Разница между SPF -all и ~all
Последнее обновление:
7 Время чтения: 7 минут
Понимание механизмов SPF -all и ~all имеет решающее значение для аутентификации электронной почты. Узнайте, как эти окончания записей SPF влияют на доставку электронной почты и какое из них выбрать для безопасности вашего домена.
Оглавление
- SPF -all против ~all
- Объяснение синтаксиса и механизмов записи SPF
- Как работал механизм SPF all (Softfail vs Fail) до DMARC?
- Как упростить управление записями SPF
- Как поставщики услуг электронной почты теперь работают с механизмом SPF -all vs ~all?
- Что мы рекомендуем? SPF -all или SPF ~all
- Распространенные ошибки записей SPF и их устранение
- Часто задаваемые вопросы о SPF Все
Ключевые выводы
- ~все и -all оба указывают на отказ SPF для неавторизованных отправителей, но -all сигнализирует о более строгом намерении принудительного исполнения.
- Получающие серверы могут обрабатывать -all более агрессивно, чем ~all, в зависимом от политики и сигналов репутации.
- Начните с ~all во время мониторинга, чтобы снизить риск отклонения легитимных писем, пока вы подтверждаете все источники отправки.
- Использовать -all только после того, как источники SPF будут завершены, а отчеты DMARC подтвердят отсутствие пробелов в аутентификации.
- DMARC определяет, как обрабатываются сбои аутентификации (мониторинг, карантин или отклонение).
- Правильная оптимизация SPF помогает избежать ограничения в 10 DNS-запросов по мере роста вашей почтовой инфраструктуры.
Понимание SPF -all vs ~all является важной частью аутентификации электронной почты, поскольку эти механизмы сигнализируют о том, как почтовые серверы-получатели должны обрабатывать электронные письма, отправленные из неавторизованных источников. Оба механизма указывают на сбой SPF, но они передают разные уровни намерения принудительного исполнения и могут влиять на то, как почта фильтруется или отклоняется в зависимости от политики получателя.
Все весь механизм появляется в конце записи SPF и предваряется квалификатором, таким как – (hardfail) или ~ (softfail). Выбор между ними зависит от того, насколько полна ваша запись SPF и активно ли вы отслеживаете результаты аутентификации с помощью DMARC.
В этой статье объясняется, как SPF -all и ~all , как их интерпретируют сегодня поставщики почтовых ящиков и когда безопасно использовать каждую из них, не подвергая риску доставку легитимных электронных писем.
| Быстрый ответ: Используйте ~all при проверке отправителей и мониторинге с помощью DMARC. Перейдите к -all только после завершения SPF и если отчеты DMARC не показывают никаких законных сбоев. |
Объяснение синтаксиса и механизмов записи SPF
Прежде чем углубляться в различия между SPF -all и ~all, необходимо понять полный синтаксис записи SPF и все доступные механизмы.
Запись SPF имеет определенный формат, который сообщает получающим почтовым серверам, какие IP-адреса и домены имеют право отправлять электронные письма от имени вашего домена.
Основной синтаксис записи SPF: v=spf1 [механизмы] [модификаторы] [all]
SPF Все варианты механизмов
Механизм «all» в конце вашей записи SPF определяет, что происходит, когда электронное письмо не соответствует ни одному из авторизованных отправителей. Вот все четыре варианта:
| Механизм | Имя | Результат | Действие |
|---|---|---|---|
| #NAME? | Пройти | PASS | Принимать все электронные письма (не рекомендуется) |
| ?все | Нейтральный | НЕЙТРАЛЬНЫЙ | Политика не указана |
| ~все | Softfail | МЯГКИЙ СБОЙ | Пометить как подозрительное, но доставить |
| -все | Hardfail | НЕВЫПОЛНЕНО | Отклонение несанкционированных сообщений электронной почты |
Примеры записей SPF
Вот практические примеры записей SPF с использованием различных механизмов:
- Базовый SPF с Softfail: v=spf1 include:_spf.google.com ~all
- Несколько включений с Hardfail: v=spf1 include:spf.protection.outlook.com include:_spf.salesforce.com -all
- IP-адреса с Softfail: v=spf1 ip4:192.168.1.0/24 ip6:2001:db8::/32 ~all
- Смешанные механизмы: v=spf1 a mx include:_spf.google.com ip4:203.0.113.0/24 -all
SPF -all против ~all
Оба механизма SPF -all и SPF ~all означают «НЕ ПРОШЕЛ» для аутентификации SPF. В последнее время поставщики электронной почты используют результаты SPF в качестве одного из многих факторов, при этом политика DMARC и сигналы репутации оказывают большое влияние на окончательные решения о доставке.
Однако несколько лет назад ситуация была иной.
Что означает v=spf1 -all?
Запись SPF, заканчивающаяся на «-all» (hardfail), дает указание получающим почтовым серверам отклонять все электронные письма, которые не приходят от авторизованных отправителей, указанных в вашей записи SPF. Это самая строгая политика SPF, которая обеспечивает максимальную защиту от подделки электронной почты.
Что означает ~all в SPF?
Механизм «~all» (softfail) сообщает принимающим серверам, что электронные письма от неавторизованных отправителей должны помечаться как подозрительные, но все же доставляться в почтовый ящик получателя, часто в папку «Спам».
Как работал механизм SPF all (Softfail vs Fail) до появления DMARC?
DMARC был создан спустя долгое время после того, как SPF уже был представлен на рынке в качестве стандартного протокола аутентификации электронной почты. В то время механизм SPF - all softfail работал следующим образом:
Предположим, что ваша запись SPF была:
v=spf1 include:spf.domain.com ~all (где ~all означает SPF Softfail)
Почтовый сервер получателя выполнил бы поиск DNS, чтобы запросить у DNS отправителя его запись SPF. Если домен Return-path электронного письма не был указан в записи отправителя, сервер получателя вернул бы результат SPF «NOT PASS», но доставил бы электронное письмо в папку «Входящие» получателя.
Теперь предположим, что ваша запись SPF была:
v=spf1 include:spf.domain.com -all (где -all означает SPF Fail)
Почтовый сервер получателя выполнил бы поиск DNS, чтобы запросить у DNS отправителя его запись SPF. Если домен Return-path электронного письма не был указан в записи отправителя, сервер получателя вернул бы результат SPF «NOT PASS», но в этом случае электронное письмо было бы отклонено и не доставлено в почтовый ящик получателя.
Подробнее об истории Sender Policy Framework.
Как упростить управление записями SPF
Управление записями SPF может стать сложной задачей по мере роста организации и добавления новых служб отправки электронной почты. Ограничение в 10 запросов DNS является распространенной проблемой, которая при превышении вызывает сбои в аутентификации SPF. Автоматизированное решение PowerDMARC для управления SPF решает эти проблемы с помощью передовых методов оптимизации.
Технология SPF flattening от PowerDMARC автоматически оптимизирует ваши SPF-записи, чтобы они не выходили за пределы ограничений DNS-поиска, при этом сохраняя полный охват аутентификации электронной почты. Это гарантирует, что ваши легитимные электронные письма будут по-прежнему правильно аутентифицироваться, даже если вы добавите новые почтовые сервисы и маркетинговые инструменты.
Как Пабло Эррерос упростил управление DNS с помощью PowerDMARC
Достигнут показатель безопасности доменов на уровне 100% для всех управляемых доменов
Упрощенное управление SPF, DKIM и DMARC для нескольких доменов
Более быстрая регистрация клиентов благодаря автоматизированным проверкам аутентификации
Повышение показателей доставки электронной почты и репутации домена
Как поставщики услуг электронной почты обрабатывают механизм SPF -all vs ~all в настоящее время?
Современные поставщики услуг электронной почты, такие как Gmail, Outlook и Yahoo, обрабатывают механизмы SPF иначе, чем в эпоху до DMARC. Большинство крупных провайдеров теперь при принятии решений о доставке писем ориентируются на политики DMARC, а не на отдельные результаты SPF.
- Подход Gmail: Gmail обрабатывает SPF softfail (~all) как более слабый сигнал аутентификации, в то время как hardfail (-all) может усилить подозрения в отношении сообщений, которые не соответствуют авторизованным источникам отправки. Окончательные решения о доставке зависят от политики DMARC и других сигналов фильтрации.
- Обработка Microsoft Outlook: Outlook.com и Microsoft 365 учитывают результаты SPF в рамках своей оценки фильтрации и аутентификации. Hardfail (-all) может рассматриваться более строго, чем softfail (~all), но окончательная обработка все же зависит от политики DMARC и дополнительных сигналов.
Хотя в настоящее время вы можете свободно использовать SPF -all или ~all для большинства почтовых провайдеров, не беспокоясь о сбоях в доставке легитимных писем, может возникнуть ситуация, когда сервер отклонит ваше письмо в случае использования атрибута -all. Чтобы быть на безопасной стороне, вы можете избежать использования механизма SPF hard fail -all при создании своей записи SPF. Вот как это сделать:
- Откройте генератор записей PowerDMARC SPF , чтобы начать создавать запись бесплатно.
- После указания IP-адресов и доменов ваших отправителей электронной почты прокрутите вниз до последнего раздела, предназначенного для указания почтовым серверам, насколько строгими они должны быть при проверке ваших писем.
- Выберите опцию "Soft-fail" перед нажатием кнопки "Generate SPF Record".
Что мы рекомендуем? SPF -all или SPF ~all
Используйте SPF ~all (softfail), если:
- Вы новичок в области аутентификации электронной почты и хотите минимизировать риски доставки
- Ваша организация часто добавляет новые услуги по отправке электронной почты
- Вы еще не внедрили мониторинг DMARC
- Вы находитесь в тестовой фазе и хотите понаблюдать за результатами аутентификации
Используйте SPF -all (hardfail), если:
- Вы правильно настроили и контролируете DMARC
- Ваша запись SPF включает все легитимные источники отправки
- Вы хотите максимальную защиту от подделки электронной почты
- Ваша инфраструктура электронной почты стабильна и хорошо документирована.
Проблемы с доставкой электронной почты, связанные с механизмом SPF -all, могут возникать в очень редких случаях. Это не та проблема, с которой вы часто сталкиваетесь. Чтобы никогда не сталкиваться с этой проблемой, вы можете предпринять следующие шаги:
- Настроить DMARC для ваших электронных писем и включите отчетность DMARC
- Установите свою DMARC на мониторинг и внимательно проверяйте результаты аутентификации SPF, чтобы выявить любые несоответствия в доставке электронной почты.
- Если все в порядке, вы можете использовать механизм -all в вашей записи SPF. Мы рекомендуем использовать атрибут hard fail, поскольку он подтверждает, что вы уверены в подлинности ваших писем, что может повысить репутацию вашего домена.
Если вы не уверены в том, что используете SPF -all, вы можете выполнить следующие шаги:
- Настройте запись SPF с помощью механизма ~all
- Настройте DMARC для ваших электронных писем и включите отчетность DMARC
- Установите политику DMARC на отклонение
Как устранять распространенные ошибки записей SPF
Ошибки SPF обычно делятся на четыре категории: отсутствующая запись, дублирующаяся запись, недействительная запись или сбой DNS-поиска. Используйте приведенную ниже таблицу ошибок, чтобы быстро найти решение.
Распространенные ошибки SPF включают:
- SPF PermError: Ваша запись SPF недействительна. Обычно это происходит из-за синтаксических ошибок или потому, что запись превышает ограничение на 10 DNS-поисков (например, слишком много механизмов include ).
- SPF TempError: временная проблема с разрешением DNS (тайм-ауты, временные сбои DNS). Эта проблема может решиться сама по себе, но повторяющиеся TempErrors обычно указывают на нестабильность DNS или проблемы с сервером имен.
- SPF None: для проверяемого домена не найдена запись SPF. Часто это означает, что SPF не опубликован, опубликован на неправильном домене или DNS не распространился.
- Несколько записей SPF: для одного и того же домена существует более одной записи SPF TXT, что нарушает оценку SPF и обычно приводит к сбоям аутентификации.
Если вы часто видите сообщение «No SPF record found», это означает, что принимающий сервер вернул нулевой результат при запросе DNS для вашей записи SPF TXT. Это может быть вызвано отсутствием записи, проверкой неверного домена (Return-Path vs From) или проблемами с публикацией/распространением DNS. (Ссылка на статью «Не найдена запись SPF» здесь.)
Если у вас настроена DMARC вместе с SPF, принимающие серверы также будут оценивать вашу политику DMARC, чтобы решить, как обрабатывать сообщения, которые не прошли аутентификацию. В зависимости от вашей политики, сообщения, не прошедшие аутентификацию, могут быть доставлены, помещены в карантин или отклонены. Политика отклонения DMARC может значительно уменьшить количество атак с подделкой личности, таких как спуфинг и фишинг, заставляя получателей блокировать неаутентифицированную почту.
Мониторинг SPF от PowerDMARC помогает вам своевременно обнаруживать эти ошибки, отмечая проблемы с аутентификацией, выявляя их первопричину и помогая вам исправить их до того, как это повлияет на доставляемость.
Часто задаваемые вопросы
Что означает v=spf1 -all?
Запись SPF «v=spf1 -all» означает, что только IP-адреса и домены, явно указанные в записи SPF, имеют право отправлять электронные письма для вашего домена. Любые электронные письма из неавторизованных источников будут отклонены (hardfail). Это самая строгая политика SPF, которая обеспечивает максимальную защиту от подделки электронной почты.
В чем разница между SPF и DKIM?
SPF (Sender Policy Framework) проверяет, что электронные письма приходят с авторизованных IP-адресов, а DKIM (DomainKeys Identified Mail) использует криптографические подписи для проверки целостности и подлинности электронных писем. SPF проверяет сервер-отправитель, а DKIM проверяет, что содержимое электронного письма не было подделано во время передачи.
SPF одинаков для всех почтовых провайдеров?
Нет, разные почтовые провайдеры могут по-разному интерпретировать результаты SPF. Хотя большинство современных провайдеров следуют схожим стандартам, некоторые могут быть более лояльными к результатам softfail (~all), в то время как другие строго соблюдают политику hardfail (-all). DMARC помогает стандартизировать такое поведение у всех провайдеров.
Что делает +all в SPF?
Механизм «+all» в SPF означает «пропустить все» — он позволяет любому IP-адресу отправлять электронные письма от имени вашего домена. Это крайне не рекомендуется, так как не обеспечивает защиту от подделки электронной почты и фактически делает вашу запись SPF неэффективной.
Должен ли я использовать SPF -all или ~all для своего домена?
Начните с ~all (softfail), пока вы еще подтверждаете все легитимные источники отправки или ваша настройка меняется. Переключитесь на -all (hardfail) только после того, как ваша запись SPF будет завершена, а отчеты DMARC покажут, что легитимные электронные письма не проходят аутентификацию, чтобы вы могли обеспечить более строгую защиту с меньшим риском.
Как исправить ошибки аутентификации SPF?
Общие исправления включают: добавление отсутствующих IP-адресов или доменов в запись SPF, сокращение числа запросов DNS до уровня ниже предела в 10 запросов, удаление дубликатов записей SPF и обеспечение правильного синтаксиса записей SPF. Автоматизированное управление SPF от PowerDMARC может помочь решить эти проблемы автоматически.
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.
Последние сообщения Юнеса Тарады (см. все)
- Неверный формат серийного номера SOA: причины и способы устранения - 13 апреля 2026 г.
- Как отправлять защищенные письма в Gmail: пошаговое руководство - 7 апреля 2026 г.
- Как отправлять защищенные электронные письма в Outlook: пошаговое руководство - 2 апреля 2026 г.
