem razão) configuram o encaminhamento, talvez de seus emails de trabalho para casa, isso seria rejeitado se o hardfail estiver ativado

    
por 06.06.2016 / 16:34
Windows \ Temp grandes quantidades de arquivos cab_XXXX O que diabos é gssapi-com-mic?