SPF - dois-je mettre en œuvre?

9

Un développeur Web a demandé que nos enregistrements DNS de domaine incluent des enregistrements TXT SPF. J'ai trouvé des opinions divergentes là-dessus ...

Tous les commentaires ou idées que vous pouvez offrir seront très appréciés. Je sais que ce n'est pas une question empirique en soi - mais j'apprécierais néanmoins vos offres subjectives ... Surtout si elles venaient avec des références que je pourrais examiner, telles que des publications Web ou des documents en ligne, etc.

domain-name-system  email  spf 
Semaines de Manca
source
7
J'aimerais sincèrement que ces personnes qui diffèrent sur SPF soient une bonne chose.
Wesley
1
@wesley - Je ne pouvais qu'imaginer que les gens diraient de ne pas l' utiliser parce que "ce n'est pas universel" (lu trop paresseux).
Nixphoe
1
Je serais sérieusement inquiet si quelqu'un voulait fermer cela au motif qu'il est trop subjectif. C'est une question juste avec une réponse claire et simple: oui.
John Gardeniers

Réponses:

20

Oui. Je n'appellerais pas cela subjectif parce qu'il y a un consensus clair; utiliser SPF .

La mise en œuvre est très facile et c'est une bonne chose pour Internet dans son ensemble.

Shane Madden
source
4
+1. Rendez-vous sur www.openspf.org et créez des enregistrements SPF. C'est trivial et il n'y a aucune raison de NE PAS le faire.
voretaq7
D'accord avec la recommandation - mais aucune justification?
symcbean
@ voretaq7: openspf.org semble être en panne, ce n'est pas très encourageant.
Marcel
1
@Marcel - J'ai remarqué que la nuit dernière, j'espérais que ce serait de sauvegarde avant que quelqu'un d'autre ne le remarque. Devinez pas grogner
voretaq7
@symcbean - Cela peut réduire le score de spam d'un e-mail d'une petite quantité, et c'est un effort minimal pour configurer et maintenir - semble me justifier de lui-même ...
voretaq7
6

Vous voyez probablement des références datées. Sur la base du pourcentage d'e-mails valides que mon serveur reçoit des serveurs utilisant SPF, le consensus est d'utiliser SPF.

Je recommande vivement de configurer SPF. Configurez des enregistrements pour votre MX lui permettant d'envoyer des e-mails, ainsi que pour le domaine que vous utilisez dans les adresses e-mail. Pour les domaines qui n'envoient pas de configuration de courrier électronique, SPF l'indique.

Je trouve que les enregistrements SPF pour le serveur de messagerie sont plus utiles et fiables pour bloquer le spam que ceux de l'adresse e-mail de l'expéditeur.

Si votre serveur prend en charge les enregistrements SPF, configurez-les en plus des enregistrements TXT. Si vous modifiez votre configuration, il peut y avoir un peu de temps supplémentaire pour maintenir les enregistrements synchronisés, mais de nombreux systèmes peuvent configurer leur SPF afin qu'il s'adapte automatiquement à MX et aux changements d'adresse.

Vous voudrez peut-être revoir mon article sur la sécurisation de votre réputation de messagerie avec SPF . Ma première implémentation de SPF a été de bloquer un spammeur qui forgeait un domaine pour lequel je fournis des services de messagerie. Malgré une pénétration relativement faible du SPF, il a été très efficace pour les arrêter. Cependant, nous recevons toujours du spam à l'adresse falsifiée qu'ils ont créée. (C'est un excellent moyen de vérifier les spammeurs car seuls les spammeurs utiliseraient cette adresse.)

Je crois que la pénétration de SPF du côté de la réception est probablement plus importante que du côté de l'édition.

EDIT: Si vous utilisez des enregistrements SPF, assurez-vous que les personnes qui envoient des mailings automatisés sont conscientes de la nécessité d'ajouter leurs serveurs. (Le serveur doit être entièrement contrôlé car les systèmes automatisés sont souvent mal configurés et peuvent avoir un profil similaire à un spambot. Ce n'est pas si difficile de configurer correctement le serveur.)

BillThor
source
3

Définissez définitivement SPF - il ne devrait y avoir aucun inconvénient (tant qu'il est correctement configuré et testé), mais cela empêchera d'autres sites de se faire passer pour vous et d'envoyer du spam en votre nom. La raison pour laquelle c'est bon est que vous mettez explicitement en liste blanche certains serveurs / IP qui peuvent envoyer des e-mails pour votre domaine.

Je pense que la meilleure preuve que c'est une bonne chose est de regarder quelques grands services de messagerie. Recherchez simplement les en-têtes «Received-SPF» dans l'e-mail d'origine pour voir si SPF est vérifié. Par exemple:

Yahoo Mail:

Received-SPF: pass (domain of example.com designates xxx.xxx.xxx.xxx as permitted sender)

Gmail:

Received-SPF: pass (google.com: domain of user@example.com designates xxx.xx.xx.xx as permitted sender) client-ip=xxx.xx.xx.xx;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of user@example.com designates xxx.xx.xx.xx as permitted sender) smtp.mail=user@example.com

Hotmail vérifie également SPF (bien que je pense qu'ils l'appellent Sender-ID). Dans l'ensemble, c'est un ajout facile qui peut faire beaucoup de bien - à la fois pour votre domaine et pour Internet dans son ensemble.

cyberx86
source
2

Comme les autres répondants (jusqu'à présent), je recommande la mise en œuvre de SPF.

Certains des autres articles ont mentionné que cela rend plus difficile pour d'autres personnes de se faire passer pour vous (mais cela ne signifie pas que le SPF est une base de non-répudiation ). Même si l'impact direct d'un tel événement est très faible, il contribue à réduire la rétrodiffusion .

Cependant, une autre raison très importante est qu'elle améliore la délivrabilité aux destinataires dont les fournisseurs mettent en œuvre le SPF.

Je serais certainement très intéressé d'entendre quels sont les inconvénients de SPF. Actuellement, tout ce que je sais, c'est:

  1. les utilisateurs doivent acheminer leur courrier sortant via des serveurs désignés - bien que le contrôle de votre courrier sortant présente des avantages évidents, cela peut ajouter quelques complications si vous avez des utilisateurs distants - vous devrez configurer l'authentification SMTP ou un VPN

  2. problème avec certains transferts - dont l'IME est très rare

symcbean
source
1

Le gros problème que je vois avec SPF est la rupture des transferts. Ceci n'est à ce jour que brièvement mentionné dans l'entrée wikipedia de SPF . Et c'est aussi la raison pour laquelle je ne configure pas SPF sur mon serveur de messagerie.

Considérez A avec adresse a@a.org(qui est MX implémente SPF) envoie un courrier à B avec adresse b@b.orgqui configure cette adresse pour transférer les courriers b@reallyb.org. Le MX pour reallyb.orgvoit alors le courrier de A provenant du b.orgMX de et est donc autorisé à jeter le message.

Donc, si vous voulez continuer à pouvoir envoyer des e-mails à des personnes qui utilisent le transfert comme il fonctionnait dans les décennies précédant la création de SPF, du moins ne l'utilisez pas -all.

Cela pourrait être corrigé si le MX pour SRSb.org utilisé ou si le MX pour les listes blanches en provenance de . Selon mon point de vue sur la réalité, cependant, la plupart des transitaires ne font aucun de ces deux. Et comme vous êtes en position A si vous songez à implémenter SPF sur votre serveur, c'est quelque chose que vous ne pouvez pas contrôler en général.reallyb.orgb.org

Uwe Kleine-König
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.