SPF - czy powinienem wdrożyć?

Deweloper sieciowy poprosił, aby rekordy DNS naszej domeny zawierały rekordy SPF TXT. Znalazłem różne opinie na ten temat ...

Wszelkie komentarze i spostrzeżenia, które możesz zaoferować, będą bardzo mile widziane. Wiem, że nie jest to samo pytanie empiryczne - niemniej jednak byłbym wdzięczny za twoje subiektywne oferty ... Zwłaszcza, gdyby były to referencje, do których mogłem zajrzeć, takie jak posty internetowe lub dokumenty online itp.

Tak. Nie nazwałbym tego subiektywnym, ponieważ istnieje wyraźny konsensus; użyj SPF .

Wdrożenie jest bardzo łatwe i jest dobre dla całego Internetu.

Prawdopodobnie widzisz datowane odniesienia. W oparciu o odsetek prawidłowych wiadomości e-mail, które mój serwer otrzymuje z serwerów korzystających z SPF, konsensus dotyczy korzystania z SPF.

Polecam serdecznie ustawienie SPF. Skonfiguruj rekordy dla MX, aby umożliwić wysyłanie wiadomości e-mail, a także dla domeny, której używasz w adresach e-mail. W przypadku domen, które nie wysyłają wiadomości e-mail, należy ustawić SPF, aby to wskazać.

Uważam, że rekordy SPF dla serwera e-mail są bardziej pomocne i niezawodne w blokowaniu spamu niż rekordy dla adresu e-mail nadawcy.

Jeśli Twój serwer obsługuje rekordy SPF, skonfiguruj je oprócz rekordów TXT. Jeśli zmienisz konfigurację, synchronizacja rekordów może być nieco obciążona, ale wiele systemów może skonfigurować SPF, aby automatycznie dostosowywał się do zmian MX i adresów.

Możesz przejrzeć mój post na temat Zabezpieczania reputacji e-mail za pomocą SPF . Moją pierwszą implementacją SPF było zablokowanie spamera, który fałszował domenę, dla której świadczę usługi e-mail. Pomimo stosunkowo niskiej penetracji SPF bardzo skutecznie je zamykał. Nadal jednak otrzymujemy spam na podany przez nich adres. (To świetny sposób na weryfikację spamerów, ponieważ tylko spamerzy używaliby tego adresu).

Uważam, że penetracja SPF po stronie odbierającej jest prawdopodobnie większa niż po stronie wydawniczej.

EDYCJA: Jeśli korzystasz z rekordów SPF, upewnij się, że osoby dostarczające automatyczne wysyłki są świadome wymogu dodania swoich serwerów. (Serwer powinien zostać w pełni sprawdzony, ponieważ systemy automatyczne są często źle skonfigurowane i mogą mieć profil podobny do spambota. Prawidłowe skonfigurowanie serwera nie jest trudne).

Zdecydowanie skonfiguruj SPF - nie powinno być żadnych wad (o ile jest ono poprawnie skonfigurowane i przetestowane), ale uniemożliwi to innym stronom maskowanie się pod Twoją nazwą i wysyłanie spamu w Twoim imieniu. Powodem jest to, że wyraźnie umieszczasz na białej liście niektóre serwery / adresy IP, które mogą wysyłać wiadomości e-mail dla Twojej domeny.

Myślę, że najlepszym dowodem na to, że dobrze jest patrzeć na kilka głównych usług e-mail. Wystarczy wyszukać nagłówki „Received-SPF” w oryginalnym e-mailu, aby sprawdzić, czy SPF jest zaznaczone. Na przykład:

Poczta Yahoo:

Received-SPF: pass (domain of example.com designates xxx.xxx.xxx.xxx as permitted sender)

Gmail:

Received-SPF: pass (google.com: domain of user@example.com designates xxx.xx.xx.xx as permitted sender) client-ip=xxx.xx.xx.xx;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of user@example.com designates xxx.xx.xx.xx as permitted sender) smtp.mail=user@example.com

Hotmail sprawdza również SPF (chociaż, jak sądzę, nazywają to Sender-ID). Ogólnie rzecz biorąc, jest to łatwy dodatek, który może przynieść wiele korzyści - zarówno dla Twojej domeny, jak i Internetu jako całości.

Podobnie jak inni respondenci (jak dotąd) zalecam wdrożenie SPF.

Niektóre inne posty wspominały, że utrudnia to innym osobom maskowanie się na tobie (ale to nie znaczy, że SPF jest podstawą do niezaprzeczenia ). Nawet jeśli bezpośredni wpływ takiego zdarzenia jest bardzo niewielki, pomaga zmniejszyć rozproszenie wsteczne .

Jednak kolejnym, bardzo ważnym powodem jest to, że poprawia dostarczalność do odbiorców, których dostawcy wdrażają SPF.

Z pewnością bardzo chciałbym usłyszeć, jakie są wady SPF. Obecnie wiem tylko:

1. użytkownicy muszą kierować pocztę wychodzącą przez wyznaczone serwery - chociaż kontrolowanie poczty wychodzącej ma oczywiste zalety, może to powodować pewne komplikacje, jeśli masz zdalnych użytkowników - musisz skonfigurować uwierzytelnianie SMTP lub VPN

2. problem z niektórymi przekierowaniami - który edytor IME jest bardzo rzadki

Dużym problemem, jaki widzę w SPF, jest to, że przerywa przekazywanie. Jest to na dzień dzisiejszy krótko wspomniane we wpisie na Wikipedii SPF . Jest to również powód, dla którego nie konfiguruję SPF na moim serwerze pocztowym.

Rozważ A z adresem a@a.org(kto MX implementuje SPF) wysyła pocztę do B z adresem, b@b.orgktóry konfiguruje ten adres do przesyłania wiadomości e-mail b@reallyb.org. MX reallyb.orgnastępnie widzi pocztę A pochodzącą z b.orgMX i dlatego może wyrzucić wiadomość.

Jeśli więc chcesz nadal móc wysyłać wiadomości e-mail do osób korzystających z funkcji przekazywania, która działała przez dziesięciolecia przed pojawieniem się SPF, przynajmniej nie używaj -all.

Można to naprawić, jeśli MX dla b.orgużywanych SRS lub MX dla reallyb.orgbiałych list przychodzi z b.org. Według mojego poglądu na rzeczywistość jednak większość spedytorów nie robi żadnego z tych dwóch. A ponieważ jesteś w pozycji A, jeśli myślisz o wdrożeniu SPF na swoim serwerze, nie możesz tego ogólnie kontrolować.