Różnica między SPF -all a ~all
Czas odczytu: 4 min
Mechanizm SPF all jest mechanizmem SPF, który istnieje w DNS domeny jako rekord TXT; znajduje się on na prawym końcu rekordu SPF, poprzedzony znakiem "-" lub "~". Przyjrzyjmy się, jaka jest różnica między mechanizmami SPF -all i ~all, aby określić, kiedy należy je skonfigurować.
Kluczowe wnioski
- Mechanizmy SPF -all i ~all wskazują "NOT PASS" dla uwierzytelniania SPF, ale mogą być traktowane inaczej przez niektóre usługi poczty e-mail.
- Historycznie, SPF Softfail (~all) pozwalał na dostarczanie wiadomości e-mail, nawet jeśli nie przeszły one uwierzytelnienia, podczas gdy Hardfail (-all) odrzucał wiadomości e-mail, które nie przeszły uwierzytelnienia.
- Nowoczesne usługi poczty e-mail często obsługują -all i ~all bez znaczących błędów dostarczania, chociaż sporadyczne odrzucenia mogą wystąpić w przypadku -all.
- Aby zminimalizować ryzyko, zaleca się początkowe użycie mechanizmu Softfail (~all) przy jednoczesnym upewnieniu się, że DMARC jest skonfigurowany i monitorowaniu wyników.
- Wdrożenie DMARC wraz z odpowiednią konfiguracją SPF zwiększa bezpieczeństwo poczty elektronicznej poprzez zdefiniowanie sposobu obsługi nieuwierzytelnionych wiadomości e-mail.
SPF -all vs ~all
Oba mechanizmy SPF -all i SPF ~all oznaczają "NOT PASS" dla uwierzytelniania SPF. W ostatnim czasie, dla większości dostawców usług poczty elektronicznej, nie ma różnic między mechanizmem -all i ~all, a zwracany jest ten sam wynik. Nie było tak jednak jeszcze kilka lat temu.
Jak działał mechanizm SPF all (Softfail vs Fail) przed DMARC?
DMARC został stworzony długo po tym, jak SPF był już na rynku jako standardowy protokół uwierzytelniania poczty elektronicznej. W tym czasie mechanizm SPF -all softfail działał w następujący sposób:
Załóżmy, że Twój rekord SPF ma postać:
v=spf1 include:spf.domain.com ~all (gdzie ~all oznacza SPF Softfail)
Serwer odbiorczy Twojego emaila wykonałby DNS lookup, aby zapytać DNS nadawcy o jego rekord SPF. Jeśli domena ścieżki zwrotnej e-maila nie była wymieniona w rekordzie nadawcy, serwer odbiorczy zwróciłby wynik SPF "NOT PASS", ale dostarczyłby wiadomość e-mail do skrzynki odbiorcy.
Załóżmy teraz, że Twój rekord SPF ma postać:
v=spf1 include:spf.domain.com -all (gdzie -all oznacza SPF Fail)
Serwer odbiorczy Twojego emaila wykonałby DNS lookup, aby zapytać DNS nadawcy o jego rekord SPF. Jeśli domena ścieżki zwrotnej emaila nie była wymieniona w rekordzie nadawcy, serwer odbiorczy zwróciłby wynik SPF "NOT PASS", ale w tym przypadku email zostałby odrzucony i nie dostarczony do skrzynki odbiorcy.
Przeczytaj więcej o historii Sender Policy Framework.
Uprość SPF z PowerDMARC!
W jaki sposób dostawcy usług poczty elektronicznej obsługują obecnie mechanizm SPF -all vs ~all?
Obecnie można swobodnie używać atrybutów SPF -all lub ~all dla większości dostawców skrzynek pocztowych bez obawy o niedostarczenie uzasadnionych wiadomości, może dojść do sytuacji, w której serwer odrzuci Twój email w przypadku atrybutu -all.
Aby być po bezpieczniejszej stronie, możesz uniknąć używania mechanizmu SPF hard fail -all podczas tworzenia rekordu SPF. Oto, jak to zrobić:
- Otwórz program PowerDMARC generator rekordów SPF aby rozpocząć tworzenie rekordu za darmo
- Po wpisaniu adresów IP i domen nadawców wiadomości e-mail przejdź do ostatniej sekcji, w której należy poinstruować serwery pocztowe, jak rygorystycznie powinny podchodzić do weryfikacji Twoich wiadomości e-mail
- Wybierz opcję "Soft-fail" przed naciśnięciem przycisku "Generate SPF Record".
Co zalecamy? SPF -all lub SPF ~all
Problemy z dostarczalnością wiadomości e-mail związane z mechanizmem SPF -all mogą występować w bardzo rzadkich przypadkach. Nie jest to problem, z którym można się często zetknąć. Aby mieć pewność, że nigdy nie napotkasz tego problemu, możesz podjąć następujące kroki:
- Konfiguracja DMARC dla wiadomości e-mail i włącz raportowanie DMARC
- Ustaw politykę DMARC na monitorowanie i dokładnie sprawdzaj wyniki uwierzytelniania SPF, aby wykryć wszelkie niespójności w dostarczalności wiadomości e-mail.
- Jeśli wszystko jest w porządku, możesz użyć mechanizmu -all w swoim rekordzie SPF. Zalecamy używanie atrybutu hard fail, ponieważ potwierdza on, że jesteś pewny autentyczności swoich emaili, co może zwiększyć reputację Twojej domeny.
Jeśli obecnie nie masz pewności, czy stosować SPF -all, możesz wykonać poniższe kroki:
- Skonfiguruj rekord SPF przy użyciu mechanizmu ~all
- Skonfiguruj DMARC dla swoich wiadomości e-mail i włącz raportowanie DMARC
- Ustaw politykę DMARC na odrzucanie
Rozwiązywanie problemów z innymi błędami SPF
Podczas korzystania z narzędzi internetowych często można natknąć się na komunikat "Nie znaleziono rekordu SPF", który jest częstym błędem wynikającym z pustego wyniku zwróconego, gdy serwer szukał rekordu SPF Twojej domeny. Opublikowaliśmy artykuł, w którym szczegółowo omawiamy ten problem i pomagamy użytkownikom w jego rozwiązaniu. Kliknij na podlinkowany tekst, aby dowiedzieć się więcej!
Jeśli masz DMARC w swojej domenie na dodatek do SPF, serwery pocztowe sprawdzą politykę DMARC Twojej domeny, aby ustalić, jak chcesz, aby wiadomości e-mail, które nie przejdą uwierzytelnienia, były traktowane. Ta polityka DMARC określi, czy Twoje wiadomości zostaną dostarczone, poddane kwarantannie czy odrzucone.
Odrzucenie DMARC pomaga chronić domenę przed różnymi atakami polegającymi na podszywaniu się pod inne osoby, takimi jak spoofing, phishing i ransomware.
Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC
Yunes jest liderem zespołu operacyjnego w PowerDMARC z wiedzą ekspercką w zakresie uwierzytelniania i bezpieczeństwa poczty elektronicznej. Yunes jest certyfikowanym przez Microsoft Azure Administrator Associate z certyfikatami CompTIA A+ i wieloma innymi.
Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)
- DMARC dla Office 365: Konfiguracja krok po kroku i najlepsze praktyki - 11 lipca 2025 r.
- Konfiguracja Office 365 DKIM: Włączanie, weryfikacja i konfiguracja - 10 lipca 2025 r.
- Wyjaśnienie mechanizmu SPF Neutral (?all): Kiedy i jak go używać? - 23 czerwca 2025 r.
