SPF - devo implementar?

9

Uma solicitação foi feita por um desenvolvedor da web para que nossos registros DNS do domínio incluíssem registros SPF TXT. Eu encontrei opiniões diferentes sobre isso lá fora ...

Quaisquer comentários ou idéias que você possa oferecer serão muito apreciados. Sei que essa não é uma questão empírica em si - mas eu apreciaria suas ofertas subjetivas, no entanto ... Especialmente se elas viessem com referências que eu pudesse examinar, como postagens na Web ou documentos on-line etc.

Manca Weeks
fonte
7
Eu sinceramente gostaria de encontrar as pessoas que diferem no SPF sendo uma coisa boa.
Wesley
1
@ Wesley - Eu só podia imaginar que as pessoas diriam para não usá-lo porque "não é universal" (leia-se como muito preguiçoso).
Nixphoe
1
Eu ficaria seriamente preocupado se alguém quisesse fechar isso com base no fato de ser muito subjetivo. É uma pergunta justa, com uma resposta clara e simples: sim.
John Gardeniers

Respostas:

20

Sim. Eu não chamaria isso de subjetivo porque há um consenso claro; use SPF .

A implementação é muito fácil e é uma coisa boa para a Internet como um todo.

Shane Madden
fonte
4
+1. Acesse www.openspf.org e configure os registros SPF. É trivial e não há razão para NÃO fazê-lo.
precisa saber é o seguinte
Concorda com a recomendação - mas sem justificativa?
symcbean
@ voretaq7: openspf.org parece estar fora do ar, isso não é muito encorajador.
Marcel
1
@ Marcel - eu notei que ontem à noite, esperava que ele voltasse antes que mais alguém notasse. Acho que não resmungar
voretaq7
@symcbean - Pode reduzir a pontuação de spam de um e-mail por uma pequena quantidade, e é o mínimo esforço para configurar e manter - parece auto-justificando para mim ...
voretaq7
6

Você provavelmente está vendo referências datadas. Com base na porcentagem de email válido que meu servidor recebe de servidores que usam SPF, o consenso é usar o SPF.

Eu recomendo vivamente a instalação do SPF. Configure registros para o seu MX, permitindo o envio de email, bem como para o domínio que você usa nos endereços de email. Para domínios que não enviam SPF de configuração de email, isso indica.

Considero os registros SPF para o servidor de email mais úteis e confiáveis ​​no bloqueio de spam do que os do endereço de email do remetente.

Se o seu servidor suportar registros SPF, configure-os além dos registros TXT. Se você alterar sua configuração, pode haver um pouco de sobrecarga na manutenção dos registros sincronizados, mas muitos sistemas podem configurar seu SPF para que ele se ajuste automaticamente às alterações de endereço e MX.

Você pode revisar minha postagem sobre Protegendo sua reputação de e-mail com SPF . Minha primeira implementação do SPF foi bloquear um spammer que estava criando um domínio para o qual presto serviços de email. Apesar da penetração relativamente baixa do SPF, foi muito eficaz em desativá-los. No entanto, ainda recebemos spam no endereço falsificado que eles criaram. (É uma ótima maneira de verificar os remetentes de spam, pois apenas os remetentes usariam esse endereço.)

Acredito que a penetração do SPF no lado receptor seja provavelmente maior do que no lado da publicação.

EDIT: Se você usa registros SPF, verifique se as pessoas que entregam correspondências automatizadas estão cientes do requisito para adicionar seus servidores. (O servidor deve ser totalmente examinado, pois os sistemas automatizados geralmente são mal configurados e podem ter um perfil semelhante a um spambot. Não é tão difícil configurar o servidor corretamente.)

BillThor
fonte
3

Definitivamente configure o SPF - não deve haver desvantagem (desde que seja configurado corretamente e testado), mas impedirá que outros sites se disfarçam como você e enviem spam em seu nome. O motivo é bom: você está na lista de permissões explicitamente de certos servidores / IPs que podem enviar email para o seu domínio.

Eu acho que a melhor prova de que isso é bom é olhar para alguns dos principais serviços de e-mail. Basta procurar os cabeçalhos 'Received-SPF' no email original para verificar se o SPF está marcado. Por exemplo:

E-mail do Yahoo:

Received-SPF: pass (domain of example.com designates xxx.xxx.xxx.xxx as permitted sender)

Gmail:

Received-SPF: pass (google.com: domain of [email protected] designates xxx.xx.xx.xx as permitted sender) client-ip=xxx.xx.xx.xx;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of [email protected] designates xxx.xx.xx.xx as permitted sender) [email protected]

O Hotmail também verifica o SPF (embora, creio que eles chamam de Sender-ID). No geral, é uma adição fácil que pode fazer muito bem - tanto para o seu domínio quanto para a Internet como um todo.

cyberx86
fonte
2

Como os outros entrevistados (até agora), recomendo a implementação do SPF.

Algumas das outras postagens mencionaram que isso dificulta que outras pessoas se disfarçam como você (mas isso não significa que o SPF seja a base para o não repúdio ). Mesmo que o impacto direto de um evento como esse seja muito baixo, isso ajuda a reduzir a dispersão traseira .

No entanto, outro motivo muito importante é que ele melhora a entrega aos destinatários cujos fornecedores implementam o SPF.

Eu certamente ficaria muito interessado em saber quais são as desvantagens do SPF. Atualmente, tudo o que tenho conhecimento é:

  1. os usuários devem rotear suas mensagens de saída através de servidores nomeados - embora o controle de suas mensagens de saída tenha benefícios óbvios, isso pode adicionar algumas complicações se você tiver usuários remotos - será necessário configurar a autenticação SMTP ou uma VPN

  2. problema com algum encaminhamento - que IME é muito raro

symcbean
fonte
1

O grande problema que vejo com o SPF é que é o encaminhamento de quebras. Isso é até hoje mencionado apenas brevemente na entrada da wikipedia do SPF . E também é por isso que não configuro o SPF no meu servidor de email.

Considere A com endereço [email protected](para quem o MX implementa o SPF) envia um e-mail para B com o endereço para [email protected]quem esse endereço foi configurado para encaminhar e-mails [email protected]. O MX reallyb.orgentão vê o correio de A originário do b.orgMX e, portanto, é permitido jogar fora a mensagem.

Portanto, se você quiser continuar a enviar e-mails para pessoas que usam o encaminhamento como costumava funcionar nas décadas anteriores à criação do SPF, pelo menos não o use -all.

Isso pode ser corrigido se o MX para o SRSb.org usado ou o MX para listas de e-mails de entrada vierem . De acordo com minha opinião sobre a realidade, no entanto, a maioria dos forwarders não faz nenhum desses dois. E como você está na posição de A, se você pensa em implementar o SPF no seu servidor, isso é algo que você não pode controlar em geral.reallyb.orgb.org

Uwe Kleine-König
fonte