L'utilisation de SOFTFAIL sur FAIL dans l'enregistrement SPF est-elle considérée comme la meilleure pratique?
Ou en d'autres termes, utilise v=spf1 a mx ~all recommandé plutôt que d'utiliser v=spf1 a mx -all? Le RFC ne semble faire aucune recommandation. Ma préférence a toujours été d'utiliser FAIL, ce qui fait apparaître immédiatement les problèmes. Je trouve qu'avec SOFTFAIL, les enregistrements SPF mal configurés peuvent persister indéfiniment, car personne ne le remarque.
Cependant, tous les exemples que j'ai vus en ligne semblent utiliser SOFTFAIL. Ce qui m'a fait remettre en question mon choix, c'est quand j'ai vu le instructions Google Apps pour configurer SPF:
Créez un enregistrement TXT contenant ce texte: v = spf1 include: _spf.google.com ~ all
La publication d'un enregistrement SPF qui utilise -all au lieu de ~ all peut entraîner des problèmes de livraison. Voir Plages d'adresses IP Google pour plus de détails sur les adresses des serveurs de messagerie Google Apps.
Les exemples sont-ils trop prudents en poussant l'utilisation de SOFTFAIL? Y a-t-il de bonnes raisons qui font de l'utilisation de SOFTFAIL une meilleure pratique?
Eh bien, ce n'était certainement pas l'intention de la spécification qu'elle soit utilisée à la place - softfail est conçu comme un mécanisme de transition, où vous pouvez marquer les messages sans les rejeter carrément.
Comme vous l'avez constaté, l'échec des messages a tendance à causer des problèmes; certains services légitimes, par exemple, usurperont les adresses de votre domaine afin d'envoyer du courrier au nom de vos utilisateurs.
Pour cette raison, le softfail moins draconien est recommandé dans de nombreux cas comme un moyen moins douloureux d'obtenir toujours beaucoup d'aide que SPF offre, sans certains des maux de tête; Les filtres anti-spam du destinataire peuvent toujours prendre le softfail comme un indice fort qu'un message peut être du spam (ce que beaucoup font).
Si vous êtes sûr qu'aucun message ne doit jamais provenir d'un nœud autre que celui que vous avez spécifié, utilisez certainement échec comme la norme SPF le prévoyait. utilisation.
À ma connaissance, Google s'appuie non seulement sur SPF, mais aussi sur DKIM et finalement DMARC pour évaluer les e-mails. DMARC prend en compte la signature SPF et DKIM. Si l'un ou l'autre est valide, Gmail acceptera l'e-mail mais si les deux échouent (ou échouent), cela indiquera clairement que l'e-mail peut être frauduleux.
Cela vient de Googles DMARC-pages :
Un message doit échouer les vérifications SPF et DKIM pour échouer également DMARC. Un seul échec de vérification à l'aide de l'une ou l'autre technologie permet au message de passer DMARC.
Je pense donc qu'il serait recommandé d'utiliser SPF en mode softfail afin de lui permettre d'entrer dans le plus grand algorithme d'analyse de courrier.
-tout doit toujours être utilisé AUCUNE EXCEPTION. Ne pas l'utiliser, c'est s'ouvrir à quelqu'un qui usurpe votre nom de domaine. Gmail, par exemple, a un ~ all. Les spammeurs usurpent l'adresse gmail.com tout le temps. La norme dit que nous devons accepter les e-mails de leur part à cause de ~ tous. Personnellement, je ne respecte pas la norme à ce sujet, car j'ai réalisé que la plupart d'entre vous ont mal configuré vos enregistrements SPF. J'applique ~ tout,? Tout, comme je le ferais -tous. Syntaxe SPFErreurs SPF
Peut-être que la raison pour laquelle softfail est toujours utilisé est que de nombreux utilisateurs (à tort ou à raison) configurent le transfert, peut-être de leur courrier électronique professionnel à leur domicile, cela serait rejeté si hardfail est activé