Квалификаторы структуры политики отправителя
RFC4408 определяет структуру политики отправителя (SPF).
SPF имеет квалификаторы («-», «~», «+», «?»), Которые определены как (сбой , softfail, pass, нейтральный) соответственно.
Существует путаница среди информации в Интернете относительно использования - vs. ~. Мне нужна помощь эксперта.
Я предполагаю, что Google использует ~ all вместо -all, потому что их _spf.google.com преобразуется в хост _netblocks, который является динамической записью (согласно веб-сайту Google, поскольку они используют слово 'current' при описании _netblocks) и, следовательно, из-за задержки распространения DNS использовался ~ вместо -.
Однако, когда я смотрю информацию о поддержке SendGrid, я получаю примеры, использующие - и ~ для тех же сценарий (те же хосты и пр.). Единственное различие - и ~.
Я предполагаю, что большинство почтовых клиентов настроены правильно, так что при прохождении ~ softfail появляется помеченное сообщение, указывающее, что отправитель может быть нелегальным. Это безопасное предположение? Похоже, что крупные SMTP-компании сделали это предположение.
https: //support.sendgrid.com/hc/en-u ... cles / 202517236 <- говорит использование -
https://sendgrid.com/docs/Glossary/spf.html <- говорит использование ~
Заранее спасибо друзья.
Softfail (~ all) действительно следует рассматривать как указание на то, что Владелец домена считает, что хост не авторизован, но не желает делать четкое заявление о политике. Это побуждает процессоры электронной почты подвергать сообщение дальнейшей проверке перед тем, как принять сообщение.
Проблемы с использованием -all следующие:
- Неисправные архитектуры DMARC могут давать сбой сообщения на -all вместо завершения оценки DMARC, тем самым нарушая спецификацию DMARC и вызывая проблемы с доставкой.
- Задержки распространения DNS с гораздо большей вероятностью повлияют на крупных операторов SMTP, когда они вносят изменения в IP-адрес, поскольку получатели почты с большей вероятностью получили электронную почту из этих записей DNS в последние несколько минут.
- Google использует TTL в 5 минут, но, учитывая, что более 5 миллионов компаний используют Google Apps, Google доставляет электронную почту для себя и своих клиентов достаточно регулярно на некоторые серверы, поэтому задержки DNS могут быть проблемой.
- Для доменов, использующих DMARC. , использование -all приведет к заметной разнице в том, как электронная почта обрабатывается третьими сторонами, не поддерживающими DMARC. Третьи стороны, совместимые с DMARC, могут по-прежнему принимать сообщение, если DKIM проходит и соответствует домену DMARC. Однако третьи стороны, не совместимые с DMARC, вообще не будут запускать проверки DMARC / DKIM и просто отклонят во время проверки SPF при использовании -all. Организации могут быть более склонны доверять сильному утверждению DMARC, которое будет использоваться против своего домена, поскольку оно охватывает EHLO, DKIM и From: domain, и, следовательно, более тщательно.
По причинам, указанным выше, организация может быть не так готова доверять Утверждение только SPF, которое будет использоваться против них и их почтовых потоков.
Со своей стороны, Google рекомендует своим клиентам развернуть DMARC , чтобы сократить спуфинг домена, и рекомендует использовать ~ all в SPF для предотвратить проблемы с доставкой .