คำถาม

อะไรคือข้อดีและข้อเสียของการใช้Fail กับ SoftFailในบันทึก SPF ของฉัน

สิ่งที่ฉันพบในหัวข้อ

ย้อนกลับไปในปี 2550 ดูเหมือนว่าผู้ที่มีความรู้จะกล่าวว่า SoftFail เป็นเพียงสำหรับการทดสอบและสนับสนุนให้เปลี่ยนเพื่อปฏิเสธเมื่อคุณตั้งค่าทุกอย่างอย่างถูกต้อง ( ที่นี่และที่นี่ )

โพสต์ในฟอรัมนี้เรียก SoftFail ว่า "กำหนดค่าไม่ถูกต้อง" แต่แล้วกลับบอกว่า Google ใช้สิ่งนี้ ฉันไว้วางใจ Google สำหรับแนวทางปฏิบัติที่ดีที่สุดมากกว่าการสุ่มโปสเตอร์ในฟอรัม! ฉันจะตรวจสอบและแน่นอนการใช้งาน Gmail ~all(ก SoftFail) ในระเบียน SPF ของพวกเขา

ในตอนท้ายของสิ่งต่าง ๆ ผู้เชี่ยวชาญด้านการส่งอีเมลดูเหมือนจะสนับสนุนให้ใช้ SoftFail:

Fail "is more aggressive [than SoftFail] and is known to create more issues than it solves (we don’t recommend it)."

Postmark SPF Guide

ที่ค่อนข้างคลุมเครือ

"I generally recommend publishing ~all records for my clients. There’s not a huge benefit to publishing -all and sometimes mail gets forwarded around. The one time I recommend a -all record is when a domain is getting forged into spam. Domain forgery can cause a lot of bounces. The amount of bounces can be bad enough to take down a mail server, particularly those with a small userbase. Many ISPs will check SPF before sending back a bounce and so a -all record can decrease the amount of blowback the domain owner has to deal with."

—Email deliverability consultants Word to the Wise

แต่เว็บมาสเตอร์จะทราบได้อย่างไรว่ามีการปลอมแปลงโดเมนเป็นจำนวนมากหรือไม่ แนวปฏิบัติที่ดีที่สุดในการเตรียมพร้อมสำหรับสถานการณ์ที่เลวร้ายที่สุดและคาดว่าจะมีการปลอมแปลงล่วงหน้าไม่ใช่หรือ

ในด้านการรับ Terry Zink ซึ่งทำงานด้านการกรองสแปมขององค์กรได้เสนอกรณีที่แข็งแกร่งสำหรับ Hard Fail เพื่อป้องกันไม่ให้อีเมลฟิชชิ่งผ่านไปได้ และกล่าวว่าคนส่วนใหญ่ใช้ SoftFail เนื่องจากองค์กรกลัวว่าอีเมลจะสูญหายมากกว่าอีเมลปลอม โอกาสที่อีเมลฟิชชิ่งปลอมซึ่ง SPF SoftFails จะส่งถึงกล่องจดหมายของใครบางคนนั้นเป็นไปได้อย่างไร

answer

Sondra คุณพบคำถามที่เกี่ยวข้องแล้ว แต่คำตอบที่มีคะแนนสูงสุดไม่ตรงกับคำถามของคุณ ในความคิดของฉัน

ให้ฉันเริ่มด้วยคำถามสุดท้ายของคุณ: อีเมลฟิชชิ่งที่ปลอมแปลงซึ่ง SPF SoftFails จะไปถึงกล่องจดหมายของผู้อื่นมีความเป็นไปได้อย่างไร ใหญ่! เมื่อรวมกับนโยบายกักกัน/ปฏิเสธของ DMARC และกล่องจดหมายที่รับใน Office 365, Outlook.com, Gmail, Yahoo หรือโฮสต์หลักอื่นๆ ไม่น่าจะเป็นไปได้

คำถามแรกของคุณ: ข้อดีของบันทึก Fail เหนือบันทึก Soft Fail SPF คืออะไร ตามที่กล่าวไว้ในการวิจัยของคุณเอง ข้อเสียคืออีเมลที่ส่งต่อจะถูกปฏิเสธ เว้นแต่ที่อยู่ตีกลับ (เส้นทางส่งกลับ) จะถูกเขียนใหม่โดยผู้ส่งต่อ ข้อดีคือโดเมนได้รับการปกป้องจากการปลอมแปลงได้ดีกว่า แต่สำหรับความพยายามที่ง่ายที่สุดเท่านั้น

ดังกล่าวข้างต้นข้อแม้ที่มีค่า SPF คือว่ามันตรวจสอบกับ SMTP ผู้ส่งซองจดหมายReturn-Pathที่บันทึกไว้ในข้อมูลส่วนหัวของข้อความ ผู้รับที่เกิดขึ้นจริงจะมีความรู้ด้านนี้ไม่มีเพราะส่วนใหญ่ลูกค้าอีเมลเท่านั้นที่จะนำเสนอให้กับข้อมูลอื่น ๆ Fromที่ส่วนหัวตัวอย่างเช่น ฉันส่งอีเมลที่มีส่วนหัวFrom: [email protected]แต่ฉันใช้[email protected]เป็นผู้ส่งซองจดหมาย แม้ว่าจะmicrosoft.comเผยแพร่นโยบายFail SPF แต่ก็จะไม่ล้มเหลว SPF เนื่องจากexample.comไม่ได้เผยแพร่ระเบียน SPF [email protected]ผู้รับก็จะเห็นอีเมลจาก

นี่คือที่มาของ DMARC DMARC กำหนดให้ต้องมีการตรวจสอบความถูกต้องกับโดเมนที่ใช้ในFromส่วนหัว ไม่ว่าจะเป็น SPF หรือ DKIM หมายความว่าโดเมนที่ใช้ในผู้ส่งเอนเวโลป ( Return-Path) และส่วนหัวFrom:ควรแชร์โดเมนองค์กร DMARC ให้ความสำคัญกับผลลัพธ์ของ PASS สำหรับกลไกการตรวจสอบสิทธิ์พื้นฐาน (SPF หรือ DKIM) เท่านั้น ดังนั้นสำหรับ SPF ในแง่นั้น~allและ-allได้รับการปฏิบัติเหมือนกันทุกประการ

Terry Zink ได้ตีพิมพ์บทความหลายบทความใน DMARC ซึ่งหนึ่งในนั้นคือ การป้องกันอีเมลที่ได้รับการปรับปรุงด้วย DKIM และ DMARC ใน Office 365

มีหลายอย่างที่สามารถเรียนรู้เกี่ยวกับ SPF, DKIM และ DMARC ซึ่งอยู่นอกเหนือขอบเขตของคำตอบนี้ DMARC ไม่ใช่เรื่องง่ายที่จะนำไปใช้หรือไร้ที่ติ แต่ปกป้องโดเมนของคุณจากการปลอมแปลง ดีกว่าเพียง SPF นอกจากนี้ ทั้งหมดขึ้นอยู่กับฝ่ายที่ได้รับและวิธีที่พวกเขาจัดการกับ SPF และ DMARC (ถ้าเลย)

เนื่องจากการตลาดผ่านอีเมลยังคงเติบโตอย่างต่อเนื่อง สิ่งสำคัญคือต้องตรวจสอบให้แน่ใจว่าอีเมลทั้งหมดของคุณได้รับการรับรองความถูกต้องด้วย SPF, DKIM, DMARC และ BIMI ในท้ายที่สุด

คุณควรเริ่มต้นด้วยการตรวจสอบเครื่องมือและแอปพลิเคชันทั้งหมดที่คุณใช้เพื่อส่งอีเมลจากโดเมนของคุณ จากนั้น ตรวจสอบให้แน่ใจว่าได้ตั้งค่า SPF และ DKIM สำหรับแต่ละเครื่องมือหรือแอปพลิเคชันเพื่อให้มีการตรวจสอบสิทธิ์อย่างถูกต้อง

สุดท้าย คุณสามารถใช้เครื่องมือวิเคราะห์ DMARCเพื่อตั้งค่า DMARC โดยไม่มีนโยบาย และตรวจสอบรายงานรวมของคุณเป็นเวลาสองสามสัปดาห์ DMARC จะช่วยให้คุณมั่นใจได้ว่าอีเมลทั้งหมดของคุณผ่านการตรวจสอบสิทธิ์อย่างถูกต้อง

หลังจากที่คุณได้ตรวจสอบรายงานของคุณเป็นเวลาสองสามสัปดาห์และแน่ใจว่ามีการส่งอีเมลที่ตรวจสอบสิทธิ์เท่านั้น คุณสามารถเริ่มเปิดตัวหรือบังคับใช้นโยบาย dmarc ได้

กลับไปที่คำถามเดิมของคุณ ฉันคิดว่าในระหว่างกระบวนการผสานรวม DMARC คุณสามารถใช้นโยบาย ~all ได้ แต่หลังจากที่คุณได้ตรวจสอบโครงสร้างพื้นฐานทั้งหมดและตั้งค่า SPF & DKIM แล้ว คุณสามารถใช้นโยบายที่เข้มงวดยิ่งขึ้นในบันทึก SPF ของคุณได้

หากคุณต้องการที่จะเรียนรู้เพิ่มเติมเกี่ยวกับความล้มเหลว SPF ผมขอแนะนำให้อ่านค่า SPF นุ่มเหลว - ทุกอย่างเกี่ยวกับความล้มเหลว