web-dev-qa-db-ja.com

SPFフェイルとソフトフェイルの長所と短所

質問

SPFレコードで Fail vs. SoftFail を使用する利点と欠点は何ですか?

トピックで見つけたもの

2007年に戻って、知識のある人はSoftFailは単なるテスト用であり、すべてを適切にセットアップしたら拒否するように変更することを推奨したようです( ここ および ここ )。

これは forum post がSoftFailを「誤って構成された」状態で呼び出しますが、Googleがそれを使用していると述べています。ランダムなフォーラムのポスターよりもベストプラクティスについてGoogleを信頼しています!私がチェックしたところ、確かに、Gmailは~all(SoftFail) their SPF record

送信者側では、メール配信の専門家はSoftFailの使用を推奨しているようです:

Failは「(SoftFailよりも)より攻撃的であり、解決するよりも多くの問題を引き起こすことが知られています(お勧めしません)。」

消印SPFガイド

あいまいです。

「私は一般的に公開することをお勧めします~allクライアントのレコード。公開には大きなメリットはありません。すべてのメールが転送されることもあります。 -allレコードをお勧めするのは、ドメインがスパムに偽造されたときです。ドメイン偽造は、多くのバウンスを引き起こす可能性があります。バウンスの量は、メールサーバー、特にユーザーベースが小さいメールサーバーを停止するのに十分なほど悪い場合があります。多くのISPはバウンスを返す前にSPFをチェックするので、すべてのレコードはドメイン所有者が対処しなければならないブローバックの量を減らすことができます。」

—メール配信コンサルタント 賢明な言葉

それでも、相当量のドメイン偽造が行われているかどうかをウェブマスターはどのようにして知るのでしょうか?最悪の事態に備え、偽造を事前に予測するためのベストプラクティスではありませんか?

受信側で、Terry Zink、who エンタープライズスパムフィルタリングで機能強いケース =フィッシングメールの通過を防ぐためのハードフェイルの場合。組織は偽造メールよりもメールの損失を恐れているため、ほとんどの人がSoftFailを使用していると述べています。 SPF SoftFailsで作成されたフィッシング詐欺メールが実際に誰かの受信トレイに届く可能性はどのくらいですか?

6
sondra.kinsey

ソンドラ、あなたはすでに関連する質問を見つけましたが、私の意見では、最高得点の答えはあなたの質問を正当化しません。

最後の質問から始めましょう:SPF SoftFailsで作成されたフィッシング詐欺メールが実際に誰かの受信トレイに届く可能性はどの程度ですか?巨大です! DMARCの検疫/拒否ポリシーとOffice 365、Outlook.com、Gmail、Yahoo、またはその他の主要なホスティング会社の受信メールボックスと組み合わせると、ほとんどありません。

最初の質問:ソフトフェイルSPFレコードに対するフェイルの利点は何ですか。ご自身の調査で述べたように、不利な点は転送された電子メールです。バウンスアドレス(return-path)がフォワーダーによって書き換えられない限り、拒否されます。利点は、ドメインがなりすましに対してより適切に保護されていることですが、最も単純な試みに対してのみです。

上記のように、SPFでの警告は、メッセージヘッダーフィールドReturn-Pathに保存されているSMTPエンベロープ送信者に対してチェックされることです。ほとんどの電子メールクライアントは他のフィールド、ヘッダーFromのみを提供するため、実際の受信者はこのフィールドを認識しません。例:ヘッダーFrom: [email protected]を含むメールを送信しましたが、エンベロープ送信者として[email protected]を使用しています。 Microsoft.comFailSPFポリシーを公開しますが、example.comはSPFレコードを公開しないため、SPFは失敗しません。受信者には[email protected]からのメールのみが表示されます。

これがDMARCの出番です。DMARCは、SPFまたはDKIMのいずれかのFromヘッダーで使用されるドメインとの認証の調整を必要とします。エンベロープ送信者で使用されるドメイン(Return-Path)とヘッダーFrom:は、組織のドメインを共有する必要があることを意味します。 DMARCは、基礎となる認証メカニズム(SPFまたはDKIM)のPASS結果のみを考慮するため、SPFの場合、~all-allはまったく同じように扱われます。

Terry Zinkは、DMARCに関する複数の記事を公開しています。そのうちの1つは Office 365でのDKIMおよびDMARCによる強化された電子メール保護

SPF、DKIM、DMARCについて多くのことを学ぶことができますが、それはこの回答の範囲を超えています。 DMARCの実装は簡単でも完璧でもありませんが、ドメインをなりすましから保護します。SPFだけよりもはるかに優れています。また、すべては受信側と、SPFおよびDMARCへの対処方法(もしあれば)に依存します。

5
Reinto