Falha de SPF contra falha e falha de software

Question

Falha de SPF contra falha e falha de software

#1 resposta do (3 votos)

2

Pergunta

Quais são as vantagens e desvantagens de usar o Fail vs. a SoftFail no meu registro SPF?

O que eu encontrei no tópico

Em 2007, pessoas aparentemente experientes parecem ter dito que o SoftFail era apenas para testar e encorajá-lo a rejeitá-lo depois de ter tudo configurado corretamente ( aqui e aqui )

Esta postagem no fórum chama o SoftFail de "configurado incorretamente", mas depois diz que o Google o usa. Eu confio no Google para as práticas recomendadas mais do que um pôster de fórum aleatório! Eu verifiquei e, de fato, o Gmail usa ~all (um SoftFail) em seu registro SPF .

No fim do remetente , os especialistas em capacidade de entrega de e-mails parecem incentivar o uso do SoftFail:

Fail "is more aggressive [than SoftFail] and is known to create more issues than it solves (we don’t recommend it)."

—Postmark SPF Guide

Isso é bastante vago.

"I generally recommend publishing ~all records for my clients. There’s not a huge benefit to publishing -all and sometimes mail gets forwarded around. The one time I recommend a -all record is when a domain is getting forged into spam. Domain forgery can cause a lot of bounces. The amount of bounces can be bad enough to take down a mail server, particularly those with a small userbase. Many ISPs will check SPF before sending back a bounce and so a -all record can decrease the amount of blowback the domain owner has to deal with."

—Email deliverability consultants Word to the Wise

Ainda como um webmaster saberá se há uma quantidade substancial de falsificação de domínio acontecendo? Não é uma prática recomendada se preparar para o pior e antecipar a falsificação antecipadamente?

No fim de recebimento , Terry Zink, que trabalha na filtragem de spam corporativo , oferece um caso strong para evitar falhas na tentativa de impedir que e-mails de phishing passem, e diz que a maioria das pessoas usa o SoftFail porque as organizações são mais medo de e-mails perdidos do que de e-mails forjados. Qual é a probabilidade de um e-mail falso de phishing que o SPF SoftFails chega na caixa de entrada de alguém?

email spf

por sondra.kinsey 02.10.2018 / 22:46

1 resposta

Tags email spf

Verificações semelhantes a NRPE de máquinas baseadas em janelas Cabeçalhos HTTP - precisa verificar OPTIONS

score 3 · Answer 1

Sondra já direcionou você para uma questão relacionada, mas a resposta de maior pontuação não faz justiça às suas perguntas, na minha opinião.

Deixe-me começar com sua última pergunta: qual é a probabilidade de um e-mail de phishing falso que o SPF SoftFails realmente envia para a caixa de entrada de alguém? Imenso! Combinado com a política de quarentena / rejeição do DMARC e com a caixa de correio de recebimento no Office 365, Outlook.com, Gmail, Yahoo ou outro grande provedor, muito improvável.

Sua primeira pergunta: Quais são as vantagens de um registro Fail over a Soft Fail SPF? Como mencionado em sua própria pesquisa, uma desvantagem será que os emails encaminhados serão rejeitados, a menos que o endereço de devolução (caminho de retorno) seja reescrito pelo encaminhador. Uma vantagem é o domínio estar melhor protegido contra spoofing, mas apenas para as tentativas mais simples.

Como mencionado acima, a ressalva com o SPF é que ele foi verificado em relação ao SMTP envelope remetente , salvo no campo de cabeçalho da mensagem Return-Path . Um destinatário real não terá conhecimento desse campo, porque a maioria dos clientes de email só os apresentará com um outro campo, o cabeçalho From . Por exemplo: eu envio um email com um cabeçalho From: [email protected] , mas eu uso [email protected] como o remetente do envelope. Mesmo que microsoft.com publique uma política SPF Fail , ela não falhará no SPF porque example.com não publica um registro SPF. O destinatário só verá um email de [email protected] .

É onde entra o DMARC. O DMARC requer alinhamento de autenticação com o domínio usado no cabeçalho From , seja para SPF ou DKIM. Ou seja, o domínio usado no remetente do envelope ( Return-Path ) e o cabeçalho From: devem compartilhar um domínio organizacional. Terry Zink publicou vários artigos sobre o DMARC, um dos quais: Proteção aprimorada de e-mail com DKIM e DMARC no Office 365

Há muito que se pode aprender sobre SPF, DKIM e DMARC, o que está além do escopo desta resposta. O DMARC não é fácil de implementar nem perfeito, mas protege seu domínio contra spoofing, muito melhor do que apenas o SPF. Além disso, tudo depende da parte receptora e de como eles lidam com o SPF e o DMARC (se for o caso).