我认为?allSPF不应该使用。
然后我检查了一些本地电子邮件提供商公司的 SPF 记录,发现了以下情况:
v=spf1 mx ip4:77.75.78.0/23 ip4:77.75.76.0/23 ip6:2a02:598::/32 ?all`
这难道不是说将 SPF 标记为失败Neutral,从而让基本上每个人都代表该域发送电子邮件吗?
他们的 DMARC 设置如下:
v=DMARC1; p=none; rua=mailto:[email protected]
再说了,这不是说当 DMARC 失败时什么也不做吗?
然后是我所在的公司。他们的 SPF 记录是这样的:
v=spf1 mx a:xxx.xxx.xxx a:xxx2.xxx.xxx include:protection.outlook.com include:spf.xxx.xxx ?all
包含的内容会覆盖最后的“全部”吗?同样,这难道不是说将所有内容标记为中性吗?
?allSPF 记录的实际用例是什么?
答案1
原则上你是对的,SPF软失败原本只是用于测试设置的临时设置。测试后,建议将其更改为硬失败模式,其中记录设置为以 结束-all。
但似乎每个人都害怕丢失一些垃圾邮件,或者只是缺乏自信。许多人选择将其保留在软失败设置中。
DMARC 似乎也是如此。该政策没有任何不执行任何操作。如果您希望 DMARC 真正有效,请使用拒绝或者隔离政策。那么合规服务器将拒绝接受和传递声称来自您的域但实际上不是您的邮件。
在某种程度上,这种情况可以通过复杂的垃圾邮件过滤器得到缓解,这些过滤器仍然考虑 SPF 和 DMARC 结果,并对未通过测试的邮件的分数进行悲观评估。SPF 软失败和其他因素与正文统计分析、黑名单查询等一起考虑,它们一起倾向于严重降低垃圾邮件的分数,因此它仍然属于垃圾邮件,或者相反,正确的 SPF 和/或 DKIM 会降低无辜邮件的分数,使它们看起来不那么像垃圾邮件。因此,即使 DMARC p=none 和 SPF ~all 或 ?all 仍然会做一些好事,通过增加好邮件的“无辜性”而不是悲观评估“坏”邮件。