Wird die Verwendung von SOFTFAIL über FAIL im SPF-Datensatz als bewährte Methode betrachtet?

31

Oder anders ausgedrückt: Wird die Verwendung v=spf1 a mx ~allempfohlen , anstatt sie zu verwenden v=spf1 a mx -all? Der RFC scheint keine Empfehlungen abzugeben. Ich habe es immer vorgezogen, FAIL zu verwenden, wodurch sich Probleme sofort bemerkbar machen. Ich finde, dass mit SOFTFAIL falsch konfigurierte SPF-Datensätze auf unbestimmte Zeit beibehalten werden dürfen, da dies niemand bemerkt.

Alle Beispiele, die ich online gesehen habe, scheinen jedoch SOFTFAIL zu verwenden. Als ich die Anweisungen für Google Apps zum Konfigurieren von SPF sah, stellte ich meine Wahl in Frage :

Erstellen Sie einen TXT-Datensatz mit folgendem Text: v = spf1 include: _spf.google.com ~ all

Das Veröffentlichen eines SPF-Datensatzes, der -all anstelle von ~ all verwendet, kann zu Übermittlungsproblemen führen. Weitere Informationen zu den Adressen der Google Apps-Mailserver finden Sie unter IP-Adressbereiche von Google.

Sind die Beispiele zu vorsichtig, wenn sie den Einsatz von SOFTFAIL forcieren? Gibt es gute Gründe, die den Einsatz von SOFTFAIL zu einem Best Practice machen?

Michael Kropat
quelle
Möglicherweise finden Sie diese en.wikipedia.org/wiki/… nützlich.
Pacerier

Antworten:

21

Nun, es war sicherlich nicht die Absicht der Spezifikation, es stattdessen zu verwenden - softfail ist als Übergangsmechanismus gedacht, bei dem Sie die Nachrichten markieren können, ohne sie sofort abzulehnen.

Wie Sie festgestellt haben, können fehlerhafte Nachrichten zu Problemen führen. Einige legitime Dienste fälschen beispielsweise die Adressen Ihrer Domain, um E-Mails für Ihre Benutzer zu versenden.

Aus diesem Grund wird der weniger drakonische Softfail in vielen Fällen als schmerzfreier Weg empfohlen, um immer noch viel Hilfe zu erhalten, die SPF bietet, ohne dass Kopfschmerzen auftreten. Die Spam-Filter des Empfängers können den Softfail weiterhin als starken Hinweis darauf interpretieren, dass es sich bei einer Nachricht möglicherweise um Spam handelt (was viele tun).

Wenn Sie sicher sind, dass keine Nachricht jemals von einem anderen als dem von Ihnen angegebenen Knoten kommen sollte, verwenden Sie auf jeden Fall fail, wie es der SPF-Standard vorsieht verwenden.

Shane Madden
quelle
2
Sofern ich keine besonderen Umstände habe, die die Verwendung von SOFTFAIL erfordern, ist es sicher, bei FAIL zu bleiben. Genial. Vielen Dank.
Michael Kropat
1
@Shane, In Bezug auf "einige legitime Dienste werden die Adressen Ihrer Domain verfälschen" (Absatz 2), auf welche Beispiele haben Sie sich bezogen?
Pacerier
1
Spoofing des Headers von: ist in Ordnung. Kein legitimer Dienst wird den Umschlag-Von fälschen, der der einzige Absender ist, über den der SPF etwas zu sagen hat. Kein anderer Server im Internet hat geschäftliche Gründe, E-Mails zu senden, während er Bounces an mich weiterleitet. Dies ist die formale Funktion des Umschlag-Von .
MadHatter unterstützt Monica
7

-all sollte immer ohne Ausnahme verwendet werden. Um es nicht zu benutzen, öffnen Sie sich für jemanden, der Ihren Domainnamen fälscht. Google Mail zum Beispiel hat ein ~ all. Spammer fälschen gmail.com-Adressen die ganze Zeit. Der Standard besagt, dass wir aus ~ allen Gründen E-Mails von ihnen akzeptieren müssen. Ich persönlich halte mich dabei nicht an den Standard, da ich festgestellt habe, dass die meisten von Ihnen Ihre SPF-Datensätze falsch eingerichtet haben. Ich erzwinge ~ all,? All, genauso wie ich -all würde. SPF-Syntax SPF-Fehler

Mitternachtssonne
quelle
5
Ich stimme dieser Meinung zu. Der einzige Grund für Softfail sind für mich Testzwecke. Wenn Sie Ihre SPF-Aufzeichnung auf dem neuesten Stand halten, gibt es keinen Grund, einen Softfail zu verwenden. Wenn Sie dies nicht tun, gibt es überhaupt keinen Grund für SPF. Ich denke nicht, dass ein legitimer Dienst seine E-Mail-Adresse als von Ihrer Domain stammend fälschen sollte.
Tim
Ich würde dies in Frage stellen: weil es davon abhängt. Wenn jeder, der diese Domain nutzt, die Auswirkungen kennt, ist dies absolut in Ordnung. Vergessen Sie jedoch nicht: Nachrichten von Website-Kontaktformularen können verloren gehen, ohne dass es jemand merkt. Häufig sind diese Nachrichten so eingerichtet, dass sie Ihre Nachricht für Sie per E-Mail weiterleiten. ABER wenn Sie Mail für jemand anderen einrichten, tun Sie es nicht. Sie wissen nicht, dass Kontaktformulare nicht durchlaufen werden, und es verhindert, dass sie die E-Mail-Adresse bei einem anderen Anbieter, z. B. bei Google Mail, als Alias ​​einrichten können.
Mittwoch,
5

Nach meinem Verständnis verlässt sich Google nicht nur auf SPF, sondern auch auf DKIM und letztendlich auf DMARC, um E-Mails auszuwerten. DMARC berücksichtigt sowohl SPF- als auch DKIM-Signaturen. Wenn eine der beiden Bedingungen erfüllt ist, akzeptiert Google Mail die E-Mail. Wenn jedoch beide fehlschlagen (oder die E-Mail nicht funktioniert), ist dies ein eindeutiger Hinweis darauf, dass die E-Mail möglicherweise betrügerisch ist.

Dies ist von Googles DMARC-Seiten :

Eine Nachricht muss sowohl bei der SPF- als auch bei der DKIM-Prüfung fehlschlagen, damit auch DMARC fehlschlägt. Ein einzelner Überprüfungsfehler unter Verwendung einer der beiden Technologien ermöglicht es der Nachricht, DMARC zu bestehen.

Ich denke daher, dass es empfehlenswert ist, SPF im Softfail-Modus zu verwenden, um in den umfassenderen Algorithmus der Mail-Analyse einzusteigen.

Darwin
quelle
1
Sehr interessant, obwohl ich nicht sehe, wie die Schlussfolgerung aus den Prämissen folgt. Wenn DMARC entweder mit einem SPF FAIL oder einem SPF SOFTFAIL bestehen kann, was macht es dann aus, für welches Sie sich entscheiden?
Michael Kropat
4
Ich denke, wenn Sie den SPF-Datensatz auf FAIL setzen, wird er nicht einmal in die DMARC-Bewertung aufgenommen ... aber ich könnte mich irren. Die Spezifikationen sind nicht klar auf diese ...
Darwin
ad SPF Fail vs SoftFail: a) Dies ist wichtig für Benutzer ohne DMARC-Implementierung. b) Auch wenn DMARC erfolgreich ist, kann fehlgeschlagener SPF ein Grund sein, Ihre Nachricht als Spam zu markieren, während SoftFail nicht der Fall wäre. Par.
Vlastimil Ovčáčík
ad SPF Fail verhindert DMARC- Auswertung: Wenn implementiert, wird DMARC immer ausgewertet, weil a) wenn SPF und / oder DKIM DMARC die Ausrichtung überprüfen müssen, b) wenn beide fehlschlagen, DMARC die Fehlerberichtsstatistik aktualisieren muss.
Vlastimil Ovčáčík
1

Möglicherweise wird Softfail immer noch verwendet, weil viele Benutzer (zu Recht oder zu Unrecht) die Weiterleitung einrichten, möglicherweise von ihrer geschäftlichen E-Mail nach Hause. Dies würde abgelehnt, wenn Hardfail aktiviert ist

Jon Redwood
quelle
2
Wenn sie dies gegen den Rat der E-Mail-Administratoren tun, haben sie es verdient, dass ihre E-Mail fehlschlägt.
MadHatter unterstützt Monica am
1
Bei @MadHatter weitergeleiteten E-Mails wird der Absender des Umschlags beibehalten, sodass der SPF-Datensatz des Ursprungs geprüft wird (und höchstwahrscheinlich fehlschlägt) und nicht der SPF-Datensatz des Arbeitgebers. Wenn der Mailserver des Arbeitgebers den Umschlagsender aktualisiert, wird er auf einen Wert aktualisiert, der nicht fehlschlägt, da zwischen weitergeleiteter und normaler ausgehender Mail kein Unterschied besteht (was SPF betrifft).
Vlastimil Ovčáčík
1
@ VlastimilOvčáčík Sie haben Recht, oder anders ausgedrückt, wenn Sie mit SRS weitermachen, werden Sie in Ordnung sein. Wenn dies nicht der -allFall ist, ist dies nicht der Fall, und es ist keine gute Idee , die fehlerhaften (dh nicht SRS-) Weiterleitungskonfigurationen anderer Personen nicht zu unterstützen.
MadHatter unterstützt Monica