¿Usar SOFTFAIL sobre FAIL en el registro SPF se considera la mejor práctica?

31

O dicho de otra manera, ¿se v=spf1 a mx ~allrecomienda usar sobre usar v=spf1 a mx -all? El RFC no parece hacer ninguna recomendación. Mi preferencia siempre ha sido usar FAIL, lo que hace que los problemas se vuelvan aparentes de inmediato. Creo que con SOFTFAIL, los registros SPF configurados incorrectamente pueden persistir indefinidamente, ya que nadie se da cuenta.

Sin embargo, todos los ejemplos que he visto en línea parecen utilizar SOFTFAIL. Lo que me hizo cuestionar mi elección fue cuando vi las instrucciones de Google Apps para configurar SPF:

Cree un registro TXT que contenga este texto: v = spf1 incluye: _spf.google.com ~ all

Publicar un registro SPF que use -todos en lugar de ~ todos puede ocasionar problemas de entrega. Consulte los rangos de direcciones IP de Google para obtener detalles sobre las direcciones de los servidores de correo de Google Apps.

¿Los ejemplos son demasiado cautelosos al impulsar el uso de SOFTFAIL? ¿Existen buenas razones que hacen que el uso de SOFTFAIL sea una mejor práctica?

Michael Kropat
fuente
Puede encontrar esto en.wikipedia.org/wiki/… útil.
Pacerier

Respuestas:

21

Bueno, ciertamente no era la intención de la especificación que se usara en su lugar: softfail está pensado como un mecanismo de transición, donde puede tener los mensajes marcados sin rechazarlos directamente.

Como ha encontrado, los mensajes fallidos tienden a causar problemas; algunos servicios legítimos, por ejemplo, falsificarán las direcciones de su dominio para enviar correos en nombre de sus usuarios.

Debido a esto, el softfail menos draconiano se recomienda en muchos casos como una forma menos dolorosa de obtener mucha de la ayuda que ofrece SPF, sin algunos de los dolores de cabeza; Los filtros de correo no deseado del destinatario aún pueden tomar el error de software como una fuerte pista de que un mensaje puede ser correo no deseado (que muchos lo hacen).

Si está seguro de que ningún mensaje debe provenir de un nodo que no sea el que ha especificado, entonces, por supuesto, use el error como lo pretendía el estándar SPF ... pero, como ha observado, el softfail definitivamente ha crecido más allá de lo previsto utilizar.

Shane Madden
fuente
2
Entonces, a menos que tenga circunstancias específicas que requieran el uso de SOFTFAIL, es seguro seguir con FAIL. Increíble. Gracias.
Michael Kropat
1
@Shane, con respecto a "algunos servicios legítimos falsificarán las direcciones de su dominio" (párrafo 2), ¿a qué ejemplos se refería?
Pacerier
1
Spoofing the Header From: está bien. Ningún servicio legítimo falsificará el sobre-From, que es el único remitente sobre el que SPF tiene algo que decir: ningún otro servidor en Internet tiene ningún negocio enviándome correos electrónicos mientras me dirige los rebotes, esa es la función formal del sobre-From .
MadHatter apoya a Monica el
7

-todos deben usarse siempre SIN EXCEPCIÓN. No usarlo es abrirse a alguien que está falsificando su nombre de dominio. Gmail, por ejemplo, tiene un ~ todo. Los spammers falsifican direcciones de gmail.com todo el tiempo. El estándar dice que debemos aceptar correos electrónicos de ellos debido a ~ todos. Personalmente, no sigo el estándar en esto, porque me di cuenta de que la mayoría de ustedes ha configurado incorrectamente sus registros SPF. Hago cumplir ~ todos,? Todos, tal como lo haría con todos. Sintaxis SPF Errores SPF

sol de medianoche
fuente
55
Respaldo esta opinión. Para mí, la única razón para Softfail son los propósitos de prueba. Si mantiene actualizado su registro SPF, no hay razón para usar un softfail. Si no lo hace, no hay ninguna razón para SPF en absoluto. No creo que ningún servicio legítimo deba falsificar su correo electrónico como proveniente de su dominio.
Tim
Yo desafiaría esto: porque depende. Si todos los que usan este dominio conocen las implicaciones, esto está absolutamente bien. Pero no olvide: los mensajes de los formularios de contacto del sitio web pueden perderse sin que nadie lo note. A menudo, estos mensajes están configurados para reenviar su mensaje por correo en su nombre. PERO si está configurando correo para otra persona, no lo haga. No saben si los formularios de contactos no se están procesando y les impide configurar la dirección de correo como un alias conveniente en otro proveedor, por ejemplo, gmail.
Miércoles
5

En mi opinión, Google se basa no solo en SPF, sino también en DKIM y, en última instancia, DMARC para evaluar los correos electrónicos. DMARC tiene en cuenta tanto la firma SPF como la firma DKIM. Si cualquiera de los dos es válido, Gmail aceptará el correo electrónico, pero si ambos fallan (o fallan), esto será una clara indicación de que el correo electrónico puede ser fraudulento.

Esto es de las páginas DMARC de Google :

Un mensaje debe fallar tanto en las comprobaciones SPF como en DKIM para que también falle el DMARC. Una sola falla de verificación usando cualquiera de las tecnologías permite que el mensaje pase DMARC.

Por lo tanto, creo que se recomendaría usar SPF en modo softfail para permitirle ingresar al algoritmo mayor de análisis de correo.

Darwin
fuente
1
Muy interesante, aunque no veo cómo se deduce la conclusión de las premisas. Si DMARC puede pasar con SPF FAIL o SPF SOFTFAIL, entonces, ¿qué importa cuál elija?
Michael Kropat
44
Creo que si establece el registro SPF en FAIL, ni siquiera llegará a la evaluación DMARC ... pero podría estar equivocado. Las especificaciones no están claras en esto ...
darwin
ad SPF Fail vs SoftFail: a) es importante para aquellos sin DMARC implementado b) incluso cuando DMARC pasa la falla de SPF solo, puede ser motivo para marcar su mensaje como spam, mientras que SoftFail no sería el caso. par.
Vlastimil Ovčáčík
ad SPF Fail evita la evaluación de DMARC : si se implementa, DMARC siempre se evalúa porque a) si SPF y / o DKIM pasan, DMARC necesita verificar la alineación b) si ambos fallan, DMARC necesita actualizar las estadísticas del informe de fallas.
Vlastimil Ovčáčík
1

Tal vez la razón por la que todavía se usa softfail es que muchos usuarios (correcta o incorrectamente) configuran el reenvío, tal vez desde su correo electrónico de trabajo a casa, esto sería rechazado si hardfail está habilitado

Jon Redwood
fuente
2
Si lo hacen contra el consejo de los administradores de correo, merecen que su correo electrónico falle.
MadHatter apoya a Monica el
1
Los correos electrónicos reenviados de @MadHatter conservan su remitente del sobre, por lo que sería el registro SPF del origen el que se verificaría (y muy probablemente fallará), no el registro SPF del empleador. Si el servidor de correo del empleador actualiza el remitente del sobre, entonces se actualizaría a un valor que no fallaría, ya que no habría diferencia entre el correo saliente reenviado y normal (en lo que respecta a SPF).
Vlastimil Ovčáčík
1
@ VlastimilOvčáčík tienes razón, o dicho de otra manera, si reenvías con SRS estarás bien. Si no lo hace, no lo hará, y evitar -allsimplemente ayudar a las configuraciones de reenvío interrumpidas (es decir, sin SRS) de otras personas no es una buena idea.
MadHatter apoya a Monica el