O uso de SOFTFAIL sobre FAIL no registro SPF é considerado uma prática recomendada?

Ou, dito de outra maneira, o uso v=spf1 a mx ~allrecomendado é sobre o uso v=spf1 a mx -all? O RFC não parece fazer nenhuma recomendação. Minha preferência sempre foi usar FAIL, o que faz com que os problemas se tornem aparentes imediatamente. Acho que, com SOFTFAIL, os registros SPF configurados incorretamente podem persistir indefinidamente, pois ninguém percebe.

Todos os exemplos que eu vi online, no entanto, parecem usar o SOFTFAIL. O que me fez questionar minha escolha foi quando vi as instruções do Google Apps para configurar o SPF:

Crie um registro TXT contendo este texto: v = spf1 include: _spf.google.com ~ all

A publicação de um registro SPF que usa -all em vez de ~ all pode resultar em problemas de entrega. Consulte os intervalos de endereços IP do Google para obter detalhes sobre os endereços dos servidores de correio do Google Apps.

Os exemplos estão sendo excessivamente cautelosos ao pressionar o uso de SOFTFAIL? Existem boas razões para tornar o uso do SOFTFAIL uma prática recomendada?

Bem, certamente não era a intenção da especificação que ela fosse usada - o softfail é um mecanismo de transição, no qual você pode marcar as mensagens sem rejeitá-las completamente.

Como você descobriu, a falta de mensagens diretas tende a causar problemas; alguns serviços legítimos, por exemplo, falsificam os endereços de seu domínio para enviar e-mails em nome de seus usuários.

Por esse motivo, a falha macia menos draconiana é recomendada em muitos casos, como uma maneira menos dolorosa de ainda obter muita ajuda que o SPF oferece, sem algumas dores de cabeça; os filtros de spam do destinatário ainda podem considerar o softfail como uma forte dica de que uma mensagem pode ser spam (o que muitos fazem).

Se você está confiante de que nenhuma mensagem deve vir de um nó diferente do que você especificou, use a falha como o padrão SPF pretendido .. mas, como você observou, o softfail definitivamente cresceu além do pretendido. usar.

-todos sempre devem ser usados ​​SEM EXCEÇÃO. Para não usá-lo, você está se abrindo para alguém que falsifica seu nome de domínio. O Gmail, por exemplo, tem um ~ all. Spammers spoof gmail.com abordam o tempo todo. O padrão diz que devemos aceitar e-mails deles por causa de ~ tudo. Pessoalmente, não sigo o padrão, porque percebi que a maioria de vocês configurou seus registros SPF incorretamente. Eu imponho ~ tudo, tudo, exatamente como eu faria - tudo. Erros de sintaxe SPF SPF

No meu entendimento, o Google depende não apenas do SPF, mas também do DKIM e, finalmente, do DMARC para avaliar e-mails. O DMARC leva em consideração a assinatura SPF e DKIM. Se um deles for válido, o Gmail aceitará o email, mas se ambos falharem (ou falha eletrônica), isso será uma indicação clara de que o email pode ser fraudulento.

Isto é das páginas DMARC do Google :

Uma mensagem deve falhar nas verificações SPF e DKIM para também falhar no DMARC. Uma falha de verificação única usando qualquer uma das tecnologias permite que a mensagem passe no DMARC.

Por isso, acho que seria recomendável usar o SPF no modo de falha suave para permitir que ele entrasse no algoritmo maior de análise de email.

Talvez o motivo pelo qual o softfail ainda seja usado seja o fato de muitos usuários (com ou sem razão) configurarem o encaminhamento, talvez do email de trabalho para casa, isso seria rejeitado se o hardfail estivesse ativado