35 votos

Es el uso de SOFTFAIL más no en el registro SPF se considera la mejor práctica?

O dicho de otra manera, es el uso de v=spf1 a mx ~all recomienda más el uso de v=spf1 a mx -all? El RFC no aparece para hacer recomendaciones. Mi preferencia siempre ha sido la utilización de FALLAR, lo que causa problemas a ser evidentes de inmediato. Me parece que con SOFTFAIL, configurado de forma incorrecta los registros SPF se les permite persistir indefinidamente, ya que nadie se de cuenta.

Todos los ejemplos que he visto en línea, sin embargo, parecen utilizar SOFTFAIL. Lo que me hizo dudar de mi elección fue cuando vi el de Google Apps instrucciones para configurar SPF:

Crear un registro TXT que contiene este texto: v=spf1 include:_spf.google.com ~todos

La publicación de un registro SPF que utiliza-todos en lugar de ~todos puede resultar en problemas de entrega. Ver Google rangos de direcciones IP para los detalles acerca de la las direcciones de las Aplicaciones de Google en los servidores de correo.

Son los ejemplos que ser demasiado cauteloso al empujar el uso de SOFTFAIL? Hay buenas razones que hacen que el uso de SOFTFAIL una mejor práctica?

23voto

Shane Madden Puntos 81409

Bien, ciertamente no fue la intención de la especificación para que sea utilizado en su lugar - softfail está pensado como un mecanismo de transición, donde usted puede tener los mensajes marcados sin rechazar rotundamente.

Como usted ha encontrado que, a falta de mensajes de plano tiende a causar problemas; algunos servicios legítimos, por ejemplo, parodia de su dominio a las direcciones de correo para enviar correo en nombre de los usuarios.

Debido a esto, el menos draconianas softfail se recomienda en muchos de los casos como un método menos doloroso que aún así obtener una gran cantidad de la ayuda que ofrece SPF, sin algunos de los dolores de cabeza; del destinatario de los filtros de spam pueden tomar el softfail como un indicio fuerte de que un mensaje puede ser spam (que muchos lo hacen).

Si estás seguro de que no hay ningún mensaje que nunca debe provenir de un nodo distinto de lo que usted ha especificado, entonces por todos los medios, el uso de fallar como el FPS estándar intención.. pero como usted ha observado, softfail definitivamente ha crecido más allá de su uso previsto.

8voto

darwin Puntos 101

En mi entendimiento, Google no depende únicamente de la SPF, pero también en DKIM y en última instancia DMARC para evaluar e-mails. DMARC toma en cuenta tanto SPF y DKIM-firma. Si bien es válido, Gmail aceptar la dirección de e-mail, pero si fallan (o softfail), esta va a ser una clara indicación de que el correo electrónico puede ser fraudulento.

Este es de los Googles DMARC-páginas:

Un mensaje debe fallar tanto SPF y DKIM comprueba también fallan DMARC. Un solo un fallo en la verificación utilizando la tecnología permite que el mensaje pasar DMARC.

Por tanto, yo creo que sería recomienda el uso de SPF en softfail modo con el fin de permitir que entre en el mayor algoritmo de correo de análisis.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: