Oder anders ausgedrückt: Wird die Verwendung v=spf1 a mx ~all
empfohlen , anstatt sie zu verwenden v=spf1 a mx -all
? Der RFC scheint keine Empfehlungen abzugeben. Ich habe es immer vorgezogen, FAIL zu verwenden, wodurch sich Probleme sofort bemerkbar machen. Ich finde, dass mit SOFTFAIL falsch konfigurierte SPF-Datensätze auf unbestimmte Zeit beibehalten werden dürfen, da dies niemand bemerkt.
Alle Beispiele, die ich online gesehen habe, scheinen jedoch SOFTFAIL zu verwenden. Als ich die Anweisungen für Google Apps zum Konfigurieren von SPF sah, stellte ich meine Wahl in Frage :
Erstellen Sie einen TXT-Datensatz mit folgendem Text: v = spf1 include: _spf.google.com ~ all
Das Veröffentlichen eines SPF-Datensatzes, der -all anstelle von ~ all verwendet, kann zu Übermittlungsproblemen führen. Weitere Informationen zu den Adressen der Google Apps-Mailserver finden Sie unter IP-Adressbereiche von Google.
Sind die Beispiele zu vorsichtig, wenn sie den Einsatz von SOFTFAIL forcieren? Gibt es gute Gründe, die den Einsatz von SOFTFAIL zu einem Best Practice machen?
Antworten:
Nun, es war sicherlich nicht die Absicht der Spezifikation, es stattdessen zu verwenden - softfail ist als Übergangsmechanismus gedacht, bei dem Sie die Nachrichten markieren können, ohne sie sofort abzulehnen.
Wie Sie festgestellt haben, können fehlerhafte Nachrichten zu Problemen führen. Einige legitime Dienste fälschen beispielsweise die Adressen Ihrer Domain, um E-Mails für Ihre Benutzer zu versenden.
Aus diesem Grund wird der weniger drakonische Softfail in vielen Fällen als schmerzfreier Weg empfohlen, um immer noch viel Hilfe zu erhalten, die SPF bietet, ohne dass Kopfschmerzen auftreten. Die Spam-Filter des Empfängers können den Softfail weiterhin als starken Hinweis darauf interpretieren, dass es sich bei einer Nachricht möglicherweise um Spam handelt (was viele tun).
Wenn Sie sicher sind, dass keine Nachricht jemals von einem anderen als dem von Ihnen angegebenen Knoten kommen sollte, verwenden Sie auf jeden Fall fail, wie es der SPF-Standard vorsieht verwenden.
quelle
-all sollte immer ohne Ausnahme verwendet werden. Um es nicht zu benutzen, öffnen Sie sich für jemanden, der Ihren Domainnamen fälscht. Google Mail zum Beispiel hat ein ~ all. Spammer fälschen gmail.com-Adressen die ganze Zeit. Der Standard besagt, dass wir aus ~ allen Gründen E-Mails von ihnen akzeptieren müssen. Ich persönlich halte mich dabei nicht an den Standard, da ich festgestellt habe, dass die meisten von Ihnen Ihre SPF-Datensätze falsch eingerichtet haben. Ich erzwinge ~ all,? All, genauso wie ich -all würde. SPF-Syntax SPF-Fehler
quelle
Nach meinem Verständnis verlässt sich Google nicht nur auf SPF, sondern auch auf DKIM und letztendlich auf DMARC, um E-Mails auszuwerten. DMARC berücksichtigt sowohl SPF- als auch DKIM-Signaturen. Wenn eine der beiden Bedingungen erfüllt ist, akzeptiert Google Mail die E-Mail. Wenn jedoch beide fehlschlagen (oder die E-Mail nicht funktioniert), ist dies ein eindeutiger Hinweis darauf, dass die E-Mail möglicherweise betrügerisch ist.
Dies ist von Googles DMARC-Seiten :
Ich denke daher, dass es empfehlenswert ist, SPF im Softfail-Modus zu verwenden, um in den umfassenderen Algorithmus der Mail-Analyse einzusteigen.
quelle
Möglicherweise wird Softfail immer noch verwendet, weil viele Benutzer (zu Recht oder zu Unrecht) die Weiterleitung einrichten, möglicherweise von ihrer geschäftlichen E-Mail nach Hause. Dies würde abgelehnt, wenn Hardfail aktiviert ist
quelle
-all
Fall ist, ist dies nicht der Fall, und es ist keine gute Idee , die fehlerhaften (dh nicht SRS-) Weiterleitungskonfigurationen anderer Personen nicht zu unterstützen.