Ou, autrement dit, l'utilisation est-elle v=spf1 a mx ~all
recommandée plutôt que l'utilisation v=spf1 a mx -all
? Le RFC ne semble pas faire de recommandations. Ma préférence a toujours été d'utiliser FAIL, ce qui fait apparaître immédiatement les problèmes. Je trouve qu'avec SOFTFAIL, les enregistrements SPF mal configurés peuvent persister indéfiniment, car personne ne le remarque.
Cependant, tous les exemples que j'ai vus en ligne semblent utiliser SOFTFAIL. Ce qui m'a fait remettre en question mon choix, c'est quand j'ai vu les instructions de Google Apps pour configurer SPF:
Créez un enregistrement TXT contenant ce texte: v = spf1 include: _spf.google.com ~ all
La publication d'un enregistrement SPF qui utilise -all au lieu de ~ all peut entraîner des problèmes de livraison. Voir Plages d'adresses IP Google pour plus de détails sur les adresses des serveurs de messagerie Google Apps.
Les exemples sont-ils trop prudents en poussant l'utilisation de SOFTFAIL? Y a-t-il de bonnes raisons qui font de l'utilisation de SOFTFAIL une meilleure pratique?
Réponses:
Eh bien, ce n'était certainement pas l'intention de la spécification qu'elle soit utilisée à la place - softfail est conçu comme un mécanisme de transition, où vous pouvez marquer les messages sans les rejeter carrément.
Comme vous l'avez constaté, l'échec des messages a tendance à causer des problèmes; certains services légitimes, par exemple, usurperont les adresses de votre domaine afin d'envoyer du courrier au nom de vos utilisateurs.
Pour cette raison, le softfail moins draconien est recommandé dans de nombreux cas comme un moyen moins douloureux d'obtenir toujours beaucoup d'aide que SPF offre, sans certains des maux de tête; Les filtres anti-spam du destinataire peuvent toujours prendre le softfail comme un indice fort qu'un message peut être du spam (ce que beaucoup font).
Si vous êtes sûr qu'aucun message ne devrait jamais provenir d'un nœud autre que celui que vous avez spécifié, alors, utilisez certainement fail comme la norme SPF prévue .. mais comme vous l'avez observé, softfail a définitivement dépassé son objectif utilisation.
la source
-tout doit toujours être utilisé AUCUNE EXCEPTION. Ne pas l'utiliser, c'est s'ouvrir à quelqu'un qui usurpe votre nom de domaine. Gmail, par exemple, a un ~ all. Les spammeurs usurpent l'adresse gmail.com tout le temps. La norme dit que nous devons accepter les e-mails de leur part à cause de ~ tous. Personnellement, je ne respecte pas la norme à ce sujet, car j'ai réalisé que la plupart d'entre vous ont mal configuré vos enregistrements SPF. J'applique ~ tout,? Tout, comme je le ferais -tous. Syntaxe SPF Erreurs SPF
la source
À ma connaissance, Google s'appuie non seulement sur SPF, mais aussi sur DKIM et finalement DMARC pour évaluer les e-mails. DMARC prend en compte la signature SPF et DKIM. Si l'un ou l'autre est valide, Gmail acceptera l'e-mail, mais si les deux échouent (ou échouent), cela indiquera clairement que l'e-mail peut être frauduleux.
Ceci provient des pages Goarc DMARC :
Je pense donc qu'il serait recommandé d'utiliser SPF en mode softfail afin de lui permettre d'entrer dans le plus grand algorithme d'analyse de courrier.
la source
Peut-être que la raison pour laquelle softfail est toujours utilisé est que de nombreux utilisateurs (à tort ou à raison) configurent le transfert, peut-être de leur courrier électronique professionnel à leur domicile, cela serait rejeté si hardfail est activé
la source
-all
simplement d'aider les configurations de transfert cassées (c'est-à-dire non SRS) d'autres personnes n'est pas une bonne idée.