Frage Wird SOFTFAIL over FAIL im SPF-Datensatz als Best Practice verwendet?


Oder anders ausgedrückt, benutzt v=spf1 a mx ~all empfohlen über die Verwendung v=spf1 a mx -all? Der RFC scheint keine Empfehlungen zu geben. Meine Präferenz war immer, FAIL zu verwenden, was dazu führt, dass Probleme sofort offensichtlich werden. Ich finde, dass mit SOFTFAIL falsch konfigurierte SPF-Datensätze unbegrenzt persistieren können, da niemand bemerkt.

Alle Beispiele, die ich online gesehen habe, scheinen jedoch SOFTFAIL zu verwenden. Was mich dazu brachte, meine Wahl in Frage zu stellen, war, als ich das sah Google Apps-Anweisungen zum Konfigurieren von SPF:

Erstellen Sie einen TXT-Datensatz mit diesem Text: v = spf1   Einschließen: _spf.google.com ~ all

Veröffentlichen eines SPF-Datensatzes, der "all" anstelle von "~ all" verwendet, kann dazu führen   Lieferprobleme. Einzelheiten zu den IP - Adressbereichen von Google finden Sie unter   Adressen für die Google Apps-Mail-Server.

Sind die Beispiele übermäßig vorsichtig, wenn man SOFTFAIL einsetzt? Gibt es gute Gründe, die SOFTFAIL zur Best Practice zu machen?


27
2018-01-31 18:07


Ursprung


Sie können dies finden en.wikipedia.org/wiki/... sinnvoll. - Pacerier


Antworten:


Nun, es war sicherlich nicht die Absicht der Spezifikation, stattdessen verwendet zu werden - Softfail ist als ein Übergangsmechanismus gedacht, wo Sie die Nachrichten markieren können, ohne sie direkt zu verwerfen.

Wie Sie festgestellt haben, führt das Versagen von Nachrichten zu Problemen. Einige legitime Dienste spoofen beispielsweise die Adressen Ihrer Domain, um E-Mails im Namen Ihrer Benutzer zu senden.

Aus diesem Grund wird das weniger drakonische Softfail in vielen Fällen als eine weniger schmerzhafte Möglichkeit empfohlen, immer noch viel Hilfe zu bekommen, die SPF bietet, ohne einige der Kopfschmerzen; Die Spam-Filter des Empfängers können den Softfail trotzdem als starken Hinweis nehmen, dass eine Nachricht Spam sein kann (was viele tun).

Wenn Sie sicher sind, dass keine Nachricht jemals von einem anderen Knoten als dem von Ihnen angegebenen kommen sollte, verwenden Sie unbedingt fail, wie der SPF-Standard es vorschreibt. Aber wie Sie gesehen haben, ist Softfail definitiv über seine Absicht hinaus gewachsen benutzen.


21
2018-01-31 18:15



Also, es sei denn, dass bestimmte Umstände die Verwendung von SOFTFAIL erfordern, ist es sicher, bei FAIL zu bleiben. Genial. Vielen Dank. - Michael Kropat
@Shane, In Bezug auf "einige legitime Dienste werden die Adressen Ihrer Domain manipulieren" (Absatz 2), auf welche Beispiele haben Sie sich bezogen? - Pacerier
Spoofing der Kopfzeile von: ist in Ordnung. Kein legitimer Dienst spoofiert den Envelope-From, welcher der einzige Absender ist, über den SPF etwas zu sagen hat - kein anderer Server im Internet hat ein Geschäft, das E-Mails sendet, während er die Bounces an mich leitet, das ist die formale Funktion des Envelope-From . - MadHatter


-all sollte immer benutzt werden, KEINE AUSNAHME. Um es nicht zu nutzen, öffnet es sich für jemanden, der Ihren Domainnamen verfälscht. Gmail zum Beispiel hat eine ~ alle. Spammer spoof gmail.com Adressen die ganze Zeit. Der Standard besagt, dass wir E-Mails von ihnen wegen ~ all akzeptieren müssen. Ich persönlich folge dem Standard nicht, weil ich realisiert habe, dass die meisten von Ihnen Ihre SPF-Datensätze falsch eingerichtet haben. Ich erzwinge ~ alle, alle, so wie ich es auch tun würde. SPF-Syntax SPF-Fehler 


5
2018-01-30 19:32



Ich unterstütze diese Meinung. Der einzige Grund für Softfail sind für mich Testzwecke. Wenn Sie Ihren SPF-Datensatz auf dem neuesten Stand halten, gibt es keinen Grund, einen Softfail zu verwenden. Wenn Sie das nicht tun, gibt es überhaupt keinen Grund für SPF. Ich denke nicht, dass irgendein legitimer Dienst seine E-Mails fälschen sollte, weil sie von Ihrer Domain kommen. - Tim


Meiner Ansicht nach verlässt sich Google nicht nur auf SPF, sondern auch auf DKIM und letztendlich auf DMARC, um E-Mails zu bewerten. DMARC berücksichtigt sowohl SPF als auch DKIM-Signierung. Wenn beides zutrifft, akzeptiert Gmail die E-Mail, aber wenn beides fehlschlägt (oder Softfail), ist dies ein deutlicher Hinweis darauf, dass die E-Mail möglicherweise betrügerisch ist.

Das ist von Googelt DMARC-Seiten:

Eine Nachricht muss sowohl bei SPF- als auch bei DKIM-Prüfungen fehlschlagen, um auch DMARC zu beenden. EIN   Single-Check-Fehler mit beiden Technologien ermöglicht die Nachricht an   DMARC übergeben.

Ich denke daher, dass es empfehlenswert wäre, SPF im Softfail-Modus zu verwenden, um es in den größeren Algorithmus der Mail-Analyse einzubeziehen.


3
2018-03-18 10:08



Sehr interessant, obwohl ich nicht sehe, wie die Schlussfolgerung aus den Prämissen folgt. Wenn DMARC mit SPF FAIL oder SPF SOFTFAIL bestehen kann, was ist dann wichtig? - Michael Kropat
Ich denke, wenn Sie den SPF-Datensatz auf FAIL setzen, wird es nicht einmal zur DMARC-Auswertung kommen ... aber ich könnte mich irren. Die Spezifikationen sind dazu nicht klar ... - darwin
ad SPF fehlgeschlagen vs SoftFail:  ein) Es ist wichtig für diejenigen ohne DMARC implementiert b) Selbst wenn DMARC fehlschlägt SPF allein kann Grund sein, Ihre Nachricht als Spam zu markieren, während SoftFail nicht der Fall sein würde. Par. - Vlastimil Ovčáčík
ad SPF Fail verhindert DMARC eval: Wenn implementiert, wird das DMARC immer ausgewertet, weil ein) Wenn SPF und / oder DKIM übergeben, muss DMARC überprüfen Ausrichtung  b) Wenn beides fehlschlägt, muss DMARC die Fehlerberichtstatistik aktualisieren. - Vlastimil Ovčáčík


Vielleicht ist der Grund dafür, dass Softfail immer noch verwendet wird, dass viele Benutzer (zu Recht oder zu Unrecht) die Weiterleitung einrichten, vielleicht von ihrer Arbeits-E-Mail nach Hause, dies würde abgelehnt werden, wenn Hardfail aktiviert ist


1
2018-06-06 14:34



Wenn sie dies gegen den Rat der Mail-Administratoren tun, verdienen sie es, dass ihre E-Mail fehlschlägt. - MadHatter
@MadHatter weitergeleitete E-Mails haben ihren Envelope-Sender beibehalten, so dass es der SPF-Datensatz des Ursprungs wäre, der überprüft werden würde (und höchstwahrscheinlich scheitern würde), nicht der SPF-Datensatz des Arbeitgebers. Wenn der Mailserver des Arbeitgebers den Absender des Briefumschlags aktualisiert, wird er auf einen Wert aktualisiert, der nicht fehlschlägt, da es keinen Unterschied zwischen weitergeleiteter und normaler ausgehenden E-Mail gibt (was SPF betrifft). - Vlastimil Ovčáčík
@ VlastimilOvčáčík Sie haben Recht, oder um es anders auszudrücken, wenn Sie mit SRS vorwärts gehen, geht es Ihnen gut. Wenn Sie das nicht tun, werden Sie nicht und meiden -all einfach, um den gebrochenen (dh nicht SRS) Weiterleitungseinrichtungen anderer Leute zu helfen, ist keine gute Idee. - MadHatter