Het verschil tussen SPF -all en ~all
door
Laatst bijgewerkt: 7 leestijd: 7 minuten
Inzicht in SPF -all versus ~all-mechanismen is cruciaal voor e-mailverificatie. Ontdek hoe deze SPF-record-eindes de bezorging van e-mails beïnvloeden en welke u moet kiezen voor de beveiliging van uw domein.
Inhoudsopgave
- SPF -all vs ~all
- SPF-record syntaxis en mechanismen uitgelegd
- Hoe werkte het SPF all (Softfail vs Fail) mechanisme vóór DMARC?
- Hoe u het beheer van SPF-records kunt vereenvoudigen
- Hoe gaan e-mailproviders nu om met het SPF -all vs ~all mechanisme?
- Wat raden we aan? SPF -all of SPF ~all
- Veelvoorkomende SPF-recordfouten en probleemoplossing
- Veelgestelde vragen over SPF Alle
Belangrijkste Conclusies
- ~alles en -all geven beide aan dat SPF niet werkt voor niet-geautoriseerde afzenders, maar -all geeft aan dat er strikter wordt gehandhaafd.
- Ontvangende servers kunnen -all agressiever behandelen dan ~all, afhankelijk van het beleid en de reputatiesignalen.
- Begin met ~all tijdens het monitoren om het risico te verminderen dat legitieme e-mails worden geweigerd terwijl u alle verzendbronnen controleert.
- Gebruik -alleen alleen gebruiken nadat SPF-bronnen volledig zijn en DMARC-rapporten bevestigen dat er geen authenticatiegaten zijn.
- DMARC bepaalt hoe authenticatiefouten worden behandeld (monitoren, in quarantaine plaatsen of weigeren).
- Een goede SPF-optimalisatie helpt om de limiet van 10 DNS-lookups te vermijden naarmate uw e-mailinfrastructuur groeit.
SPF begrijpen -all vs ~all is een belangrijk onderdeel van e-mailverificatie, omdat deze mechanismen aangeven hoe ontvangende mailservers e-mails van ongeautoriseerde bronnen moeten behandelen. Beide mechanismen duiden op een SPF-fout, maar ze communiceren verschillende niveaus van handhavingsintentie en kunnen van invloed zijn op hoe e-mail wordt gefilterd of geweigerd, afhankelijk van het beleid van de ontvanger.
De Het mechanisme verschijnt aan het einde van een SPF-record en wordt voorafgegaan door een kwalificatie zoals – (hardfail) of ~ (softfail). De keuze tussen beide hangt af van hoe volledig uw SPF-record is en of u de authenticatieresultaten actief controleert met behulp van DMARC.
Dit artikel legt uit hoe SPF -all en ~all werken, hoe mailboxproviders ze tegenwoordig interpreteren en wanneer u ze veilig kunt gebruiken zonder de levering van legitieme e-mails in gevaar te brengen.
| Kort antwoord: Gebruik ~all bij het valideren van afzenders en monitoren met DMARC. Ga naar -all alleen wanneer SPF voltooid is en DMARC-rapporten geen legitieme fouten vertonen. |
SPF-record syntaxis en mechanismen uitgelegd
Voordat we ingaan op de verschillen tussen SPF -all en ~all, is het essentieel om de volledige SPF-recordsyntaxis en alle beschikbare mechanismen te begrijpen.
Een SPF-record volgt een specifiek formaat dat ontvangende mailservers vertelt welke IP-adressen en domeinen bevoegd zijn om e-mails namens uw domein te verzenden.
De basissyntaxis van het SPF-record is: v=spf1 [mechanismen] [modificatoren] [all]
SPF Alle mechanisme-opties
Het 'all'-mechanisme aan het einde van uw SPF-record bepaalt wat er gebeurt wanneer een e-mail niet overeenkomt met een van de geautoriseerde afzenders. Hier zijn alle vier de opties:
| Mechanisme | Naam | Resultaat | Actie |
|---|---|---|---|
| #NAAM? | Pas | PASS | Alle e-mails accepteren (niet aanbevolen) |
| ?alles | Neutraal | NEUTRAAL | Geen beleid gespecificeerd |
| ~alles | Softfail | SOFTFAIL | Markeren als verdacht, maar toch bezorgen |
| -all | Hardfail | FAIL | Onbevoegde e-mails weigeren |
Voorbeelden van SPF-records
Hier volgen enkele praktische voorbeelden van SPF-records die verschillende mechanismen gebruiken:
- Basis SPF met Softfail: v=spf1 include:_spf.google.com ~all
- Meerdere inclusies met Hardfail: v=spf1 include:spf.protection.outlook.com include:_spf.salesforce.com -all
- IP-adressen met Softfail: v=spf1 ip4:192.168.1.0/24 ip6:2001:db8::/32 ~all
- Gemengde mechanismen: v=spf1 a mx include:_spf.google.com ip4:203.0.113.0/24 -all
SPF -all vs ~all
Zowel het SPF -all- als het SPF ~all-mechanisme betekenen een 'NOT PASS' voor SPF-authenticatie. Tegenwoordig gebruiken e-mailproviders SPF-resultaten als één van de vele inputfactoren, waarbij DMARC-beleid en reputatiesignalen een grote invloed hebben op de uiteindelijke beslissingen over de bezorging.
Een paar jaar geleden was dit echter nog niet het geval.
Wat betekent v=spf1 -all?
Het SPF-record dat eindigt op "-all" (hardfail) geeft ontvangende mailservers de instructie om alle e-mails te weigeren die niet afkomstig zijn van geautoriseerde afzenders die in uw SPF-record staan vermeld. Dit is het strengste SPF-beleid en biedt de sterkste bescherming tegen e-mailspoofing.
Wat betekent ~all in SPF?
Het "~all" (softfail) mechanisme vertelt ontvangende servers dat e-mails van niet-geautoriseerde afzenders als verdacht moeten worden gemarkeerd, maar toch moeten worden afgeleverd in de inbox van de ontvanger, vaak in de spamfolder.
Hoe werkte het SPF all (Softfail vs Fail) mechanisme vóór DMARC?
DMARC werd gecreëerd lang nadat SPF al op de markt was als het standaardprotocol voor e-mailauthenticatie. Op dat moment werkte het SPF -all softfail mechanisme op de volgende manier:
Stel dat je SPF-record was:
v=spf1 include:spf.domain.com ~all (waarbij ~all staat voor SPF Softfail)
De e-mailserver van uw ontvanger zou een DNS-lookup hebben uitgevoerd om het SPF-record van de afzender op te vragen bij de DNS van de afzender. Als het Return-path-domein van de e-mail niet in het record van de afzender stond, zou de ontvangende server een SPF-resultaat "NOT PASS" hebben geretourneerd, maar zou de e-mail toch in de inbox van de ontvanger zijn afgeleverd.
Stel nu dat je SPF-record was:
v=spf1 include:spf.domain.com -all (waarbij -all staat voor SPF Fail)
De e-mailserver van uw ontvanger zou een DNS-lookup hebben uitgevoerd om het SPF-record van de afzender op te vragen bij de DNS van de afzender. Als het Return-path-domein van de e-mail niet in het record van de afzender stond, zou de ontvangende server een SPF-resultaat "NOT PASS" hebben geretourneerd, maar in dit geval zou de e-mail zijn geweigerd en niet in de inbox van de ontvanger zijn afgeleverd.
Lees meer over de geschiedenis van Sender Policy Framework.
Hoe u het beheer van SPF-records kunt vereenvoudigen
Het beheer van SPF-records kan complex worden naarmate organisaties groeien en meer e-mailverzendingsdiensten toevoegen. De limiet van 10 DNS-lookups is een veelvoorkomend probleem dat leidt tot mislukte SPF-authenticaties wanneer deze wordt overschreden. De geautomatiseerde SPF-beheeroplossing van PowerDMARC pakt deze uitdagingen aan met geavanceerde optimalisatietechnieken.
De SPF-flattening-technologie van PowerDMARC optimaliseert automatisch uw SPF-records zodat ze binnen de DNS-lookup-limieten blijven en tegelijkertijd een uitgebreide e-mailauthenticatie dekking behouden. Dit zorgt ervoor dat uw legitieme e-mails correct blijven authenticeren, zelfs wanneer u nieuwe e-maildiensten en marketingtools toevoegt.
Hoe Pablo Herreros het DNS-beheer vereenvoudigde met PowerDMARC
Hoe gaan e-mailserviceproviders momenteel om met het SPF -all vs ~all-mechanisme?
Moderne e-maildienstverleners zoals Gmail, Outlook en Yahoo hanteren SPF-mechanismen anders dan in het pre-DMARC-tijdperk. De meeste grote providers richten zich nu bij het nemen van beslissingen over de bezorging op DMARC-beleid in plaats van op individuele SPF-resultaten.
- De aanpak van Gmail: Gmail behandelt SPF softfail (~all) als een zwakker authenticatiesignaal, terwijl hardfail (-all) kan de verdenking vergroten voor berichten die niet overeenkomen met geautoriseerde verzendbronnen. De uiteindelijke beslissingen over de bezorging zijn afhankelijk van het DMARC-beleid en andere filtersignalen.
- Microsoft Outlook-verwerking: Outlook.com en Microsoft 365 houden rekening met SPF-resultaten bij hun filtering en authenticatie-evaluatie. Een hardfail (-all) kan strenger worden behandeld dan een softfail (~all), maar de uiteindelijke verwerking hangt nog steeds af van het DMARC-beleid en aanvullende signalen.
Hoewel u op dit moment voor de meeste mailboxproviders vrij bent om SPF -all of ~all te gebruiken zonder dat u zich zorgen hoeft te maken over mislukte bezorging van legitieme e-mails, kan er een situatie ontstaan waarin een server uw e-mail weigert in het geval van het -all-attribuut. Voor de zekerheid kunt u het SPF hard fail -all-mechanisme vermijden bij het aanmaken van uw SPF-record. Dit doet u als volgt:
- Open de PowerDMARC SPF-recordgenerator om gratis een record aan te maken.
- Nadat je de IP-adressen en domeinen van je e-mailafzenders hebt toegevoegd, scroll je naar beneden naar de laatste sectie die is bedoeld om e-mailservers te instrueren hoe streng ze moeten zijn bij het verifiëren van je e-mails
- Kies de optie "Soft-fail" voordat u op de knop "Generate SPF Record" klikt.
Wat raden wij aan? SPF -all of SPF ~all
Gebruik SPF ~all (softfail) als:
- Je bent nieuw op het gebied van e-mailverificatie en wilt de risico's bij het versturen van e-mails minimaliseren.
- Uw organisatie voegt regelmatig nieuwe e-mailverzenddiensten toe.
- Je hebt DMARC-monitoring nog niet geïmplementeerd.
- Je bevindt je in een testfase en wilt de authenticatieresultaten observeren.
Gebruik SPF -all (hardfail) als:
- Je hebt DMARC goed ingesteld en houdt het in de gaten.
- Uw SPF-record bevat alle legitieme verzendbronnen.
- U wilt maximale bescherming tegen e-mailspoofing
- Uw e-mailinfrastructuur is stabiel en goed gedocumenteerd.
De problemen met e-mail deliverability die te maken hebben met het SPF -all mechanisme kunnen zich in zeer zeldzame gevallen voordoen. Dit is geen terugkerend probleem dat je vaak zult tegenkomen. Om ervoor te zorgen dat je dit probleem nooit tegenkomt, kun je de volgende stappen nemen:
- Configureer DMARC voor uw e-mails en schakel DMARC-rapportage
- Stel uw DMARC-beleid in op monitoring en controleer uw SPF-authenticatieresultaten nauwkeurig om eventuele inconsistenties in de afleverbaarheid van e-mails op te sporen.
- Als alles goed is, kun je het -all mechanisme gebruiken in je SPF record. We raden het gebruik van het hard fail attribuut aan, omdat het bevestigt dat je zeker bent van de authenticiteit van je e-mails, wat de reputatie van je domein kan verbeteren.
Als je op dit moment twijfelt over het gebruik van SPF -all, kun je deze stappen volgen:
- Stel een SPF-record in record met behulp van het ~all-mechanisme
- Configureer DMARC voor uw e-mails en schakel DMARC-rapportage in
- Stel uw DMARC-beleid in op weigeren
Hoe veelvoorkomende SPF-recordfouten op te lossen
SPF-fouten vallen meestal in vier categorieën: record ontbreekt, record gedupliceerd, record ongeldig of DNS-lookups mislukt. Gebruik het onderstaande foutlabel om snel de oplossing te vinden.
Veelvoorkomende SPF-fouten zijn onder andere:
- SPF PermError: Uw SPF-record is ongeldig. Dit gebeurt meestal door syntaxfouten of omdat het record de limiet van 10 DNS-lookups overschrijdt (bijvoorbeeld te veel include mechanismen).
- SPF TempError: Een tijdelijk DNS-resolutieprobleem (time-outs, tijdelijke DNS-storingen). Dit kan vanzelf oplossen, maar herhaalde TempErrors duiden meestal op onstabiele DNS- of naamserverproblemen.
- SPF Geen: Er is geen SPF-record gevonden voor het domein dat wordt gecontroleerd. Dit betekent vaak dat SPF niet is gepubliceerd, op het verkeerde domein is gepubliceerd of dat DNS niet is gepropageerd.
- Meerdere SPF-records: Er bestaat meer dan één SPF TXT-record voor hetzelfde domein, waardoor de SPF-evaluatie wordt onderbroken en er vaak authenticatiefouten optreden.
Als u vaak 'Geen SPF-record gevonden', betekent dit dat de ontvangende server een nulresultaat heeft geretourneerd bij het opvragen van uw SPF TXT-record bij DNS. Dit kan worden veroorzaakt door een ontbrekend record, een onjuist gecontroleerd domein (Return-Path versus From) of problemen met DNS-publicatie/propagatie. (Link naar uw artikel 'Geen SPF-record gevonden' hier.)
Als u DMARC naast SPF hebt geconfigureerd, zullen ontvangende servers ook uw DMARC-beleid evalueren om te beslissen hoe berichten die de authenticatie niet doorstaan, moeten worden behandeld. Op basis van uw beleid kunnen berichten die niet door de authenticatie komen, worden afgeleverd, in quarantaine worden geplaatst of worden geweigerd. Een DMARC-weigeringbeleid kan identiteitsfraude zoals spoofing en phishing aanzienlijk verminderen door ontvangers te vertellen niet-geauthenticeerde e-mail te blokkeren.
De SPF-monitoring van PowerDMARC helpt u deze fouten vroegtijdig op te sporen door authenticatieproblemen te signaleren, de oorzaak bloot te leggen en u te begeleiden bij het oplossen ervan, voordat de leverbaarheid wordt beïnvloed.
Veelgestelde Vragen
Wat betekent v=spf1 -all?
Het SPF-record "v=spf1 -all" betekent dat alleen de IP-adressen en domeinen die expliciet in het SPF-record worden vermeld, bevoegd zijn om e-mails voor uw domein te verzenden. Alle e-mails van niet-geautoriseerde bronnen worden geweigerd (hardfail). Dit is het strengste SPF-beleid en biedt maximale bescherming tegen e-mailspoofing.
Wat is het verschil tussen SPF en DKIM?
SPF (Sender Policy Framework) controleert of e-mails afkomstig zijn van geautoriseerde IP-adressen, terwijl DKIM (DomainKeys Identified Mail) cryptografische handtekeningen gebruikt om de integriteit en authenticiteit van e-mails te verifiëren. SPF controleert de verzendende server, terwijl DKIM controleert of de inhoud van de e-mail tijdens het transport niet is gemanipuleerd.
Is SPF bij alle e-mailproviders hetzelfde?
Nee, verschillende e-mailproviders kunnen SPF-resultaten verschillend interpreteren. Hoewel de meeste moderne providers vergelijkbare normen hanteren, kunnen sommige providers soepeler omgaan met softfail-resultaten (~all), terwijl andere providers strikt vasthouden aan hardfail-beleid (-all). DMARC helpt deze gedragingen bij alle providers te standaardiseren.
Wat doet +all in SPF?
Het "+all"-mechanisme in SPF betekent "alles doorlaten" – het staat elk IP-adres toe om e-mails namens uw domein te verzenden. Dit wordt sterk afgeraden, omdat het geen bescherming biedt tegen e-mailspoofing en uw SPF-record in feite ondoeltreffend maakt.
Moet ik SPF -all of ~all gebruiken voor mijn domein?
Begin met ~all (softfail) terwijl u nog bezig bent met het bevestigen van alle legitieme verzendbronnen of uw instellingen aan het wijzigen bent. Schakel pas over naar -all (hardfail) nadat uw SPF-record volledig is en DMARC-rapportage aantoont dat legitieme e-mails de authenticatie niet mislukken, zodat u strengere bescherming kunt afdwingen met minder risico.
Hoe los ik SPF-authenticatiefouten op?
Veelvoorkomende oplossingen zijn onder meer: ontbrekende IP-adressen of domeinen toevoegen aan uw SPF-record, DNS-lookups verminderen om onder de limiet van 10 lookups te blijven, dubbele SPF-records verwijderen en zorgen voor een juiste SPF-recordsyntaxis. Het geautomatiseerde SPF-beheer van PowerDMARC kan helpen om deze problemen automatisch op te lossen.
Expert domein- en e-mailbeveiliging bij PowerDMARC
Yunes is teamleider Operations bij PowerDMARC en heeft expertise in e-mailauthenticatie en -beveiliging. Hij is een door Microsoft gecertificeerde Azure Administrator Associate en beschikt over certificeringen zoals CompTIA A+ en vele andere.
Laatste berichten van Yunes Tarada (Bekijk alle berichten)
