Różnica między SPF -all a ~all
Ostatnia aktualizacja:
7 czas czytania: 7 minut
Zrozumienie mechanizmów SPF -all i ~all ma kluczowe znaczenie dla uwierzytelniania wiadomości e-mail. Dowiedz się, jak te końcówki rekordów SPF wpływają na dostarczanie wiadomości e-mail i którą z nich wybrać dla bezpieczeństwa swojej domeny.
Spis treści
- SPF -all vs ~all
- Wyjaśnienie składni i mechanizmów rekordów SPF
- Jak działał mechanizm SPF all (Softfail vs Fail) przed DMARC?
- Jak uprościć zarządzanie rekordami SPF
- W jaki sposób dostawcy usług poczty elektronicznej obsługują obecnie mechanizm SPF -all vs ~all?
- Co zalecamy? SPF -all lub SPF ~all
- Typowe błędy rekordów SPF i rozwiązywanie problemów
- Często zadawane pytania dotyczące SPF Wszystkie
Kluczowe wnioski
- ~wszystkie i -all oba wskazują na błąd SPF dla nieautoryzowanych nadawców, ale -all sygnalizuje bardziej rygorystyczne egzekwowanie.
- Serwery odbiorcze mogą traktować -all bardziej agresywnie niż ~all, w zależstwie od polityki i sygnałów reputacyjnych.
- Zacznij od ~all podczas monitorowania, aby zmniejszyć ryzyko odrzucenia legalnych wiadomości e-mail podczas potwierdzania wszystkich źródeł wysyłania.
- Użyj -all tylko po zakończeniu konfiguracji źródeł SPF i potwierdzeniu w raportach DMARC, że nie ma żadnych luk w uwierzytelnianiu.
- DMARC określa sposób postępowania w przypadku niepowodzenia uwierzytelnienia (monitorowanie, kwarantanna lub odrzucenie).
- Właściwa optymalizacja SPF pomaga uniknąć ograniczenia do 10 wyszukiwań DNS w miarę rozwoju infrastruktury poczty elektronicznej.
Zrozumienie SPF -all vs ~all jest ważną częścią uwierzytelniania poczty elektronicznej, ponieważ mechanizmy te sygnalizują, w jaki sposób serwery pocztowe powinny traktować wiadomości e-mail wysyłane z nieautoryzowanych źródeł. Oba mechanizmy wskazują na błąd SPF, ale komunikują różne poziomy intencji egzekwowania i mogą wpływać na sposób filtrowania lub odrzucania poczty w zależności od polityki odbiorcy.
Wszystkie Cały mechanizm pojawia się na końcu rekordu SPF i jest poprzedzony kwalifikatorem, takim jak – (hardfail) lub ~ (softfail). Wybór między nimi zależy od tego, jak kompletny jest Twój rekord SPF i czy aktywnie monitorujesz wyniki uwierzytelniania za pomocą DMARC.
W niniejszym artykule wyjaśniono, w jaki sposób SPF -all i ~all , jak są one obecnie interpretowane przez dostawców skrzynek pocztowych oraz kiedy należy ich używać, aby nie zagrażać dostarczaniu legalnych wiadomości e-mail.
| Szybka odpowiedź: Użyj ~all podczas weryfikacji nadawców i monitorowania za pomocą DMARC. Przejdź do -all tylko wtedy, gdy SPF jest kompletny, a raporty DMARC nie wykazują żadnych uzasadnionych błędów. |
Wyjaśnienie składni i mechanizmów rekordów SPF
Zanim zagłębimy się w różnice między SPF -all i ~all, należy zapoznać się z pełną składnią rekordu SPF i wszystkimi dostępnymi mechanizmami.
Rekord SPF ma określony format, który informuje serwery pocztowe odbierające wiadomości, które adresy IP i domeny są upoważnione do wysyłania wiadomości e-mail w imieniu Twojej domeny.
Podstawowa składnia rekordu SPF jest następująca: v=spf1 [mechanizmy] [modyfikatory] [all]
Wszystkie opcje mechanizmu SPF
Mechanizm „all” na końcu rekordu SPF określa, co się stanie, gdy wiadomość e-mail nie będzie pasować do żadnego z autoryzowanych nadawców. Oto wszystkie cztery opcje:
| Mechanizm | Nazwa | Wynik | Działanie |
|---|---|---|---|
| #NAZWA? | Pass | PASS | Akceptuj wszystkie wiadomości e-mail (niezalecane) |
| ?wszystkie | Neutralny | NEUTRALNY | Brak określonej polityki |
| ~wszystkie | Softfail | SOFTFAIL | Oznacz jako podejrzane, ale dostarcz |
| -all | Hardfail | NIEPOWODZENIE | Odrzucanie nieautoryzowanych wiadomości e-mail |
Przykłady rekordów SPF
Oto praktyczne przykłady rekordów SPF wykorzystujących różne mechanizmy:
- Podstawowy SPF z Softfail: v=spf1 include:_spf.google.com ~all
- Wiele włączeń z Hardfail: v=spf1 include:spf.protection.outlook.com include:_spf.salesforce.com -all
- Adresy IP z Softfail: v=spf1 ip4:192.168.1.0/24 ip6:2001:db8::/32 ~all
- Mechanizmy mieszane: v=spf1 a mx include:_spf.google.com ip4:203.0.113.0/24 -all
SPF -all vs ~all
Zarówno mechanizm SPF -all, jak i SPF ~all oznaczają „NIE ZALICZONE” dla uwierzytelniania SPF. W ostatnim czasie dostawcy poczty elektronicznej wykorzystują wyniki SPF jako jeden z wielu czynników, przy czym polityka DMARC i sygnały dotyczące reputacji mają duży wpływ na ostateczne decyzje dotyczące dostarczania wiadomości.
Jednak kilka lat temu sytuacja wyglądała zupełnie inaczej.
Co oznacza v=spf1 -all?
Rekord SPF kończący się na „-all” (hardfail) nakazuje serwerom pocztowym odrzucanie wszystkich wiadomości e-mail, które nie pochodzą od autoryzowanych nadawców wymienionych w rekordzie SPF. Jest to najsurowsza polityka SPF, zapewniająca najsilniejszą ochronę przed spoofingiem wiadomości e-mail.
Co oznacza ~all w SPF?
Mechanizm „~all” (softfail) informuje serwery odbiorcze, że wiadomości e-mail od nieautoryzowanych nadawców powinny być oznaczone jako podejrzane, ale nadal dostarczane do skrzynki odbiorczej adresata, często do folderu spam.
Jak działał mechanizm SPF (Softfail vs Fail) przed wprowadzeniem DMARC?
DMARC został stworzony długo po tym, jak SPF był już na rynku jako standardowy protokół uwierzytelniania poczty elektronicznej. W tym czasie mechanizm SPF -all softfail działał w następujący sposób:
Załóżmy, że Twój rekord SPF ma postać:
v=spf1 include:spf.domain.com ~all (gdzie ~all oznacza SPF Softfail)
Serwer poczty elektronicznej odbiorcy przeprowadziłby wyszukiwanie DNS, aby sprawdzić rekord SPF nadawcy w systemie DNS. Jeśli domena Return-path wiadomości e-mail nie była wymieniona w rekordzie nadawcy, serwer odbiorczy zwróciłby wynik SPF „NOT PASS”, ale dostarczyłby wiadomość e-mail do skrzynki odbiorczej odbiorcy.
Załóżmy teraz, że Twój rekord SPF ma postać:
v=spf1 include:spf.domain.com -all (gdzie -all oznacza błąd SPF)
Serwer poczty elektronicznej odbiorcy przeprowadziłby wyszukiwanie DNS, aby sprawdzić rekord SPF nadawcy w systemie DNS. Jeśli domena Return-path wiadomości e-mail nie byłaby wymieniona w rekordzie nadawcy, serwer odbiorczy zwróciłby wynik SPF „NOT PASS”, ale w tym przypadku wiadomość e-mail zostałaby odrzucona i nie trafiłaby do skrzynki odbiorczej odbiorcy.
Więcej informacji na temat historii Sender Policy Framework.
Jak uprościć zarządzanie rekordami SPF
Zarządzanie rekordami SPF może stać się skomplikowane w miarę rozwoju organizacji i dodawania kolejnych usług wysyłania wiadomości e-mail. Limit 10 wyszukiwań DNS jest częstym wyzwaniem, które powoduje błędy uwierzytelniania SPF w przypadku jego przekroczenia. Zautomatyzowane rozwiązanie do zarządzania SPF firmy PowerDMARC rozwiązuje te problemy dzięki zaawansowanym technikom optymalizacji.
Technologia spłaszczania SPF firmy PowerDMARC automatycznie optymalizuje rekordy SPF, aby pozostawały w granicach limitów wyszukiwania DNS, jednocześnie zapewniając kompleksową ochronę uwierzytelniania wiadomości e-mail. Dzięki temu Twoje legalne wiadomości e-mail będą nadal prawidłowo uwierzytelniane, nawet po dodaniu nowych usług poczty elektronicznej i narzędzi marketingowych.
Jak Pablo Herreros uprościł zarządzanie DNS dzięki PowerDMARC
Osiągnięto wynik 100% w zakresie bezpieczeństwa domen we wszystkich zarządzanych domenach
Uproszczone zarządzanie wielodomenowymi protokołami SPF, DKIM i DMARC
Szybsze wdrażanie klientów dzięki automatycznym kontrolom uwierzytelniania
Lepsza dostarczalność wiadomości e-mail i reputacja domeny
W jaki sposób dostawcy usług poczty elektronicznej obsługują obecnie mechanizm SPF -all vs ~all?
Nowoczesni dostawcy usług poczty elektronicznej, tacy jak Gmail, Outlook i Yahoo, obsługują mechanizmy SPF inaczej niż w erze przed DMARC. Większość głównych dostawców skupia się obecnie na zasadach DMARC, a nie na indywidualnych wynikach SPF przy podejmowaniu decyzji dotyczących dostarczania wiadomości.
- Podejście Gmaila: Gmail traktuje SPF softfail (~all) jako słabszy sygnał uwierzytelniający, natomiast hardfail (-all) może zwiększyć podejrzliwość wobec wiadomości, które nie pasują do autoryzowanych źródeł wysyłania. Ostateczne decyzje dotyczące dostarczenia zależą od polityki DMARC i innych sygnałów filtrujących.
- Obsługa programu Microsoft Outlook: Outlook.com i Microsoft 365 uwzględniają wyniki SPF w ramach filtrowania i oceny uwierzytelniania. Wynik hardfail (-all) może być traktowany bardziej rygorystycznie niż softfail (~all), ale ostateczna obsługa nadal zależy od polityki DMARC i dodatkowych sygnałów.
Chociaż obecnie można swobodnie używać SPF -all lub ~all dla większości dostawców skrzynek pocztowych bez obawy o niepowodzenia w dostarczaniu legalnych wiadomości e-mail, może zaistnieć sytuacja, w której serwer odrzuci wiadomość e-mail w przypadku atrybutu -all. Aby zachować bezpieczeństwo, podczas tworzenia rekordu SPF można uniknąć stosowania mechanizmu SPF hard fail -all. Oto jak to zrobić:
- Otwórz generator rekordów PowerDMARC generator rekordów SPF , aby rozpocząć tworzenie rekordu za darmo.
- Po wpisaniu adresów IP i domen nadawców wiadomości e-mail przejdź do ostatniej sekcji, w której należy poinstruować serwery pocztowe, jak rygorystycznie powinny podchodzić do weryfikacji Twoich wiadomości e-mail
- Wybierz opcję "Soft-fail" przed naciśnięciem przycisku "Generate SPF Record".
Co polecamy? SPF -all lub SPF ~all
Użyj SPF ~all (softfail), jeśli:
- Jesteś nowym użytkownikiem uwierzytelniania poczty elektronicznej i chcesz zminimalizować ryzyko związane z dostarczaniem wiadomości.
- Twoja organizacja często dodaje nowe usługi wysyłania wiadomości e-mail.
- Nie wdrożyłeś jeszcze monitorowania DMARC.
- Jesteś w fazie testowej i chcesz obserwować wyniki uwierzytelniania.
Użyj SPF -all (hardfail), jeśli:
- DMARC jest prawidłowo skonfigurowany i monitorowany.
- Twój rekord SPF zawiera wszystkie legalne źródła wysyłania wiadomości.
- Chcesz uzyskać maksymalną ochronę przed fałszowaniem wiadomości e-mail
- Twoja infrastruktura poczty elektronicznej jest stabilna i dobrze udokumentowana.
Problemy z dostarczalnością wiadomości e-mail związane z mechanizmem SPF -all mogą występować w bardzo rzadkich przypadkach. Nie jest to problem, z którym można się często zetknąć. Aby mieć pewność, że nigdy nie napotkasz tego problemu, możesz podjąć następujące kroki:
- Skonfiguruj DMARC dla swoich wiadomości e-mail i włącz raportowanie DMARC
- Ustaw swoją politykę DMARC na monitorowanie i dokładnie sprawdzaj wyniki uwierzytelniania SPF, aby wykryć wszelkie niespójności w dostarczaniu wiadomości e-mail.
- Jeśli wszystko jest w porządku, możesz użyć mechanizmu -all w swoim rekordzie SPF. Zalecamy używanie atrybutu hard fail, ponieważ potwierdza on, że jesteś pewny autentyczności swoich emaili, co może zwiększyć reputację Twojej domeny.
Jeśli obecnie nie masz pewności, czy stosować SPF -all, możesz wykonać poniższe kroki:
- Skonfiguruj rekord SPF za pomocą mechanizmu ~all
- Skonfiguruj DMARC dla swoich wiadomości e-mail i włącz raportowanie DMARC.
- Ustaw politykę DMARC na odrzucanie
Jak rozwiązywać typowe problemy związane z rekordami SPF
Błędy SPF zazwyczaj dzielą się na cztery kategorie: brakujący rekord, zduplikowany rekord, nieprawidłowy rekord lub nieudane wyszukiwanie DNS. Skorzystaj z poniższej listy błędów, aby szybko znaleźć rozwiązanie.
Typowe błędy SPF obejmują:
- SPF PermError: Twój rekord SPF jest nieprawidłowy. Zazwyczaj dzieje się tak z powodu błędów składniowych lub przekroczenia limitu 10 wyszukiwań DNS (na przykład zbyt wiele mechanizmów include ).
- SPF TempError: Tymczasowy problem z rozpoznawaniem DNS (przekroczenie limitu czasu, przejściowe awarie DNS). Problem może rozwiązać się samoczynnie, ale powtarzające się błędy TempError zazwyczaj wskazują na niestabilność DNS lub problemy z serwerem nazw.
- Brak SPF: Nie znaleziono rekordu SPF dla sprawdzanej domeny. Często oznacza to, że SPF nie jest opublikowany, jest opublikowany w niewłaściwej domenie lub DNS nie został propagowany.
- Wiele rekordów SPF: dla tej samej domeny istnieje więcej niż jeden rekord SPF TXT, co zakłóca ocenę SPF i często powoduje błędy uwierzytelniania.
Jeśli często widzisz komunikat „Nie znaleziono rekordu SPF”, oznacza to, że serwer odbiorczy zwrócił wynik null podczas wysyłania zapytania do DNS o rekord SPF TXT. Może to być spowodowane brakiem rekordu, sprawdzaniem nieprawidłowej domeny (Return-Path vs From) lub problemami z publikacją/propagacją DNS. (Link do artykułu „Nie znaleziono rekordu SPF” tutaj).
Jeśli masz skonfigurowany DMARC wraz z SPF, serwery odbiorcze będą również oceniać Twoją politykę DMARC, aby zdecydować, jak traktować wiadomości, które nie przeszły uwierzytelnienia. W zależności od Twojej polityki, wiadomości, które nie przeszły uwierzytelnienia, mogą zostać dostarczone, poddane kwarantannie lub odrzucone. Polityka odrzucania DMARC może znacznie ograniczyć ataki polegające na podszywaniu się, takie jak spoofing i phishing, nakazując odbiorcom blokowanie nieautoryzowanych wiadomości e-mail.
Monitorowanie SPF przez PowerDMARC pomaga wcześnie wykrywać te błędy, sygnalizując problemy z uwierzytelnianiem, ujawniając ich przyczyny i wskazując sposoby ich naprawienia, zanim wpłynie to na dostarczalność wiadomości.
Najczęściej zadawane pytania
Co oznacza v=spf1 -all?
Rekord SPF „v=spf1 -all” oznacza, że tylko adresy IP i domeny wyraźnie wymienione w rekordzie SPF są uprawnione do wysyłania wiadomości e-mail dla Twojej domeny. Wszelkie wiadomości e-mail z nieautoryzowanych źródeł będą odrzucane (hardfail). Jest to najsurowsza polityka SPF, zapewniająca maksymalną ochronę przed spoofingiem wiadomości e-mail.
Jaka jest różnica między SPF a DKIM?
SPF (Sender Policy Framework) weryfikuje, czy wiadomości e-mail pochodzą z autoryzowanych adresów IP, natomiast DKIM (DomainKeys Identified Mail) wykorzystuje podpisy kryptograficzne do weryfikacji integralności i autentyczności wiadomości e-mail. SPF sprawdza serwer wysyłający, natomiast DKIM sprawdza, czy treść wiadomości e-mail nie została zmieniona podczas przesyłania.
Czy SPF jest taki sam u różnych dostawców poczty elektronicznej?
Nie, różni dostawcy poczty elektronicznej mogą różnie interpretować wyniki SPF. Chociaż większość współczesnych dostawców stosuje podobne standardy, niektórzy mogą być bardziej wyrozumiali w przypadku wyników softfail (~all), podczas gdy inni ściśle egzekwują zasady hardfail (-all). DMARC pomaga ujednolicić te zachowania u różnych dostawców.
Co oznacza +all w SPF?
Mechanizm „+all” w SPF oznacza „przekaż wszystko” – pozwala on dowolnemu adresowi IP wysyłać wiadomości e-mail w imieniu Twojej domeny. Jest to wysoce odradzane, ponieważ nie zapewnia żadnej ochrony przed fałszowaniem wiadomości e-mail i zasadniczo sprawia, że rekord SPF staje się nieskuteczny.
Czy powinienem używać SPF -all lub ~all dla mojej domeny?
Zacznij od ~all (softfail), dopóki nie potwierdzisz wszystkich legalnych źródeł wysyłania lub nie zmienisz konfiguracji. Przejdź do -all (hardfail) dopiero po ukończeniu rejestru SPF i gdy raporty DMARC pokażą, że legalne wiadomości e-mail nie zawodzą podczas uwierzytelniania, dzięki czemu możesz wprowadzić bardziej rygorystyczną ochronę przy mniejszym ryzyku.
Jak naprawić błędy uwierzytelniania SPF?
Typowe rozwiązania obejmują: dodanie brakujących adresów IP lub domen do rekordu SPF, ograniczenie liczby wyszukiwań DNS do poniżej limitu 10 wyszukiwań, usunięcie zduplikowanych rekordów SPF oraz zapewnienie prawidłowej składni rekordu SPF. Automatyczne zarządzanie SPF przez PowerDMARC może pomóc w automatycznym rozwiązaniu tych problemów.
Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC
Yunes jest liderem zespołu operacyjnego w PowerDMARC z wiedzą ekspercką w zakresie uwierzytelniania i bezpieczeństwa poczty elektronicznej. Yunes jest certyfikowanym przez Microsoft Azure Administrator Associate z certyfikatami CompTIA A+ i wieloma innymi.
Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)
- DMARCbis – co się zmienia i jak się przygotować - 16 kwietnia 2026 r.
- Nieprawidłowy format numeru seryjnego SOA: przyczyny i sposoby rozwiązania - 13 kwietnia 2026 r.
- Jak wysyłać bezpieczne wiadomości e-mail w Gmailu: przewodnik krok po kroku - 7 kwietnia 2026 r.
