SPF существует в DNS вашего домена в виде TXT-записи с кучей механизмов и модификаторов, обозначающих конкретные инструкции. Механизм SPF all присутствует в правом конце записи SPF, которому предшествует "-" или "~". Давайте рассмотрим, в чем разница между механизмами SPF -all и ~all, чтобы определить, когда их следует настраивать.
SPF -all против ~all
Оба механизма SPF -all и ~all означают "NOT PASS" для SPF-аутентификации. В последнее время для большинства поставщиков услуг электронной почты нет разницы между механизмами -all и ~all, и возвращается один и тот же результат. Однако несколько лет назад дело обстояло иначе.
Как работал механизм SPF all (Softfail vs Fail) до DMARC?
DMARC был создан спустя долгое время после того, как SPF уже был представлен на рынке в качестве стандартного протокола аутентификации электронной почты. В то время механизм SPF - all softfail работал следующим образом:
Предположим, что ваша запись SPF была:
v=spf1 include:spf.domain.com ~all (где ~all означает SPF Softfail)
Сервер электронной почты получателя должен был выполнить DNS-поиск, чтобы запросить DNS отправителя на предмет его SPF-записи. Если домен обратного пути письма не был указан в записи отправителя, сервер-получатель вернул бы результат SPF "NOT PASS", но доставил бы письмо в почтовый ящик получателя.
Теперь предположим, что ваша запись SPF была:
v=spf1 include:spf.domain.com -all (где -all означает SPF Fail)
Сервер электронной почты получателя должен был выполнить DNS-поиск, чтобы запросить DNS отправителя на предмет его SPF-записи. Если домен Return-path электронной почты не был указан в записи отправителя, сервер получателя вернул бы результат SPF "NOT PASS", но в этом случае электронная почта была бы было бы отклонено и не доставлено в почтовый ящик получателя.
Подробнее об истории Sender Policy Framework.
Как поставщики услуг электронной почты теперь работают с механизмом SPF -all vs ~all?
Хотя в настоящее время вы можете свободно использовать SPF -all или ~all для большинства провайдеров почтовых ящиков, не беспокоясь о сбоях в доставке легитимных писем, может возникнуть ситуация, когда сервер отклонит ваше письмо в случае использования атрибута -all.
Для большей безопасности вы можете не использовать механизм SPF hard fail -all при создании записи SPF. Вот как это делается:
- Откройте PowerDMARC генератор SPF-записей чтобы начать бесплатное создание записи
- После указания IP-адресов и доменов ваших отправителей электронной почты прокрутите вниз до последнего раздела, предназначенного для указания почтовым серверам, насколько строгими они должны быть при проверке ваших писем.
- Выберите опцию "Soft-fail" перед нажатием кнопки "Generate SPF Record".
Что мы рекомендуем? SPF -all или SPF ~all
Проблемы с доставкой электронной почты, связанные с механизмом SPF -all, могут возникать в очень редких случаях. Это не та проблема, с которой вы часто сталкиваетесь. Чтобы никогда не сталкиваться с этой проблемой, вы можете предпринять следующие шаги:
- Настройка DMARC для своих сообщений электронной почты и включите функцию создания отчетов DMARC
- Установите политику DMARC в режим мониторинга и внимательно изучите результаты проверки подлинности SPF, чтобы выявить любые несоответствия в доставке почты
- Если все в порядке, вы можете использовать механизм -all в вашей записи SPF. Мы рекомендуем использовать атрибут hard fail, поскольку он подтверждает, что вы уверены в подлинности ваших писем, что может повысить репутацию вашего домена.
Если вы не уверены в том, что используете SPF -all, вы можете выполнить следующие шаги:
- Настройте запись SPF с помощью механизма ~all
- Настройте DMARC для ваших писем и включите отчетность DMARC
- Установите политику DMARC на отклонение
Устранение других ошибок SPF
При использовании онлайн-инструментов вы часто можете столкнуться с проблемой "Запись SPF не найдена", которая является распространенной ошибкой, возникающей из-за нулевого результата, возвращенного при поиске сервером SPF-записи вашего домена. Мы опубликовали статью, в которой подробно рассказываем об этой проблеме и помогаем пользователям решить ее. Нажмите на ссылку, чтобы узнать больше!
Если вы установили DMARC для своего домена поверх SPF, почтовые серверы будут проверять политику DMARC вашего домена, чтобы определить, как будут обрабатываться письма, не прошедшие аутентификацию. Эта политика DMARC определяет, будут ли ваши письма доставлены, помещены в карантин или отклонены.
Отказ от DMARC помогает защитить ваш домен от различных атак с использованием самозванства, таких как спуфинг, фишинг и ransomware.
- Yahoo Japan вводит DMARC для пользователей в 2025 году - 17 января 2025 г.
- Ботнет MikroTik использует неправильную конфигурацию SPF для распространения вредоносного ПО - 17 января 2025 г.
- Неаутентифицированная почта DMARC запрещена [Решено] - 14 января 2025 г.