SPF Softfail Vs SPF Hardfail: Wat is het verschil?

Blog

Leer hoe u een DMARC-record correct kunt aanmaken en publiceren. Stapsgewijze DNS-configuratie, praktijkvoorbeelden, verificatietips en veelgemaakte fouten die u moet vermijden.

door YunesTarada

Laatst bijgewerkt:
9 leestijd: 9 minuten
SPF Softfail Vs SPF Hardfail: Wat is het verschil?
Inhoudsopgave-

Leer het verschil tussen SPF Softfail en Hardfail, best practices en hoe u uw zakelijke e-mail kunt beveiligen met PowerDMARC. Complete gids voor IT-managers en e-mailbeheerders.

Belangrijkste Conclusies

  1. SPF hardfail geeft aan dat een e-mailafzender niet geautoriseerd is, wat vaak leidt tot afwijzing van de e-mail.
  2. SPF softfail suggereert dat de e-mail nog steeds afkomstig kan zijn van een onbevoegde afzender, maar wijst de e-mail niet ronduit af, zodat verdere controle mogelijk is.
  3. Het implementeren van een strikt SPF-beleid is essentieel om onbevoegde e-mailimitatie te voorkomen en de merkreputatie te beschermen.
  4. De combinatie van SPF met DMARC voegt een essentiële beveiligingslaag toe, die een betere afhandeling van e-mailverificatiestoringen mogelijk maakt.
  5. Door de resultaten van SPF-authenticatie regelmatig te controleren, kunt u een optimale e-mailbeveiliging en mogelijke kwetsbaarheden te voorkomen.

Met SPF (Sender Policy Framework) kunt u uw systeem op twee manieren configureren om te reageren op authenticatiefouten: Hardfail of Softfail. In deze blog leggen onze experts bij PowerDMARC u uit wat de verschillen zijn tussen SPF hardfail en softfail, hoe u beide kunt configureren en geven ze praktijkvoorbeelden voor IT- en beveiligingsteams. Laten we meteen beginnen!

Wat is een SPF-fout?

Voordat we ingaan op de verschillen tussen hard fail en soft fail, is het essentieel om te begrijpen wat een SPF-fout is en hoe SPF-authenticatie werkt.

SPF (Sender Policy Framework) is een e-mailverificatieprotocol waarmee domeineigenaren kunnen aangeven welke IP-adressen bevoegd zijn om namens hun domein e-mails te versturen. Wanneer een e-mail wordt ontvangen, controleert de ontvangende server het IP-adres van de afzender aan de hand van het SPF-record van het domein om te bepalen of de afzender bevoegd is.

De SPF-controle wordt uitgevoerd op basis van het retourpaddomein, dat de identiteit vertegenwoordigt die wordt geverifieerd. Het is van cruciaal belang dat het SPF-record correct wordt gepubliceerd om een goede SPF-verificatie te garanderen en problemen met de afleverbaarheid van e-mails te voorkomen.

SPF-authenticatieresultaten

  • Pass: Het IP-adres van de afzender is geautoriseerd in het SPF-record.
  • Fout (ernstige fout): het IP-adres van de afzender is expliciet niet geautoriseerd (-all)
  • Soft Fail: Het IP-adres van de afzender is waarschijnlijk niet geautoriseerd (~alle)
  • Neutraal: geen beleidsverklaring over de afzender (?all)
  • Geen: Er bestaat geen SPF-record voor het domein.
  • TempError: Tijdelijke DNS-lookup mislukt
  • PermError: Permanente fout in SPF-recordsyntaxis

Elk SPF-resultaat is een expliciete verklaring over de autorisatiestatus van de afzender. Een 'fail' is een sterke expliciete verklaring dat de afzender niet geautoriseerd is, terwijl een 'softfail' een zwakke verklaring is die wijst op een waarschijnlijk maar niet definitief gebrek aan autorisatie.

Er is sprake van een SPF-fout wanneer de authenticatiecontrole een 'Fail' of 'Soft Fail'-resultaat oplevert, wat aangeeft dat de verzendende server mogelijk niet bevoegd is om e-mails voor dat domein te verzenden.

SPF Hard Fail versus Soft Fail: de belangrijkste verschillen uitgelegd

De onderstaande tabel legt het basisverschil uit tussen SPF hardfail en softfail.

SPF-syntaxisType mislukkingStatusOvereenkomstige actie ondernomen door de ontvangerTypisch gebruiksscenario
v=spf1 include:domain1.com -allHardfailAfzender onbevoegdE-mail kan worden geweigerdProductiedomeinen met strenge beveiliging
v=spf1 include:domain1.com ~allSoftfailAfzender is mogelijk onbevoegdE-mail wordt afgeleverd maar gemarkeerd als verdacht of mogelijk frauduleusTestfase of complexe e-mailconfiguraties

Opmerking: Het hardfail-mechanisme (‘-all’) is ontworpen om maximale bescherming te bieden tegen phishing en vervalste e-mails door berichten van ongeautoriseerde afzenders te weigeren. Een onjuiste configuratie kan echter leiden tot onbestelbare e-mails en een bouncepercentage van 100% voor ongeautoriseerde bronnen.

In de SPF-recordsyntaxis zijn alleen het IP-adres of de IP-adressen die in het SPF-record zijn opgegeven, bevoegd om namens het domein e-mail te verzenden. Alle andere bronnen worden beschouwd als ongeautoriseerde afzenders en kunnen worden geblokkeerd of als verdacht worden gemarkeerd, afhankelijk van het type fout.

SPF Hardfail versus Softfail: zoals gedefinieerd in RFC 

Volgens RFC 7208:

  • Een "Fail" resultaat voor SPF geeft direct aan dat de afzender van de e-mail niet geautoriseerd is door het verzendende domein. "Fail" is synoniem met het Hardfail resultaat (-all) dat duidelijk wijst op ongeautoriseerd domeingebruik. 
  • Een veel meer ontspannen benadering is echter het configureren van SPF Softfail, wat een "waarschijnlijke" indicatie is van ongeoorloofd domeingebruik.

 

PowerDMARC SPF-banner

SPF gaat stilletjes kapot. Je merkt het pas als er geen e-mails meer binnenkomen.

PowerDMARC heeft meer dan 10.000 klanten geholpen met:

Eén dashboard voor SPF, DMARC en DKIM
Geautomatiseerde monitoring — geen gedoe met het doorzoeken van ruwe rapporten
Directe meldingen bij verkeerde configuraties en hiaten in het beleid
Schaalbaarheid binnen multi-tenant klantdomeinen
 

De eerste 15 dagen zijn gratis

Meld je aan voor een gratis proefperiode

Afhandeling van ontvangstfouten voor Hardfail vs. Softfail 

In sectie 8.4definieert RFC de volgende scenario's voor het afhandelen van resultaten voor SPF hardfail versus SPF softfail resultaten: 

1. SPF Hardfail / Mislukt 

Voor het "Fail" of hardfail resultaat kan je ontvanger server ervoor kiezen om de e-mail die niet geautoriseerd is te weigeren. Als het een SMTP-transactie is, moet een 550 5.7.1 foutcode worden geretourneerd met een toepasselijke foutbeschrijving. 

Als de ontvangende server de e-mail niet afwijst tijdens de SMTP-transactie, dan raadt de RFC ontvangers aan om de SPF-resultaten te registreren in de header Received-SPF of Authentication-Results. 

2. SPF Softfail

Als flexibeler beleid geeft Softfail aan dat het administratieve beheerdomein wel vermoedt dat de e-mail ongeautoriseerd is, maar het niet direct wil afwijzen. In dit geval wordt het bericht afgeleverd, maar met een waarschuwing voor verdere controle.  

Welke SPF-foutmodus moet u gebruiken?

De meeste domeinen, waaronder die van grote organisaties en technologiebedrijven, gebruiken een combinatie van SPF-beleidsregels, afhankelijk van hun specifieke behoeften en e-mailpraktijken. De keuze tussen SPF hard fail en soft fail hangt af van de e-mailinfrastructuur, beveiligingsvereisten en risicotolerantie van uw organisatie. Hier volgt een besluitvormingskader om u te helpen bij uw keuze:

Kies SPF Hard Fail (-all) wanneer:

  • Je hebt volledige controle over alle bronnen voor het verzenden van e-mails.
  • Uw e-mailinfrastructuur is volwassen en goed gedocumenteerd.
  • Beveiliging heeft voorrang op leverbaarheid
  • Je maakt zelden gebruik van e-maildiensten van derden.
  • U beschikt over uitgebreide DMARC-monitoring.

Kies SPF Soft Fail (~all) Wanneer:

  • Je implementeert SPF voor het eerst
  • U gebruikt meerdere e-maildiensten van derden.
  • De leverbaarheid van e-mails is cruciaal voor bedrijfsactiviteiten
  • U hebt complexe instellingen voor het doorsturen of doorgeven van e-mails.
  • Je bent nog steeds bezig met het identificeren van alle legitieme e-mailbronnen.

Veelvoorkomende gebruikssituaties voor SPF Hard Fail en Soft Fail

SPF Hard Fail-gebruiksscenario's:

  • Financiële instellingen: Banken en kredietverenigingen die strenge e-mailverificatie vereisen
  • Overheidsinstanties: Organisaties met hoge veiligheidseisen
  • Domeinen voor merkbescherming: Domeinen die uitsluitend worden gebruikt voor merkbescherming
  • Transactionele e-maildomeinen: Speciale domeinen voor geautomatiseerde e-mails

SPF Soft Fail-gebruiksscenario's:

  • Marketingdomeinen: Domeinen die gebruikmaken van meerdere e-mailmarketingplatforms
  • SaaS-bedrijven: Organisaties met complexe e-mailinfrastructuren
  • Onderwijsinstellingen: Universiteiten met meerdere afdelingen en e-mailsystemen
  • Testomgevingen: Domeinen in SPF-implementatiefase

Praktijkscenario: Als u een IT-manager bent die toezicht houdt op de e-mailbeveiliging voor een middelgroot SaaS-bedrijf dat Google Workspace, Salesforce en Mailchimp gebruikt, kunt u beginnen met een soft fail om ervoor te zorgen dat alle legitieme e-mails worden afgeleverd terwijl u uw SPF-record controleert en verfijnt.

Wanneer moet u SPF Hard Fail of Soft Fail gebruiken?

In het geval van SMTP e-mail relaying kun je SPF softfail beschouwen als een veiligere keuze dan hardfail. Laten we eens kijken hoe: 

SMTP e-mail relaying is de automatische overdracht van berichten van de ene server naar de andere aflevering. Dit betekent dat de e-mail wordt doorgestuurd naar een server waarvan het IP-adres niet voorkomt in het SPF-record van je domein. Dit maakt het een onbevoegde afzender voor uw e-mail, hoewel het in de praktijk legitiem is. 

Heb je enige controle over deze activiteit? Het antwoord is nee, omdat de e-mail automatisch wordt doorgestuurd aan de kant van de ontvanger. Onder deze omstandigheden zal SPF falen voor de doorgestuurde e-mails. 

Hier kan een SPF hardfail beleid je in de problemen brengen! Zoals we al weten, kunnen de hardfail mechanismen leiden tot het weigeren van mislukte berichten. Daarom kunnen deze doorgestuurde e-mails mogelijk niet worden afgeleverd als je domein is geconfigureerd met een hardfailbeleid. 

Het ergste? De maatregelen die zijn genomen door de SPF-foutbehandelingsbeleid het DMARC- en DKIM-beleid DMARC- en DKIM- authenticatieresultaten. In wezen kan het zijn dat zelfs als DKIM en vervolgens DMARC worden goedgekeurd, de e-mail toch niet wordt afgeleverd.   

Zoals gespecificeerd onder RFC 7489 paragraaf-10.1 als SPF-controles worden uitgevoerd vóór DMARC-bewerkingen, kan de aanwezigheid van een "-" voorvoegsel op het SPF-mechanisme van een afzender, zoals "-all", leiden tot onmiddellijke afwijzing van e-mails. Deze afwijzing vindt vroeg in het e-mailverwerkingsproces plaats, zelfs voordat DMARC-verwerking plaatsvindt.

Als het SPF-beleid van een e-mailafzender een '-all'-mechanisme bevat, wat duidt op een strikt beleid om e-mails die de SPF-controles niet doorstaan te weigeren, kan dit ertoe leiden dat berichten worden geweigerd voordat er DMARC-beleidsregels of verwerking plaatsvinden. Deze vroege weigering kan plaatsvinden ongeacht of de e-mail uiteindelijk de DMARC-authenticatie zou doorstaan.

Onder deze omstandigheden wint SPF Soft fail het dus van het Hard fail-mechanisme. Het is een aanzienlijk minder risicovolle aanpak die ruimte laat voor herziening door geautoriseerde e-mails alleen te markeren in plaats van ze te weigeren. 

SPF-bypass- en relay-kwetsbaarheden

Inzicht in mogelijke kwetsbaarheden bij de implementatie van SPF is cruciaal voor het handhaven van robuuste e-mailbeveiliging:

Veelvoorkomende scenario's voor het omzeilen van SPF:

  • E-mail doorsturen: Legitieme e-mails die via diensten van derden worden doorgestuurd, kunnen SPF niet doorstaan.
  • Mailinglijst-servers: Berichten die via mailinglijsten worden verzonden, veranderen vaak het IP-adres van de afzender.
  • Cloud-e-maildiensten: dynamische IP-reeksen in clouddiensten kunnen SPF-fouten veroorzaken
  • Mobiele e-mailclients: e-mails die vanaf mobiele apparaten via verschillende netwerken worden verzonden

Best practices voor risicobeperking:

  • Implementeer DKIM naast SPF voor extra authenticatie
  • Gebruik DMARC om SPF-fouten op een elegante manier af te handelen
  • Controleer en werk SPF-records regelmatig bij
  • Controleer e-mailverificatierapporten op afwijkingen

Hoe werken SPF-records?

Om SPF voor je e-mails te implementeren, moet je een SPF-record aanmaken en publiceren in de DNS van je domein. Een typisch voorbeeld van een SPF record is als volgt:

v=spf1 include:_spf.google.com ~all

In dit SPF-record autoriseer je alle e-mails die afkomstig zijn van IP-adressen die in het SPF-record van Google staan. Het faalmechanisme is helemaal aan het einde van het record gedefinieerd (~all), namelijk Softfail. 

Een SPF-record definieert dus de gebruikte protocolversie, de verzendbronnen die je autoriseert en het faalmechanisme. Wanneer je dit record in je DNS publiceert, zorg je ervoor dat alleen geautoriseerde afzenders e-mails mogen versturen namens je domein. Als een niet-geautoriseerde bron zich voor u probeert uit te geven, faalt SPF met het type faalmechanisme dat in uw record is gedefinieerd. 

Veilige SPF-implementatiestrategieën

Een optimale implementatie van SPF is essentieel om e-mailcommunicatie te beveiligen tegen ongeoorloofde spoofing en phishing aanvallen. Door best practices te volgen, kunnen organisaties hun e-mailbeveiliging verbeteren en hun merkreputatie beschermen. Hier volgen enkele strategieën en richtlijnen voor het veilig implementeren van SPF:

1. Gebruik een SPF-recordgeneratietool

Het SPF implementatieproces begint met het aanmaken van records. Je kunt je record handmatig aanmaken door een goed begrip te hebben van SPF tags. Deze methode is echter gevoelig voor menselijke fouten. Idealiter kun je onze geautomatiseerde SPF generator tool gebruiken. Hiermee kun je een foutloos, nauwkeurig SPF-record maken dat is aangepast aan de behoeften van je organisatie.

2. Gebruik de juiste SPF-mechanismen

Gebruik SPF-mechanismen zoals "include", "a" en "IP4" om de toegestane verzendbronnen te specificeren. Wees voorzichtig bij het selecteren van mechanismen op basis van uw e-mailinfrastructuur en zorg ervoor dat ze een accurate weergave zijn van uw e-mailverzendpraktijken.

3. Uw SPF Record onderhouden en optimaliseren

Uw Sender Policy Framework-record moet worden onderhouden en geoptimaliseerd om storingen te voorkomen. SPF werkt vaak niet meer wanneer uw geautoriseerde afzenders de limiet van 10 DNS-lookups aan de kant van de ontvanger overschrijden. Om een optimale lookup-limiet te behouden, wordt onze gehoste SPF-oplossing oplossing de beste keuze! Wij helpen domeineigenaren om SPF met één klik te optimaliseren, zodat ze onder de opzoek- en ongeldigheidslimieten blijven en een foutloze SPF behouden. 

4. SPF combineren met DMARC

implementeren DMARC (Domain-based Message Authentication, Reporting, and Conformance) naast SPF biedt een extra (maar essentiële) beveiligingslaag. DMARC stelt domeineigenaren in staat om beleidsregels op te stellen voor het afhandelen van e-mail, inclusief de te nemen maatregelen bij e-mails die niet voldoen aan SPF.

DMARC heeft bewezen resultaten bij het minimaliseren van aanvallen op e-mailfraude, compromittering en imitatie. 

5. Strikt beleid voor SPF bij falen implementeren

Configureer uw record om SPF-verificatie mislukkingen met strikte beleidsregels, zoals het weigeren of markeren van e-mails van domeinen met mislukkingen. Hiervoor kun je SPF hardfail of SPF softfail implementeren in plaats van een neutraal beleid.

6. De resultaten van SPF-authenticatie controleren

implementeren DMARC-rapporten om SPF-authenticatieresultaten te controleren, zoals SPF pass en fail, evenals uitlijningsfouten. A DMARC-analyser kan je helpen om SPF verificatiegegevens te analyseren op een georganiseerde, voor mensen leesbare manier.

Laatste woorden

Er is geen direct antwoord op de vraag "Wat is beter? SPF hardfail of softfail". Hoewel de hardfail tag je een betere beveiliging kan bieden, wordt het kiezen van de juiste oplossing voor het controleren van je verzendbronnen cruciaal. 

PowerDMARC's geavanceerde domeinauthenticatie- en rapportageplatform biedt uitgebreide SPF- en DMARC-oplossingen oplossingen voor bedrijven van elke omvang. 

Probeer het SOC2-gecertificeerde platform dat door duizenden organisaties wereldwijd wordt vertrouwd. Start vandaag nog uw gratis proefperiode vandaag nog!

Veelgestelde Vragen

1. Wat is de reden voor een SPF soft fail?

SPF soft fail treedt op wanneer een e-mail wordt verzonden vanaf een IP-adres dat niet expliciet is geautoriseerd in het SPF-record van het domein, maar de domeineigenaar heeft een "~all"-mechanisme geconfigureerd in plaats van "-all". Dit geeft aan dat de afzender "waarschijnlijk niet geautoriseerd" is, maar zorgt ervoor dat de e-mail met een waarschuwingsvlag wordt afgeleverd in plaats van direct te worden geweigerd.

2. Wat is 550 5.7.0 SPF hard fail?

De foutmelding '550 5.7.0 SPF hard fail' treedt op wanneer een e-mailserver een bericht weigert omdat het IP-adres van de afzender niet is geautoriseerd in het SPF-record van het domein dat eindigt op '-all'. Dit is een permanente fout die de bezorging van e-mails verhindert en aangeeft dat de ontvangende server een strikt SPF-beleid hanteert.

3. Wanneer zou je een SPF hard fail krijgen?

U krijgt een SPF-hard fail wanneer: 1) Het verzendende IP-adres niet in het SPF-record van het domein staat vermeld, 2) Het SPF-record eindigt met "-all" (hard fail-beleid), 3) De e-mail wordt verzonden vanaf een niet-geautoriseerde server of dienst, 4) Er configuratiefouten in het SPF-record staan, of 5) Het domein strikte e-mailverificatiebeleidsregels heeft geïmplementeerd.

4. Wat is het hard fail-symbool in SPF?

Het hard fail-symbool in SPF is het minteken "-" gevolgd door "all" (geschreven als "-all"). Dit mechanisme vertelt ontvangende e-mailservers om alle e-mails te weigeren die niet overeenkomen met de geautoriseerde IP-adressen of domeinen die in het SPF-record staan vermeld. Het is het strengste SPF-beleid en biedt het hoogste niveau van e-mailauthenticatiebeveiliging.

5. Moet ik SPF hard fail of soft fail gebruiken voor mijn bedrijf?

Voor de meeste bedrijven is het raadzaam om tijdens de implementatie- en testfase te beginnen met SPF soft fail (~all) om te voorkomen dat legitieme e-mails worden geblokkeerd. Nadat u alle geautoriseerde verzendbronnen hebt geïdentificeerd en grondig hebt getest, kunt u overwegen om over te stappen op hard fail (-all) voor maximale veiligheid. Organisaties met complexe e-mailinfrastructuren of diensten van derden moeten het risico van het blokkeren van legitieme e-mails zorgvuldig evalueren voordat ze hard fail implementeren.

Laatste berichten van Yunes Tarada (Bekijk alle berichten)
Laatst bijgewerkt:
Hoe vind je de beste DMARC-oplossingen voor je bedrijf?beschermen tegen spoofing blogE-mail veiligheid 101 tegen cryptozwendel