Het verschil tussen SPF -all vs ~all

Blog

Mailbox providers behandelen SPF -all en ~all mechanismen nu als "NOT PASS", in tegenstelling tot voordat DMARC werd gebruikt. Hier is een korte handleiding voor het SPF all mechanisme.

door YunesTarada

Leestijd: 4 min
Het verschil tussen SPF -all vs ~all
Inhoudsopgave-

Het SPF all mechanisme is een SPF mechanisme dat bestaat in het DNS van je domein als een TXT record; het bevindt zich aan het rechter uiteinde van een SPF record, voorafgegaan door "-" of "~". Laten we eens kijken wat het verschil is tussen de SPF -all en ~all mechanismen om te bepalen wanneer je ze moet configureren.

Belangrijkste punten

  1. De SPF -all en ~all mechanismen geven beide "NOT PASS" aan voor SPF authenticatie, maar kunnen verschillend behandeld worden door sommige e-maildiensten.
  2. In het verleden stond de SPF Softfail (~all) toe dat e-mails werden afgeleverd, zelfs als ze niet slaagden voor authenticatie, terwijl de Hardfail (-all) e-mails afwees die niet slaagden.
  3. Moderne e-maildiensten verwerken -all en ~all vaak zonder noemenswaardige afleverproblemen, hoewel af en toe afwijzingen kunnen voorkomen met -all.
  4. Om het risico tot een minimum te beperken, is het raadzaam om in eerste instantie het Softfail (~all) mechanisme te gebruiken en er tegelijkertijd voor te zorgen dat DMARC is geconfigureerd en de resultaten te controleren.
  5. Het implementeren van DMARC samen met de juiste SPF-configuraties verbetert de beveiliging van e-mail door te definiëren hoe niet-geverifieerde e-mails moeten worden behandeld.

SPF -all vs ~all

Zowel het SPF -all en SPF ~all mechanisme betekenen een "NOT PASS" voor SPF authenticatie. De laatste tijd zijn er voor de meeste e-mailproviders geen verschillen tussen het -all en ~all mechanisme en wordt hetzelfde resultaat geretourneerd. Dit was een paar jaar geleden echter niet het geval.

Hoe werkte het SPF all (Softfail vs Fail) mechanisme vóór DMARC?

DMARC werd gecreëerd lang nadat SPF al op de markt was als het standaardprotocol voor e-mailauthenticatie. Op dat moment werkte het SPF -all softfail mechanisme op de volgende manier: 

Stel dat je SPF-record was: 

v=spf1 include:spf.domain.com ~all (waarbij ~all staat voor SPF Softfail)

De e-mailserver van de ontvanger zou een DNS-opzoeking hebben uitgevoerd om het DNS van de afzender te vragen naar zijn SPF-record. Als het Return-path domein van de e-mail niet in het record van de afzender stond, zou de ontvangende server een SPF "NOT PASS" resultaat hebben geretourneerd, maar de e-mail wel hebben afgeleverd afgeleverd in de inbox van de ontvanger.

Stel nu dat je SPF-record was: 

v=spf1 include:spf.domain.com -all (waarbij -all staat voor SPF Fail)

De e-mailserver van de ontvanger zou een DNS-opzoeking hebben uitgevoerd om het DNS van de afzender te vragen naar zijn SPF-record. Als het Return-path domein van de e-mail niet in het record van de afzender stond, zou de ontvangende server een SPF "NOT PASS" resultaat teruggestuurd hebben, maar in dit geval zou de e-mail zijn geweest afgewezen en niet afgeleverd in de inbox van de ontvanger.

Lees meer over de geschiedenis van het Sender Policy Framework

Vereenvoudig SPF met PowerDMARC!

15 dagen op proefBoek een demo

Hoe gaan e-mailproviders nu om met het SPF -all vs ~all mechanisme?

Hoewel je op dit moment vrij bent om SPF -all of ~all te gebruiken voor de meeste mailbox providers zonder dat je je zorgen hoeft te maken over mislukte bezorging van legitieme e-mails, kan er een situatie ontstaan waarbij een server je e-mail weigert in het geval van het -all attribuut.

Voor de zekerheid kun je het SPF hard fail -all mechanisme vermijden bij het aanmaken van je SPF record. Dit is hoe je het doet:

  • Open de PowerDMARC SPF record generator om te beginnen met het gratis aanmaken van een record
  • Nadat je de IP-adressen en domeinen van je e-mailafzenders hebt toegevoegd, scroll je naar beneden naar de laatste sectie die is bedoeld om e-mailservers te instrueren hoe streng ze moeten zijn bij het verifiëren van je e-mails
  • Kies de optie "Soft-fail" voordat u op de knop "Generate SPF Record" klikt.

Wat raden we aan? SPF -all of SPF ~all

De problemen met e-mail deliverability die te maken hebben met het SPF -all mechanisme kunnen zich in zeer zeldzame gevallen voordoen. Dit is geen terugkerend probleem dat je vaak zult tegenkomen. Om ervoor te zorgen dat je dit probleem nooit tegenkomt, kun je de volgende stappen nemen:

  • configureren DMARC voor uw e-mails en schakel DMARC-rapportage in
  • Stel je DMARC-beleid in op monitoring en inspecteer je SPF-verificatieresultaten nauwkeurig om inconsistenties in de e-mail deliverability te ontdekken.
  • Als alles goed is, kun je het -all mechanisme gebruiken in je SPF record. We raden het gebruik van het hard fail attribuut aan, omdat het bevestigt dat je zeker bent van de authenticiteit van je e-mails, wat de reputatie van je domein kan verbeteren.

Als je op dit moment twijfelt over het gebruik van SPF -all, kun je deze stappen volgen:

Andere SPF-fouten oplossen

Tijdens het gebruik van online tools kom je vaak het bericht "Geen SPF-record gevonden"Dit is een veelvoorkomende foutmelding als gevolg van een nulresultaat dat wordt geretourneerd wanneer een server het SPF-record van je domein heeft opgezocht. We hebben een artikel gewijd aan dit probleem en helpen gebruikers om het op te lossen. Klik op de gelinkte tekst voor meer informatie!

Als u DMARC heeft ingesteld voor uw domein bovenop SPF, zullen email servers de DMARC policy van uw domein controleren om te bepalen hoe u emails wilt behandelen die niet geauthenticeerd kunnen worden. Dit DMARC beleid zal bepalen of uw emails worden afgeleverd, in quarantine worden geplaatst, of worden geweigerd. 

DMARC-weigering helpt je domein te beschermen tegen verschillende imitatieaanvallen zoals spoofing, phishing en ransomware.

Laatste berichten van Yunes Tarada (Bekijk alle berichten)
Typen social engineering-aanvallen in 2022Social engineering-aanvallenCyberweerbaarheid en DMARCCyberweerbaarheid en DMARC