Назад | Перейти на главную страницу

Квалификаторы структуры политики отправителя

RFC4408 определяет структуру политики отправителя (SPF).

SPF имеет квалификаторы («-», «~», «+», «?»), Которые определяются как (сбой, мягкий сбой, успешный, нейтральный) соответственно.

В Интернете существует путаница относительно использования - по сравнению с ~. Мне нужна помощь эксперта.

Я предполагаю, что Google использует ~ all вместо -all, потому что их _spf.google.com преобразуется в хост _netblocks, который является динамической записью (согласно веб-сайту Google, поскольку они используют слово «текущий» при описании _netblocks) и, следовательно, , из-за задержки распространения DNS использовался ~ вместо -.

Однако, когда я смотрю информацию о поддержке SendGrid, я получаю примеры использования - и ~ для одного и того же сценария (те же хосты и т. Д.). Единственная разница - и ~.

Я предполагаю, что большинство почтовых клиентов настроены правильно, так что при прохождении ~ softfail появляется помеченное сообщение, указывающее, что отправитель может быть нелегальным. Это безопасное предположение? Похоже, что крупные smtp-компании сделали это предположение.

https://support.sendgrid.com/hc/en-u...cles/202517236 <- говорит использование -

https://sendgrid.com/docs/Glossary/spf.html <- говорит использование ~

Заранее спасибо друзья.

Softfail (~ all) действительно следует рассматривать как указание на то, что владелец домена считает, что хост не авторизован, но не желает делать четкое заявление о политике. Это побуждает обработчиков электронной почты подвергать сообщение дальнейшей проверке, прежде чем принять сообщение.

Проблемы с использованием -all:

  • Неисправные архитектуры DMARC могут вызывать сбой сообщений на -all вместо завершения оценки DMARC, тем самым нарушая спецификацию DMARC и вызывая проблемы с доставкой.
  • Задержки распространения DNS с гораздо большей вероятностью повлияют на крупных операторов SMTP, когда они вносят изменения в IP-адрес, поскольку получатели почты с большей вероятностью будут получать электронную почту от этих записей DNS в последние несколько минут.
    • Google использует TTL в 5 минут, но, учитывая, что более 5 миллионов предприятий используют Google Apps, Google доставляет электронную почту для себя и своих клиентов достаточно регулярно на некоторые серверы, поэтому задержки DNS могут быть проблемой.
  • Для доменов, использующих DMARC, использование -all приведет к заметной разнице в том, как электронная почта обрабатывается третьими сторонами, не поддерживающими DMARC. Третьи стороны, совместимые с DMARC, могут по-прежнему принимать сообщение, если DKIM проходит и соответствует домену DMARC. Однако третьи стороны, не совместимые с DMARC, вообще не будут запускать проверки DMARC / DKIM и просто отклонят во время проверки SPF, если используют -all. Организации могут быть более склонны доверять сильному утверждению DMARC, которое будет использоваться против их домена, поскольку оно охватывает EHLO, DKIM и From: domain и, следовательно, более тщательно.

По указанным выше причинам организация может не захотеть доверять утверждению только SPF, которое будет использоваться против них и их почтовых потоков.

Со своей стороны Google рекомендует своим клиентам развернуть DMARC сократить количество спуфингов домена и рекомендует использование ~ all в SPF для предотвращения проблем с доставкой.