Stanowiska

SPF istnieje w DNS Twojej domeny jako rekord TXT z wieloma mechanizmami i modyfikatorami, które oznaczają konkretne instrukcje. Mechanizm SPF all jest obecny na prawym końcu rekordu SPF, poprzedzony znakiem "-" lub "~". Przyjrzyjmy się, jaka jest różnica między mechanizmami SPF -all i ~all, aby określić, kiedy należy je skonfigurować.

SPF -all vs ~all

Zarówno mechanizm SPF -all, jak i ~all oznaczają "NOT PASS" dla uwierzytelniania SPF. W ostatnim czasie dla większości dostawców usług poczty elektronicznej nie ma różnicy między mechanizmem -all i ~all, a zwracany jest ten sam wynik. Jednak jeszcze kilka lat temu tak nie było.

Jak działał mechanizm SPF all (Softfail vs Fail) przed DMARC?

DMARC został stworzony długo po tym, jak SPF był już na rynku jako standardowy protokół uwierzytelniania poczty elektronicznej. W tym czasie mechanizm SPF -all softfail działał w następujący sposób: 

Załóżmy, że Twój rekord SPF ma postać: 

v=spf1 include:spf.domain.com ~all (gdzie ~all oznacza SPF Softfail)

Serwer odbiorczy Twojego emaila wykonałby DNS lookup, aby zapytać DNS nadawcy o jego rekord SPF. Jeśli domena ścieżki zwrotnej e-maila nie była wymieniona w rekordzie nadawcy, serwer odbiorczy zwróciłby wynik SPF "NOT PASS", ale dostarczyłby wiadomość e-mail do skrzynki odbiorcy.

Załóżmy teraz, że Twój rekord SPF ma postać: 

v=spf1 include:spf.domain.com -all (gdzie -all oznacza SPF Fail)

Serwer odbiorczy Twojego emaila wykonałby DNS lookup, aby zapytać DNS nadawcy o jego rekord SPF. Jeśli domena ścieżki zwrotnej emaila nie była wymieniona w rekordzie nadawcy, serwer odbiorczy zwróciłby wynik SPF "NOT PASS", ale w tym przypadku email zostałby odrzucony i nie dostarczony do skrzynki odbiorcy.

Przeczytaj więcej o historii Sender Policy Framework

W jaki sposób dostawcy usług poczty elektronicznej obsługują obecnie mechanizm SPF -all vs ~all?

Obecnie można swobodnie używać atrybutów SPF -all lub ~all dla większości dostawców skrzynek pocztowych bez obawy o niedostarczenie uzasadnionych wiadomości, może dojść do sytuacji, w której serwer odrzuci Twój email w przypadku atrybutu -all.

Aby być po bezpieczniejszej stronie, możesz uniknąć używania mechanizmu SPF hard fail -all podczas tworzenia rekordu SPF. Oto, jak to zrobić:

  • Otwórz program PowerDMARC generator rekordów SPF aby rozpocząć tworzenie rekordu za darmo
  • Po wpisaniu adresów IP i domen nadawców wiadomości e-mail przejdź do ostatniej sekcji, w której należy poinstruować serwery pocztowe, jak rygorystycznie powinny podchodzić do weryfikacji Twoich wiadomości e-mail
  • Wybierz opcję "Soft-fail" przed naciśnięciem przycisku "Generate SPF Record".

Co zalecamy? SPF -all lub SPF ~all

Problemy z dostarczalnością wiadomości e-mail związane z mechanizmem SPF -all mogą występować w bardzo rzadkich przypadkach. Nie jest to problem, z którym można się często zetknąć. Aby mieć pewność, że nigdy nie napotkasz tego problemu, możesz podjąć następujące kroki:

  • Skonfiguruj stronę DMARC dla wiadomości e-mail i włącz raportowanie DMARC
  • Ustaw politykę DMARC na monitorowanie i dokładnie sprawdzaj wyniki uwierzytelniania SPF, aby wykryć wszelkie niespójności w dostarczalności poczty.
  • Jeśli wszystko jest w porządku, możesz użyć mechanizmu -all w swoim rekordzie SPF. Zalecamy używanie atrybutu hard fail, ponieważ potwierdza on, że jesteś pewny autentyczności swoich emaili, co może zwiększyć reputację Twojej domeny.

Jeśli obecnie nie masz pewności, czy stosować SPF -all, możesz wykonać poniższe kroki:

  • Utwórz rekord SPF przy użyciu mechanizmu ~all
  • Skonfiguruj DMARC dla swoich wiadomości e-mail i włącz raportowanie DMARC
  • Ustaw politykę DMARC na odrzucanie

Rozwiązywanie problemów z innymi błędami SPF

Podczas korzystania z narzędzi internetowych często można natknąć się na komunikat "Nie znaleziono rekordu SPF", który jest częstym błędem wynikającym z pustego wyniku zwróconego, gdy serwer szukał rekordu SPF Twojej domeny. Opublikowaliśmy artykuł, w którym szczegółowo omawiamy ten problem i pomagamy użytkownikom w jego rozwiązaniu. Kliknij na podlinkowany tekst, aby dowiedzieć się więcej!

Jeśli masz DMARC w swojej domenie na dodatek do SPF, serwery pocztowe sprawdzą politykę DMARC Twojej domeny, aby ustalić, jak chcesz, aby wiadomości e-mail, które nie przejdą uwierzytelnienia, były traktowane. Ta polityka DMARC określi, czy Twoje wiadomości zostaną dostarczone, poddane kwarantannie czy odrzucone. 

Odrzucenie DMARC pomaga chronić domenę przed różnymi atakami polegającymi na podszywaniu się pod inne osoby, takimi jak spoofing, phishing i ransomware.