La differenza tra SPF -all e ~all

Blog

I provider di caselle di posta elettronica trattano ora i meccanismi SPF -all e ~all come "NOT PASS", a differenza di quanto avveniva prima dell'utilizzo del DMARC. Ecco una guida rapida al meccanismo SPF all.

di YunesTarada

Tempo di lettura: 4 min
La differenza tra SPF -all e ~all
Indice dei contenuti-

Il meccanismo SPF all è un meccanismo SPF che esiste nel DNS del vostro dominio come record TXT; si trova all'estremità destra di un record SPF, preceduto da "-" o "~". Vediamo la differenza tra i meccanismi SPF -all e ~all per determinare quando è necessario configurarli.

I punti chiave da prendere in considerazione

  1. I meccanismi SPF -all e ~all indicano entrambi "NOT PASS" per l'autenticazione SPF, ma possono essere trattati in modo diverso da alcuni servizi di posta elettronica.
  2. Storicamente, l'SPF Softfail (~all) consentiva di consegnare le e-mail anche se non superavano l'autenticazione, mentre l'Hardfail (-all) respingeva le e-mail che non passavano.
  3. I moderni servizi di posta elettronica spesso gestiscono -all e ~all senza significativi errori di consegna, anche se possono verificarsi occasionali rifiuti con -all.
  4. Per ridurre al minimo i rischi, è consigliabile utilizzare inizialmente il meccanismo Softfail (~all), assicurandosi che il DMARC sia configurato e monitorando i risultati.
  5. L'implementazione del DMARC, insieme a configurazioni SPF corrette, migliora la sicurezza delle e-mail definendo come devono essere gestite le e-mail non autenticate.

SPF -all vs ~all

Entrambi i meccanismi SPF -all e SPF ~all indicano un "NOT PASS" per l'autenticazione SPF. Negli ultimi tempi, per la maggior parte dei provider di servizi di posta elettronica, non ci sono differenze tra il meccanismo -all e ~all e viene restituito lo stesso risultato. Tuttavia, fino a qualche anno fa non era così.

Come funzionava il meccanismo SPF all (Softfail vs Fail) prima di DMARC?

Il DMARC è stato creato molto tempo dopo che SPF era già presente sul mercato come protocollo standard di autenticazione delle e-mail. A quel tempo il meccanismo SPF -all softfail funzionava nel modo seguente: 

Supponiamo che il tuo record SPF sia: 

v=spf1 include:spf.domain.com ~all (dove ~all significa SPF Softfail)

Il vostro server di posta elettronica ricevente avrebbe eseguito una ricerca DNS per interrogare il DNS del mittente per il loro record SPF. Se il dominio Return-path dell'email non era elencato nel record del mittente, il server ricevente avrebbe restituito un risultato SPF "NOT PASS" ma avrebbe consegnato l'email alla casella di posta del destinatario.

Ora supponiamo che il tuo record SPF sia: 

v=spf1 include:spf.domain.com -all (dove -all significa SPF Fail)

Il vostro server di posta elettronica ricevente avrebbe eseguito una ricerca DNS per interrogare il DNS del mittente per il loro record SPF. Se il dominio Return-path dell'email non era elencato nel record del mittente, il server ricevente avrebbe restituito un risultato SPF "NOT PASS", ma in questo caso, l'email sarebbe stata rifiutata e non consegnata alla casella di posta del destinatario.

Leggi di più sulla storia di Sender Policy Framework

Semplificate l'SPF con PowerDMARC!

Prova di 15 giorniPrenota una demo

Come gestiscono ora i fornitori di servizi e-mail il meccanismo SPF -all vs ~all?

Mentre siete liberi di usare SPF -all o ~all per la maggior parte dei provider di posta elettronica al momento attuale senza dovervi preoccupare di fallimenti di consegna per le email legittime, ci può essere una situazione in cui un server rifiuta la vostra email nel caso dell'attributo -all.

Per essere più sicuri, potete evitare di usare il meccanismo SPF hard fail -all mentre create il vostro record SPF. Ecco come fare:

  • Aprire il generatore di record SPF di PowerDMARC generatore di record SPF per iniziare a creare un record gratuitamente
  • Dopo aver incluso gli indirizzi IP e i domini o i tuoi mittenti di posta elettronica, scorri fino all'ultima sezione designata per istruire i server di posta elettronica su quanto dovrebbero essere rigorosi durante la verifica delle tue e-mail
  • Scegli l'opzione "Soft-fail" prima di premere il pulsante "Generate SPF Record".

Cosa raccomandiamo? SPF - tutto o SPF ~ tutto

I problemi di recapitabilità delle e-mail relativi al meccanismo SPF -all possono verificarsi in occasioni molto rare. Non è un problema ricorrente che si incontra spesso. Per assicurarti di non incorrere mai in questo problema, puoi prendere i seguenti provvedimenti:

  • Configurare DMARC per le vostre e-mail e attivate la segnalazione DMARC
  • Impostate la vostra politica DMARC sul monitoraggio e ispezionate attentamente i risultati dell'autenticazione SPF per individuare eventuali incongruenze nella deliverability delle e-mail.
  • Se tutto va bene, puoi usare il meccanismo -all nel tuo record SPF. Raccomandiamo di usare l'attributo hard fail poiché afferma che sei sicuro dell'autenticità delle tue email, il che può aumentare la reputazione del tuo dominio

Se attualmente non siete sicuri di usare SPF -all, potete seguire questi passi:

Risoluzione di altri errori SPF

Durante l'utilizzo di strumenti online puoi spesso imbatterti nel "Nessun record SPF trovato", che è un comune stato di errore derivante da un risultato nullo restituito quando un server ha cercato il record SPF del tuo dominio. Abbiamo coperto un articolo in dettaglio parlando di questo problema e aiutando gli utenti a risolverlo. Clicca sul testo collegato per saperne di più!

Se hai DMARC in atto per il tuo dominio oltre a SPF, i server di posta elettronica controlleranno la politica DMARC del tuo dominio per stabilire come vuoi che le email che falliscono l'autenticazione siano trattate. Questa politica per DMARC determinerà se le tue email saranno consegnate, messe in quarantena o rifiutate. 

Il rifiuto DMARC aiuta a proteggere il tuo dominio da una varietà di attacchi di impersonificazione come lo spoofing, il phishing e il ransomware.

Ultimi messaggi di Yunes Tarada (vedi tutti)
Tipi di attacchi di ingegneria sociale nel 2022Attacchi di ingegneria socialeResilienza informatica e DMARCResilienza informatica e DMARC