Назад | Перейти на главную страницу

SPF fail vs. soft-fail плюсы и минусы

Вопрос

В чем преимущества и недостатки использования Ошибка против SoftFail в моей записи SPF?

Что я нашел по теме

Еще в 2007 году, казалось бы, знающие люди говорили, что SoftFail предназначен только для тестирования, и призвали изменить его, чтобы отклонить, как только вы все настроите правильно (Вот и Вот)

это сообщение на форуме называет SoftFail "неправильно настроенным", но затем говорит, что Google его использует. Я доверяю Google как лучшему опыту больше, чем случайному постеру на форуме! Я проверил, и действительно, Gmail использует ~all (SoftFail) в их запись SPF.

На конец отправителя Эксперты по доставляемости электронной почты рекомендуют использовать SoftFail:

Fail «более агрессивен [чем SoftFail] и, как известно, создает больше проблем, чем решает (мы не рекомендуем его)».

-Postmark SPF Guide

Это довольно расплывчато.

"Я обычно рекомендую публиковать ~all записи для моих клиентов. Публикация не дает большого преимущества - все равно иногда почта пересылается. Единственный раз, когда я рекомендую запись -all, - это когда домен подделывают для рассылки спама. Подделка домена может вызвать множество отказов. Количество отказов может быть достаточно большим, чтобы отключить почтовый сервер, особенно с небольшой базой пользователей. Многие интернет-провайдеры проверяют SPF перед отправкой возврата, поэтому запись -all может уменьшить количество откатов, с которыми приходится иметь дело владельцу домена ».

- Электронная почта консультантов по доставке Слово к мудрым

Но как веб-мастер узнает, что происходит значительное количество подделок доменов? Разве не лучше подготовиться к худшему и заранее предвидеть подделку?

На принимающий конецТерри Зинк, который работает в корпоративной фильтрации спама, предлагает веские доводы for hard Не удается предотвратить прохождение фишинговых писем, и говорит, что большинство людей используют SoftFail, потому что организации больше боятся потери писем, чем поддельных писем. Какова вероятность того, что поддельное фишинговое письмо с SPF SoftFails действительно попадет в чей-то почтовый ящик?

Сондра, вы уже нашли связанный вопрос, но, на мой взгляд, самый высокий результат не соответствует вашим вопросам.

Позвольте мне начать с вашего последнего вопроса: какова вероятность того, что поддельное фишинговое письмо, которое SPF SoftFails действительно попадет в чей-то почтовый ящик? Огромный! В сочетании с политикой карантина / отклонения DMARC и получающим почтовым ящиком в Office 365, Outlook.com, Gmail, Yahoo или другом крупном хостере - это маловероятно.

Ваш первый вопрос: каковы преимущества записи Fail перед SPF с мягкой ошибкой. Как упоминалось в вашем собственном исследовании, недостатком будет то, что переадресованные электронные письма будут отклоняться, если адрес возврата (обратный путь) не будет перезаписан пересылкой. Преимущество состоит в том, что домен лучше защищен от подделки, но только для самых простых попыток.

Как упоминалось выше, предостережение с SPF заключается в том, что он проверяется по SMTP. отправитель конверта, сохраняется в поле заголовка сообщения Return-Path. Фактический получатель не будет знать об этом поле, потому что большинство почтовых клиентов будут предоставлять им только другое поле, заголовок. From. Например: я отправляю письмо с заголовком From: Satya@microsoft.com, но я использую SpoofedYou@example.com как отправитель конверта. Даже если microsoft.com издает Потерпеть поражение Политика SPF, она не приведет к отказу SPF, потому что example.com не публикует запись SPF. Получатель просто увидит письмо от Satya@microsoft.com.

Здесь на помощь приходит DMARC. DMARC требует согласования аутентификации с доменом, используемым в From заголовок для SPF или DKIM. Значение домена, используемого в отправителе конверта (Return-Path) и заголовок From: должен разделять домен организации. DMARC заботится только о результатах PASS для базовых механизмов аутентификации (SPF или DKIM), поэтому для SPF в этом отношении ~all и -all обращаются точно так же.

Терри Зинк опубликовал несколько статей о DMARC, одна из которых: Улучшенная защита электронной почты с помощью DKIM и DMARC в Office 365

Можно многое узнать о SPF, DKIM и DMARC, что выходит за рамки этого ответа. DMARC непросто внедрить и безупречно, но он защищает ваш домен от спуфинга намного лучше, чем только SPF. Кроме того, все зависит от принимающей стороны и от того, как они работают с SPF и DMARC (если вообще).