Является ли использование SOFTFAIL over FAIL в записи SPF лучшей практикой?

Или, другими словами, использование v=spf1 a mx ~allрекомендуется по сравнению с использованием v=spf1 a mx -all? RFC не дает никаких рекомендаций. Я всегда предпочитал использовать FAIL, из-за чего проблемы становятся очевидными немедленно. Я обнаружил, что с SOFTFAIL неправильно настроенные записи SPF могут сохраняться бесконечно, так как никто не замечает.

Однако все примеры, которые я видел в Интернете, похоже, используют SOFTFAIL. Что заставило меня задуматься, я выбрал, когда увидел инструкции Служб Google по настройке SPF:

Создайте TXT-запись, содержащую этот текст: v = spf1 include: _spf.google.com ~ all

Публикация записи SPF, в которой используется -all вместо ~ all, может привести к проблемам с доставкой. См. Диапазоны IP-адресов Google для получения подробной информации об адресах почтовых серверов Служб Google.

Являются ли примеры чрезмерно осторожными, подталкивая использование SOFTFAIL? Существуют ли веские причины, которые делают использование SOFTFAIL лучшей практикой?

Ну, это, конечно, не было целью спецификации для его использования вместо этого - softfail предназначен в качестве механизма перехода, где вы можете пометить сообщения, не отклоняя их напрямую.

Как вы обнаружили, неудачные сообщения обычно вызывают проблемы; некоторые законные службы, например, будут подделывать адреса вашего домена, чтобы отправлять почту от имени ваших пользователей.

Из-за этого во многих случаях рекомендуется менее драконовский программный отказ как менее болезненный способ по-прежнему получать большую помощь, которую предлагает SPF, без некоторых головных болей; Спам-фильтры получателя могут по-прежнему воспринимать программную ошибку как сильный намек на то, что сообщение может быть спамом (что многие и делают).

Если вы уверены, что никакое сообщение не должно приходить от узла, отличного от указанного, то обязательно используйте сбой в соответствии со стандартом SPF ... но, как вы заметили, softfail определенно вышел за рамки своего предназначения использовать.

-все должны всегда использоваться без исключения. Не использовать его - значит открыть себя кому-то, кто подделывает ваше доменное имя. Например, в Gmail есть все. Спамеры подделывают адреса gmail.com постоянно. Стандарт гласит, что мы должны принимать электронные письма от них из-за всего. Я лично не следую стандарту в этом, потому что я понял, что большинство из вас неправильно настроили свои записи SPF. Я применяю все, все так же, как и все. SPF Синтаксис SPF ошибок

В моем понимании, Google полагается не только на SPF, но и на DKIM и, в конечном счете, DMARC для оценки электронной почты. DMARC учитывает как SPF, так и DKIM-подпись. Если какой-либо из них действителен, Gmail примет электронное письмо, но в случае сбоя обоих (или программного сбоя) это будет явным признаком того, что электронное письмо может быть мошенническим.

Это из Googles DMARC-страниц :

Сообщение должно не пройти проверку SPF и DKIM, чтобы также не выполнить проверку DMARC. Один провал проверки с использованием любой технологии позволяет сообщению проходить DMARC.

Поэтому я думаю, что было бы рекомендовано использовать SPF в режиме softfail, чтобы позволить ему войти в более широкий алгоритм анализа почты.

Возможно, причина, по которой софтфайл все еще используется, заключается в том, что многие пользователи (правильно или неправильно) настраивают переадресацию, может быть, с рабочего письма на дом, это будет отклонено, если включен hardfail