Apakah menggunakan SOFTFAIL lebih dari FAIL dalam catatan SPF dianggap praktik terbaik?

Atau dengan kata lain, apakah menggunakan v=spf1 a mx ~alldirekomendasikan lebih dari menggunakan v=spf1 a mx -all? RFC tampaknya tidak membuat rekomendasi apa pun. Preferensi saya selalu menggunakan FAIL, yang menyebabkan masalah segera terlihat. Saya menemukan bahwa dengan SOFTFAIL, catatan SPF yang dikonfigurasi secara salah diizinkan untuk bertahan tanpa batas waktu, karena tidak ada yang memperhatikan.

Semua contoh yang saya lihat online, tampaknya menggunakan SOFTFAIL. Apa yang membuat saya mempertanyakan pilihan saya adalah ketika saya melihat instruksi Google Apps untuk mengonfigurasi SPF:

Buat data TXT yang berisi teks ini: v = spf1 sertakan: _spf.google.com ~ semua

Menerbitkan catatan SPF yang menggunakan -all bukannya ~ semua dapat menyebabkan masalah pengiriman. Lihat rentang alamat IP Google untuk detail tentang alamat untuk server surat Google Apps.

Apakah contohnya terlalu berhati-hati dengan mendorong penggunaan SOFTFAIL? Adakah alasan bagus yang menjadikan penggunaan SOFTFAIL sebagai praktik terbaik?

Yah, itu jelas bukan maksud dari spesifikasi untuk digunakan sebagai gantinya - softfail dimaksudkan sebagai mekanisme transisi, di mana Anda dapat memiliki pesan yang ditandai tanpa langsung menolaknya.

Seperti yang Anda temukan, kegagalan pesan langsung cenderung menyebabkan masalah; beberapa layanan yang sah, misalnya, akan memalsukan alamat domain Anda untuk mengirim email atas nama pengguna Anda.

Karena itu, softfail yang kurang tajam direkomendasikan dalam banyak kasus sebagai cara yang tidak terlalu menyakitkan untuk tetap mendapatkan banyak bantuan yang ditawarkan SPF, tanpa sedikitpun sakit kepala; filter spam penerima masih dapat menggunakan softfail sebagai petunjuk kuat bahwa pesan mungkin adalah spam (yang banyak dilakukan).

Jika Anda yakin bahwa tidak ada pesan yang seharusnya datang dari node selain dari apa yang Anda tentukan, maka tentu saja, gunakan gagal sesuai standar SPF yang dimaksudkan .. tetapi seperti yang telah Anda amati, softfail pasti telah berkembang melampaui yang dimaksudkan menggunakan.

-Semua harus selalu digunakan TANPA PENGECUALIAN. Untuk tidak menggunakannya adalah membuka diri Anda kepada seseorang yang memalsukan nama domain Anda. Gmail misalnya memiliki ~ semua. Alamat spammer spoof gmail.com sepanjang waktu. Standar mengatakan kita harus menerima email dari mereka karena ~ semua. Saya pribadi tidak mengikuti standar ini, karena saya menyadari sebagian besar dari Anda telah salah mengatur data SPF Anda. Saya menegakkan ~ semua,? Semua, sama seperti saya akan -semua. Sintaks SPF Kesalahan SPF

Dalam pemahaman saya, Google tidak hanya mengandalkan SPF, tetapi juga pada DKIM dan akhirnya DMARC untuk mengevaluasi email. DMARC memperhitungkan penandatanganan SPF dan DKIM. Jika salah satu valid, Gmail akan menerima email tetapi jika keduanya gagal (atau kegagalan lunak), ini akan menjadi indikasi yang jelas bahwa email tersebut mungkin curang.

Ini dari laman-laman Googles DMARC :

Pesan harus gagal baik pemeriksaan SPF dan DKIM juga gagal DMARC. Kegagalan pemeriksaan tunggal menggunakan kedua teknologi memungkinkan pesan untuk melewati DMARC.

Karena itu saya pikir akan direkomendasikan untuk menggunakan SPF dalam mode softfail untuk memungkinkannya masuk ke dalam algoritma analisis surat yang lebih besar.

Mungkin alasan softfail masih digunakan adalah karena banyak pengguna (benar atau salah) meneruskan penerusan, mungkin dari email kantor mereka ke rumah, ini akan ditolak jika hardfail diaktifkan