Berichten

SPF bestaat in de DNS van uw domein als een TXT record met een heleboel mechanismen en modifiers die voor specifieke instructies staan. Het SPF all mechanisme staat aan het rechter eind van een SPF record, voorafgegaan door "-" of "~". Laten we eens kijken wat het verschil is tussen de SPF -all en ~all mechanismen om te bepalen wanneer je ze zou moeten configureren.

SPF -all vs ~all

Zowel het SPF -all als het ~all mechanisme betekenen "NOT PASS" voor SPF authenticatie. De laatste tijd is er voor de meeste e-mail service providers geen verschil meer tussen het -all en ~all mechanisme, en wordt hetzelfde resultaat geretourneerd. Dit was een paar jaar geleden echter niet het geval.

Hoe werkte het SPF all (Softfail vs Fail) mechanisme vóór DMARC?

DMARC werd gecreëerd lang nadat SPF reeds op de markt was als het standaard e-mail authenticatieprotocol. In die tijd werkte het SPF -all softfail mechanisme op de volgende manier: 

Laten we aannemen dat je SPF record was: 

v=spf1 include:spf.domain.com ~all (waar ~all SPF Softfail betekent)

De e-mailserver van de ontvanger zou een DNS lookup hebben uitgevoerd om de DNS van de afzender te vragen naar zijn SPF record. Als het Return-path domein van de e-mail niet in het record van de afzender voorkomt, zou de ontvangende server een SPF "NOT PASS" resultaat hebben teruggestuurd, maar zou de e-mail hebben afgeleverd afgeleverd in de inbox van de ontvanger.

Stel nu dat je SPF record was: 

v=spf1 include:spf.domain.com -all (waar -all SPF Fail betekent)

De e-mailserver van de ontvanger zou een DNS lookup hebben uitgevoerd om de DNS van de afzender te vragen naar zijn SPF record. Als het Return-path domein van de e-mail niet in het record van de afzender voorkomt, zou de ontvangende server een SPF "NOT PASS" resultaat hebben teruggezonden, maar in dit geval zou de e-mail zijn geweest geweigerd en niet afgeleverd in de inbox van de ontvanger.

Lees meer over de geschiedenis van Sender Policy Framework

Hoe gaan e-mail service providers nu om met het SPF -all vs ~all mechanisme?

Hoewel je op dit moment vrij bent om SPF -all of ~all te gebruiken voor de meeste postbusproviders zonder je zorgen te hoeven maken over afleveringsfouten voor legitieme emails, kan er een situatie ontstaan waarbij een server je e-mail weigert in geval van het -all attribuut.

Om het veiliger te maken, kunt u het SPF hard fail -all mechanisme vermijden bij het maken van uw SPF record. Dit is hoe je het doet:

  • Open de PowerDMARC SPF record generator om te beginnen met het gratis aanmaken van een record
  • Nadat u de IP-adressen en domeinen van uw e-mailverzenders hebt ingevoerd, gaat u naar het laatste gedeelte dat is bedoeld om e-mailservers te instrueren hoe streng ze moeten zijn bij het verifiëren van uw e-mails
  • Kies de "Soft-fail" optie alvorens op de "Genereer SPF Record" knop te drukken

Wat bevelen wij aan? SPF -allemaal of SPF ~allemaal

Problemen met de bezorgbaarheid van e-mail in verband met het SPF -all mechanisme kunnen zich in zeer zeldzame gevallen voordoen. Dit is geen terugkerend probleem dat u vaak zult tegenkomen. Om ervoor te zorgen dat u dit probleem nooit tegenkomt, kunt u de volgende stappen ondernemen:

  • Configureer DMARC voor uw e-mails, en schakel DMARC rapportage in
  • Stel uw DMARC-beleid in op bewaking en inspecteer uw SPF-verificatieresultaten nauwkeurig om eventuele inconsistenties in de bezorgbaarheid van e-mail op te sporen
  • Als alles goed is, kunt u het -all mechanisme in uw SPF record gebruiken. Wij raden aan om het hard fail attribuut te gebruiken omdat het bevestigt dat u zeker bent van de authenticiteit van uw e-mails, wat de reputatie van uw domein kan verbeteren

Als u momenteel niet zeker bent over het gebruik van SPF -all, kunt u de volgende stappen volgen:

  • Maak een SPF record aan met het ~all mechanisme
  • Configureer DMARC voor uw e-mails, en schakel DMARC-rapportage in
  • Stel uw DMARC beleid in op weigeren

Oplossen van andere SPF fouten

Bij het gebruik van online tools komt u vaak de melding "Geen SPF record gevonden"Dit is een veel voorkomende foutmelding als gevolg van een null resultaat wanneer een server het SPF record van uw domein heeft opgezocht. We hebben een artikel gewijd aan dit probleem en helpen gebruikers het op te lossen. Klik op de gelinkte tekst voor meer informatie!

Als u DMARC heeft ingesteld voor uw domein bovenop SPF, zullen email servers de DMARC policy van uw domein controleren om te bepalen hoe u emails wilt behandelen die niet geauthenticeerd kunnen worden. Dit DMARC beleid zal bepalen of uw emails worden afgeleverd, in quarantaine worden geplaatst, of worden geweigerd. 

DMARC afwijzing helpt uw domein te beschermen tegen een verscheidenheid van impersonatie aanvallen zoals spoofing, phishing, en ransomware.