Или, другими словами, использует v=spf1 a mx ~all рекомендуется использовать v=spf1 a mx -all? RFC не дает никаких рекомендаций. Я всегда предпочитал использовать FAIL, из-за чего проблемы сразу становятся очевидными. Я обнаружил, что с помощью SOFTFAIL неправильно настроенные записи SPF могут сохраняться бесконечно, поскольку никто этого не замечает.
Однако все примеры, которые я видел в Интернете, похоже, используют SOFTFAIL. Что заставило меня усомниться в своем выборе, так это когда я увидел Инструкции по Google Apps для настройки SPF:
Создайте запись TXT, содержащую этот текст: v = spf1 include: _spf.google.com ~ all
Публикация записи SPF, в которой используется -all вместо ~ all, может привести к проблемам с доставкой. См. Диапазоны IP-адресов Google для получения подробной информации об адресах почтовых серверов Google Apps.
Не слишком ли осторожны примеры, продвигая использование SOFTFAIL? Есть ли веские причины, по которым использование SOFTFAIL является наилучшей практикой?
Ну, это определенно не было намерением спецификации использовать его вместо этого - softfail предназначен как механизм перехода, при котором вы можете помечать сообщения, не отклоняя их сразу.
Как вы обнаружили, явные неудачные сообщения имеют тенденцию вызывать проблемы; некоторые законные службы, например, будут подделывать адреса вашего домена, чтобы отправлять почту от имени ваших пользователей.
Из-за этого во многих случаях рекомендуется менее суровый softfail как менее болезненный способ получить большую помощь, которую предлагает SPF, без некоторых головных болей; Спам-фильтры получателя могут по-прежнему воспринимать программный сбой как сильный намек на то, что сообщение может быть спамом (что многие и делают).
Если вы уверены, что никакое сообщение никогда не должно поступать от узла, отличного от указанного вами, то во что бы то ни стало, используйте fail в соответствии со стандартом SPF ... но, как вы заметили, softfail определенно вышел за рамки своего предназначения. использовать.
Насколько я понимаю, Google полагается не только на SPF, но также на DKIM и, в конечном итоге, на DMARC для оценки электронной почты. DMARC учитывает как SPF, так и DKIM-подпись. Если любой из них действителен, Gmail примет электронное письмо, но если оба не пройдут (или не будут работать), это будет явным признаком того, что электронное письмо может быть поддельным.
Это от Погуглить DMARC-страницы:
Сообщение должно не пройти проверку SPF и DKIM, чтобы также не пройти проверку DMARC. Ошибка однократной проверки с использованием любой из технологий позволяет сообщению пройти DMARC.
Поэтому я думаю, что было бы рекомендовано использовать SPF в режиме softfail, чтобы позволить ему войти в более широкий алгоритм анализа почты.
-all всегда следует использовать БЕЗ ИСКЛЮЧЕНИЯ. Не использовать его - значит стать жертвой подделки вашего доменного имени. В Gmail, например, есть ~ все. Спамеры постоянно подделывают адреса gmail.com. Стандарт говорит, что мы должны принимать от них электронные письма из-за ~ all. Я лично не следую этому стандарту, потому что я понял, что большинство из вас неправильно настроили свои записи SPF. Я применяю ~ all,? All, как и все. Синтаксис SPF Ошибки SPF
Возможно, причина того, что softfail все еще используется, заключается в том, что многие пользователи (правильно или ошибочно) настраивают переадресацию, возможно, со своей рабочей электронной почты на дом, это будет отклонено, если включен жесткий отказ