В чем преимущества и недостатки использования Ошибка против SoftFail в моей записи SPF?
Еще в 2007 году, казалось бы, знающие люди говорили, что SoftFail предназначен только для тестирования, и призвали изменить его, чтобы отклонить, как только вы все настроите правильно (Вот и Вот)
это сообщение на форуме называет SoftFail "неправильно настроенным", но затем говорит, что Google его использует. Я доверяю Google как лучшему опыту больше, чем случайному постеру на форуме! Я проверил, и действительно, Gmail использует ~all
(SoftFail) в их запись SPF.
На конец отправителя Эксперты по доставляемости электронной почты рекомендуют использовать SoftFail:
Fail «более агрессивен [чем SoftFail] и, как известно, создает больше проблем, чем решает (мы не рекомендуем его)».
Это довольно расплывчато.
"Я обычно рекомендую публиковать
~all
записи для моих клиентов. Публикация не дает большого преимущества - все равно иногда почта пересылается. Единственный раз, когда я рекомендую запись -all, - это когда домен подделывают для рассылки спама. Подделка домена может вызвать множество отказов. Количество отказов может быть достаточно большим, чтобы отключить почтовый сервер, особенно с небольшой базой пользователей. Многие интернет-провайдеры проверяют SPF перед отправкой возврата, поэтому запись -all может уменьшить количество откатов, с которыми приходится иметь дело владельцу домена ».- Электронная почта консультантов по доставке Слово к мудрым
Но как веб-мастер узнает, что происходит значительное количество подделок доменов? Разве не лучше подготовиться к худшему и заранее предвидеть подделку?
На принимающий конецТерри Зинк, который работает в корпоративной фильтрации спама, предлагает веские доводы for hard Не удается предотвратить прохождение фишинговых писем, и говорит, что большинство людей используют SoftFail, потому что организации больше боятся потери писем, чем поддельных писем. Какова вероятность того, что поддельное фишинговое письмо с SPF SoftFails действительно попадет в чей-то почтовый ящик?
Сондра, вы уже нашли связанный вопрос, но, на мой взгляд, самый высокий результат не соответствует вашим вопросам.
Позвольте мне начать с вашего последнего вопроса: какова вероятность того, что поддельное фишинговое письмо, которое SPF SoftFails действительно попадет в чей-то почтовый ящик? Огромный! В сочетании с политикой карантина / отклонения DMARC и получающим почтовым ящиком в Office 365, Outlook.com, Gmail, Yahoo или другом крупном хостере - это маловероятно.
Ваш первый вопрос: каковы преимущества записи Fail перед SPF с мягкой ошибкой. Как упоминалось в вашем собственном исследовании, недостатком будет то, что переадресованные электронные письма будут отклоняться, если адрес возврата (обратный путь) не будет перезаписан пересылкой. Преимущество состоит в том, что домен лучше защищен от подделки, но только для самых простых попыток.
Как упоминалось выше, предостережение с SPF заключается в том, что он проверяется по SMTP. отправитель конверта, сохраняется в поле заголовка сообщения Return-Path
. Фактический получатель не будет знать об этом поле, потому что большинство почтовых клиентов будут предоставлять им только другое поле, заголовок. From
. Например: я отправляю письмо с заголовком From: Satya@microsoft.com
, но я использую SpoofedYou@example.com
как отправитель конверта. Даже если microsoft.com
издает Потерпеть поражение Политика SPF, она не приведет к отказу SPF, потому что example.com
не публикует запись SPF. Получатель просто увидит письмо от Satya@microsoft.com
.
Здесь на помощь приходит DMARC. DMARC требует согласования аутентификации с доменом, используемым в From
заголовок для SPF или DKIM. Значение домена, используемого в отправителе конверта (Return-Path
) и заголовок From:
должен разделять домен организации. DMARC заботится только о результатах PASS для базовых механизмов аутентификации (SPF или DKIM), поэтому для SPF в этом отношении ~all
и -all
обращаются точно так же.
Терри Зинк опубликовал несколько статей о DMARC, одна из которых: Улучшенная защита электронной почты с помощью DKIM и DMARC в Office 365
Можно многое узнать о SPF, DKIM и DMARC, что выходит за рамки этого ответа. DMARC непросто внедрить и безупречно, но он защищает ваш домен от спуфинга намного лучше, чем только SPF. Кроме того, все зависит от принимающей стороны и от того, как они работают с SPF и DMARC (если вообще).