La differenza tra SPF -all e SPF ~all | SPF -all vs ~all

SPF tutti vs tutti

SPF esiste nel DNS del vostro dominio come un record TXT con un mucchio di meccanismi e modificatori che stanno per istruzioni specifiche. Il meccanismo SPF all è presente all'estremità destra di un record SPF, preceduto da "-" o "~". Diamo un'occhiata alla differenza tra i meccanismi SPF -all e ~all per determinare quando dovreste configurarli.

SPF -all vs ~all

Entrambi i meccanismi SPF -all e ~all significano "NOT PASS" per l'autenticazione SPF. Negli ultimi tempi, per la maggior parte dei fornitori di servizi di posta elettronica, non c'è differenza tra il meccanismo -all e ~all, e viene restituito lo stesso risultato. Tuttavia, questo non era il caso qualche anno fa.

Come funzionava il meccanismo SPF all (Softfail vs Fail) prima di DMARC?

DMARC è stato creato molto tempo dopo che SPF era già sul mercato come protocollo standard di autenticazione della posta elettronica. A quel tempo il meccanismo SPF -all softfail funzionava nel seguente modo: 

Supponiamo che il tuo record SPF sia: 

v=spf1 include:spf.domain.com ~all (dove ~all significa SPF Softfail)

Il vostro server di posta elettronica ricevente avrebbe eseguito una ricerca DNS per interrogare il DNS del mittente per il loro record SPF. Se il dominio Return-path dell'email non era elencato nel record del mittente, il server ricevente avrebbe restituito un risultato SPF "NOT PASS" ma avrebbe consegnato l'email alla casella di posta del destinatario.

Ora supponiamo che il tuo record SPF sia: 

v=spf1 include:spf.domain.com -all (dove -all significa SPF Fail)

Il vostro server di posta elettronica ricevente avrebbe eseguito una ricerca DNS per interrogare il DNS del mittente per il loro record SPF. Se il dominio Return-path dell'email non era elencato nel record del mittente, il server ricevente avrebbe restituito un risultato SPF "NOT PASS", ma in questo caso, l'email sarebbe stata rifiutata e non consegnata alla casella di posta del destinatario.

Leggi di più sulla storia di Sender Policy Framework

Come gestiscono ora i fornitori di servizi e-mail il meccanismo SPF -all vs ~all?

Mentre siete liberi di usare SPF -all o ~all per la maggior parte dei provider di posta elettronica al momento attuale senza dovervi preoccupare di fallimenti di consegna per le email legittime, ci può essere una situazione in cui un server rifiuta la vostra email nel caso dell'attributo -all.

Per essere più sicuri, potete evitare di usare il meccanismo SPF hard fail -all mentre create il vostro record SPF. Ecco come fare:

  • Aprire il generatore di record SPF di PowerDMARC generatore di record SPF per iniziare a creare un record gratuitamente
  • Dopo aver incluso gli indirizzi IP e i domini o i tuoi mittenti di posta elettronica, scorri fino all'ultima sezione designata per istruire i server di posta elettronica su quanto dovrebbero essere rigorosi durante la verifica delle tue e-mail
  • Scegli l'opzione "Soft-fail" prima di premere il pulsante "Generate SPF Record".

SPF tutti

Cosa raccomandiamo? SPF - tutto o SPF ~ tutto

I problemi di recapitabilità delle e-mail relativi al meccanismo SPF -all possono verificarsi in occasioni molto rare. Non è un problema ricorrente che si incontra spesso. Per assicurarti di non incorrere mai in questo problema, puoi prendere i seguenti provvedimenti:

  • Configurare DMARC per le vostre e-mail e attivate la segnalazione DMARC
  • Impostate la vostra politica DMARC sul monitoraggio e ispezionate attentamente i risultati dell'autenticazione SPF per individuare eventuali incongruenze nella deliverability delle e-mail.
  • Se tutto va bene, puoi usare il meccanismo -all nel tuo record SPF. Raccomandiamo di usare l'attributo hard fail poiché afferma che sei sicuro dell'autenticità delle tue email, il che può aumentare la reputazione del tuo dominio

Se attualmente non siete sicuri di usare SPF -all, potete seguire questi passi:

  • Impostare un record SPF usando il meccanismo ~all
  • Configura DMARC per le tue e-mail e abilita la segnalazione DMARC
  • Imposta la tua politica DMARC per rifiutare

Risoluzione di altri errori SPF

Durante l'utilizzo di strumenti online puoi spesso imbatterti nel "Nessun record SPF trovato", che è un comune stato di errore derivante da un risultato nullo restituito quando un server ha cercato il record SPF del tuo dominio. Abbiamo coperto un articolo in dettaglio parlando di questo problema e aiutando gli utenti a risolverlo. Clicca sul testo collegato per saperne di più!

Se hai DMARC in atto per il tuo dominio oltre a SPF, i server di posta elettronica controlleranno la politica DMARC del tuo dominio per stabilire come vuoi che le email che falliscono l'autenticazione siano trattate. Questa politica per DMARC determinerà se le tue email saranno consegnate, messe in quarantena o rifiutate. 

Il rifiuto DMARC aiuta a proteggere il tuo dominio da una varietà di attacchi di impersonificazione come lo spoofing, il phishing e il ransomware.

SPF tutti

Ultimi messaggi di Syuzanna Papazyan (vedi tutti)
/da
Ti potrebbe interessare anche
correggere l'autenticazione spfPerché l'autenticazione SPF fallisce? Come risolvere il fallimento di SPF?
SPF SoftfailCome risolvere "SPF Softfail Domain Does Not Designate IP as Permitted Sender"?
Tipi di attacchi di ingegneria sociale nel 2022Attacchi di ingegneria socialeResilienza informatica e DMARCResilienza informatica e DMARC