SPF 레코드에서 FAIL을 통한 SOFTFAIL 사용이 모범 사례로 간주됩니까?


31

아니면 다른 방법으로 사용하는 v=spf1 a mx ~all것이 좋습니다 v=spf1 a mx -all. RFC 는 권장 사항을 제시하지 않습니다. 필자는 항상 FAIL을 사용하는 것이 좋았 기 때문에 문제가 즉시 명백해졌습니다. SOFTFAIL을 사용하면 아무도 알지 못하므로 잘못 구성된 SPF 레코드가 무기한으로 유지 될 수 있습니다.

그러나 온라인에서 본 모든 예제는 SOFTFAIL을 사용하는 것으로 보입니다. SPF 구성에 대한 Google Apps 지침 을 보았을 때 제가 선택해야 할 질문은 다음과 같습니다.

이 텍스트가 포함 된 TXT 레코드를 만듭니다. v = spf1 include : _spf.google.com ~ all

~ all 대신 -all을 사용하는 SPF 레코드를 게시하면 배달 문제가 발생할 수 있습니다. Google Apps 메일 서버의 주소에 대한 자세한 내용은 Google IP 주소 범위를 참조하십시오.

SOFTFAIL의 사용을 밀어서 예제가 지나치게 신중합니까? SOFTFAIL을 사용하는 것이 가장 좋은 이유는 무엇입니까?


en.wikipedia.org/wiki/…가 유용 할 것입니다.
Pacerier

답변:


21

글쎄, 그것은 사양을 대신하여 사용하려는 사양의 의도가 아니 었습니다. softfail은 메시지를 완전히 거부하지 않고 표시 할 수있는 전환 메커니즘으로 고안되었습니다.

알다시피, 실패한 메시지는 문제를 일으키는 경향이 있습니다. 예를 들어 일부 합법적 인 서비스는 사용자 대신 메일을 보내기 위해 도메인 주소를 스푸핑합니다.

이 때문에 드라코 니안 소프트 페일은 통증이 덜한 방법으로 SPF가 제공하는 많은 도움을받을 수있는 두통이 거의없는 것이 좋습니다. 받는 사람의 스팸 필터는 여전히 메시지가 스팸 일 수 있다는 강력한 힌트로 소프트 페일을 취할 수 있습니다 (많은 사람이 할 수 있음).

지정한 노드 이외의 다른 노드에서 메시지를 보내지 않아야한다고 확신하는 경우 반드시 SPF 표준이 의도 한대로 실패를 사용하십시오. 그러나 관찰 한대로 softfail은 원래 의도 한 것 이상으로 성장했습니다. 용도.


2
따라서 SOFTFAIL을 사용해야하는 특정 상황이 없으면 FAIL을 준수하는 것이 안전합니다. 대단해 감사.
Michael Kropat

1
@Shane, "일부 합법적 인 서비스가 도메인 주소를 스푸핑 할 것"(2 항)과 관련하여 귀하가 언급 한 예는 무엇입니까?
Pacerier

1
헤더를 스푸핑 : 합법적 인 서비스는 봉투를 스푸핑하지 않습니다 .SPF가 말해야 할 유일한 발신자입니다. 인터넷의 다른 서버는 반송 메일을 보내는 동안 전자 메일을 보내는 비즈니스가 없으며 봉투의 정식 기능입니다. .
MadHatter는 Monica

7

-all은 항상 예외 없음으로 사용해야합니다. 사용하지 않으려면 도메인 이름을 스푸핑하는 사람에게 자신을 열어 주어야합니다. 예를 들어 Gmail에는 ~ all이 있습니다. 스패머 스푸핑 gmail.com은 항상 주소를 지정합니다. 표준에 따르면 ~ all 때문에 전자 메일을 수락해야합니다. SPF 레코드를 잘못 설정했다는 것을 깨달았 기 때문에 개인적으로 이것에 대한 표준을 따르지 않습니다. 나는 -all,? all, 내가하는 것처럼 모든 것을 시행한다. SPF 구문 SPF 실수


5
나는이 의견을 두 번째로 생각한다. 나에게 Softfail의 유일한 이유는 테스트 목적입니다. SPF 레코드를 최신 상태로 유지하면 소프트 실패를 사용할 이유가 없습니다. 그렇지 않은 경우 SPF에 대한 이유가 전혀 없습니다. 합법적 인 서비스가 귀하의 도메인에서 온 이메일을 위조한다고 생각하지 않습니다.
Tim

나는 이것에 도전 할 것이다. 이 도메인을 사용하는 모든 사람이 그 의미를 알고 있다면 이것은 괜찮습니다. 그러나 잊지 마십시오. 웹 사이트 문의 양식의 메시지는 다른 사람이 모르게 손실 될 수 있습니다. 이러한 메시지는 종종 사용자를 대신하여 메일을 통해 메시지를 전달하도록 설정되어 있습니다. 그러나 다른 사람을 위해 메일을 설정하는 경우에는 그렇게하지 마십시오. 그들은 연락처 양식이 진행되지 않는 것에 대해 알지 못하며 Gmail과 같은 다른 공급자에서 메일 주소를 편리한 별칭으로 설정할 수 없습니다.
wedi

5

내 이해에 따르면 Google은 SPF뿐만 아니라 DKIM 및 궁극적으로 DMARC를 사용하여 전자 메일을 평가합니다. DMARC는 SPF와 DKIM 서명을 모두 고려합니다. 둘 중 하나라도 유효하면 Gmail은 이메일을 수락하지만 둘 다 실패 (또는 소프트 실패)하면 이메일이 사기 일 수 있음을 분명히 알 수 있습니다.

Google의 DMARC 페이지 에서 가져온 것입니다 .

SPF 및 DKIM 검사 모두에 실패하면 DMARC도 실패해야합니다. 두 기술 중 하나를 사용한 단일 검사 실패로 메시지가 DMARC를 통과 할 수 있습니다.

따라서 SPF가 더 큰 메일 분석 알고리즘에 들어갈 수 있도록 softfail 모드에서 SPF를 사용하는 것이 좋습니다.


1
전제에서 결론이 어떻게 나오는지 모르겠지만 매우 흥미 롭습니다. DMARC가 SPF FAIL 또는 SPF SOFTFAIL과 함께 전달 될 수 있다면 어떤 것을 선택하는 것이 중요합니까?
Michael Kropat

4
SPF 레코드를 FAIL로 설정하면 DMARC 평가조차하지 않지만 잘못 생각할 수 있습니다. 이 사양은 명확하지 않습니다 ...
darwin

광고 SPF 실패 대 SoftFail : a) DMARC가 구현되지 않은 사람들에게 중요합니다. b) DMARC 패스가 SPF 만 실패해도 메시지를 스팸으로 표시 할 수 있지만 SoftFail은 그렇지 않습니다. 평가.
Vlastimil Ovčáčík

ad SPF Fail은 DMARC eval을 방지 합니다. 구현 된 경우 a) SPF 및 / 또는 DKIM이 DMARC를 통과 하면 정렬 을 확인해야하므로 b) 둘 다 실패하면 DMARC가 실패 보고서 통계를 업데이트해야하기 때문에 DMARC는 항상 평가 됩니다.
Vlastimil Ovčáčík

1

아마도 softfail이 여전히 사용되는 이유는 많은 사용자가 (올바른 또는 잘못 된) 설치 전자 메일에서 집으로 전달하기 때문일 수 있습니다. hardfail이 활성화되어 있으면 거부됩니다.


2
메일 관리자의 조언에 위배되는 경우 전자 메일을받지 못할 수 있습니다.
MadHatter는 Monica

1
@MadHatter 전달 된 전자 메일에는 봉투 발신자가 보관되므로 고용주의 SPF 레코드가 아닌 확인 된 (그리고 실패 할 가능성이있는) 원본의 SPF 레코드가됩니다. 고용주의 메일 서버가 봉투 발신자를 업데이트하는 경우 전달 된 메일과 일반 발신 메일 (SPF에 관한 한)간에 차이가 없으므로 실패하지 않는 값으로 봉투 발신자를 업데이트합니다.
Vlastimil Ovčáčík

1
@ VlastimilOvčáčík 당신이 옳거나 다른 방법으로 말하면 SRS와 함께하면 괜찮을 것입니다. 그렇지 않은 경우, -all다른 사람의 깨진 (SRS 이외의) 전달 설정을 돕기 위해 단순히 노력하지 않는 것이 좋습니다.
MadHatter는 Monica
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.