Что делает "-all" во включенной (вторичной) записи SPF?

Question

В записи SPF опция -all означает «я включаю в белый список только те машины / домены, которые я перечислю здесь, и никакие другие серверы не могут отправлять электронную почту для этого домена».

Итак, что это значит, когда используется опция include: в записи SPF для включения второй записи SPF, и эта вторичная запись SPF имеет -all? Каково влияние этого там?

Answer 1

Механизм включения запускает рекурсивную оценку для включенной записи. Если эта оценка завершится неудачно (например, с помощью -all во включенной записи), результат механизма включения будет считаться "Не совпадает". Таким образом, на практике механизм -all (или любой другой механизм с квалификатором -) во включенной записи SPF не влияет на оценку первичной записи.

Полный обзор того, как механизм включения влияет на оценку первичной записи, можно увидеть в таблице в разделе 5.2 RFC 7208 (https://tools.ietf.org/html/rfc7208#section-5.2)

Answer 2

Для прохождения проверки SPF отправляющий IP-адрес должен пройти хотя бы один из механизмов. Механизмы включения проверяют входящий IP-адрес, используя включенную запись SPF, и «возвращают» результат.

Используя ваш пример:

a.example.com    IN TXT "v=spf1 include:b.example.com +all"
b.example.com    IN TXT "v=spf1 -all"

Включенная запись вернет ошибку, так как она содержит только механизм -all . Однако первая запись пройдет, потому что она имеет механизм +all .

Используя более подробный пример:

a.example.com            IN TXT "v=spf1 ip4:1.2.3.4 mx include:spf.example.org -all"
a.example.com            IN MX  0 mailserver.example.com
mailserver.example.com   IN A   1.2.3.5
spf.example.org          IN TXT "v=spf1 ip4:4.3.0.0/16 -all"

Я запишу результаты каждого механизма в том же порядке, в котором они указаны в записи. Итак, результаты будут отформатированы так:

• a.example.com: [ip4] [mx] [include] [-all]
• spf.example.org: [ip4] [-all]

Со следующими адресами отправителя:

1.2.3.4

• spf.example.org -> fail fail
• a.example.com -> pass fail fail fail

Окончательный результат будет pass так как по крайней мере один чек прошел

1.2.3.5

• spf.example.org -> fail fail
• a.example.com -> fail pass fail fail

Окончательный результат будет pass так как по крайней мере один чек прошел

4.3.10.20

• spf.example.org -> pass fail
• a.example.com -> fail fail pass fail

Окончательный результат будет pass так как по крайней мере один чек прошел

TL; DR: механизм включения оценивается отдельно, а результат возвращается к оценке записи, которая его включила. Оценка записи не выполняется, если не найдено ни одного механизма. Поскольку вы завершили свой пример с помощью +all , он всегда будет совпадать и поэтому пройдет.

Answer 3

-all в конце интерпретируется после обработки любых включений.

Его цель - сообщить, как следует обрабатывать электронные письма, не отправленные через перечисленные ресурсы.

-all означает отбросить их как подделку, в то время как ~all означает, что они все еще могут быть законными и к ним следует относиться с большим подозрением.