Разница между SPF -all и ~all
Время чтения: 4 мин
Механизм SPF all - это механизм SPF, который существует в DNS вашего домена в виде TXT-записи; он расположен в правом конце SPF-записи, перед которой стоит "-" или "~". Давайте рассмотрим, в чем разница между механизмами SPF -all и ~all, чтобы определить, когда их следует настраивать.
Ключевые выводы
- Механизмы SPF -all и ~all оба указывают "NOT PASS" для проверки подлинности SPF, но некоторые почтовые службы могут относиться к ним по-разному.
- Исторически сложилось так, что SPF Softfail (~all) позволял доставлять письма, даже если они не прошли проверку подлинности, а Hardfail (-all) отклонял письма, которые не прошли проверку.
- Современные почтовые службы часто обрабатывают -all и ~all без существенных сбоев в доставке, хотя иногда могут возникать отказы при использовании -all.
- Чтобы минимизировать риск, на начальном этапе рекомендуется использовать механизм Softfail (~all), при этом необходимо убедиться, что DMARC настроен, и отслеживать результаты.
- Внедрение DMARC вместе с правильной конфигурацией SPF повышает безопасность электронной почты, определяя, как должны обрабатываться неаутентифицированные сообщения.
SPF -all против ~all
Оба механизма SPF -all и SPF ~all означают "NOT PASS" для проверки подлинности SPF. В последнее время для большинства поставщиков услуг электронной почты нет разницы между механизмами -all и ~all, и возвращается один и тот же результат. Однако несколько лет назад дело обстояло иначе.
Как работал механизм SPF all (Softfail vs Fail) до DMARC?
DMARC был создан спустя долгое время после того, как SPF уже был представлен на рынке в качестве стандартного протокола аутентификации электронной почты. В то время механизм SPF - all softfail работал следующим образом:
Предположим, что ваша запись SPF была:
v=spf1 include:spf.domain.com ~all (где ~all означает SPF Softfail)
Сервер электронной почты получателя должен был выполнить DNS-поиск, чтобы запросить DNS отправителя на предмет его SPF-записи. Если домен обратного пути письма не был указан в записи отправителя, сервер-получатель вернул бы результат SPF "NOT PASS", но доставил бы письмо в почтовый ящик получателя.
Теперь предположим, что ваша запись SPF была:
v=spf1 include:spf.domain.com -all (где -all означает SPF Fail)
Сервер электронной почты получателя должен был выполнить DNS-поиск, чтобы запросить DNS отправителя на предмет его SPF-записи. Если домен Return-path электронной почты не был указан в записи отправителя, сервер получателя вернул бы результат SPF "NOT PASS", но в этом случае электронная почта была бы было бы отклонено и не доставлено в почтовый ящик получателя.
Подробнее об истории Sender Policy Framework.
Упростите SPF с помощью PowerDMARC!
Как поставщики услуг электронной почты теперь работают с механизмом SPF -all vs ~all?
Хотя в настоящее время вы можете свободно использовать SPF -all или ~all для большинства провайдеров почтовых ящиков, не беспокоясь о сбоях в доставке легитимных писем, может возникнуть ситуация, когда сервер отклонит ваше письмо в случае использования атрибута -all.
Для большей безопасности вы можете не использовать механизм SPF hard fail -all при создании записи SPF. Вот как это делается:
- Откройте PowerDMARC генератор SPF-записей чтобы начать бесплатное создание записи
- После указания IP-адресов и доменов ваших отправителей электронной почты прокрутите вниз до последнего раздела, предназначенного для указания почтовым серверам, насколько строгими они должны быть при проверке ваших писем.
- Выберите опцию "Soft-fail" перед нажатием кнопки "Generate SPF Record".
Что мы рекомендуем? SPF -all или SPF ~all
Проблемы с доставкой электронной почты, связанные с механизмом SPF -all, могут возникать в очень редких случаях. Это не та проблема, с которой вы часто сталкиваетесь. Чтобы никогда не сталкиваться с этой проблемой, вы можете предпринять следующие шаги:
- Настройка DMARC для своих сообщений электронной почты и включите функцию создания отчетов DMARC
- Установите политику DMARC в режим мониторинга и внимательно изучите результаты проверки подлинности SPF, чтобы выявить любые несоответствия в доставке почты
- Если все в порядке, вы можете использовать механизм -all в вашей записи SPF. Мы рекомендуем использовать атрибут hard fail, поскольку он подтверждает, что вы уверены в подлинности ваших писем, что может повысить репутацию вашего домена.
Если вы не уверены в том, что используете SPF -all, вы можете выполнить следующие шаги:
- Настройте запись SPF с помощью механизма ~all
- Настройте DMARC для ваших писем и включите отчетность DMARC
- Установите политику DMARC на отклонение
Устранение других ошибок SPF
При использовании онлайн-инструментов вы часто можете столкнуться с проблемой "Запись SPF не найдена", которая является распространенной ошибкой, возникающей из-за нулевого результата, возвращенного при поиске сервером SPF-записи вашего домена. Мы опубликовали статью, в которой подробно рассказываем об этой проблеме и помогаем пользователям решить ее. Нажмите на ссылку, чтобы узнать больше!
Если вы установили DMARC для своего домена поверх SPF, почтовые серверы будут проверять политику DMARC вашего домена, чтобы определить, как будут обрабатываться письма, не прошедшие аутентификацию. Эта политика DMARC определяет, будут ли ваши письма доставлены, помещены в карантин или отклонены.
Отказ от DMARC помогает защитить ваш домен от различных атак с использованием самозванства, таких как спуфинг, фишинг и ransomware.
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.
Последние сообщения Юнеса Тарады (см. все)
- DMARC для Office 365: Пошаговая настройка и лучшие практики - 11 июля 2025 г.
- Office 365 DKIM Setup: Включение, проверка и настройка - 10 июля 2025 г.
- Нейтральный механизм SPF (?all) объясняется: Когда и как его использовать - 23 июня 2025 г.
