Нейтральный механизм SPF (?all) объясняется: Когда и как его использовать
Последнее обновление:
5 Время чтения: 5 минут
Нейтральный механизм SPF "?all" - это механизм в записях Sender Policy Framework (SPF), который приводит к нейтральной оценке. Он предписывает принимающим серверам не принимать решение о прохождении или провале на основе SPF.
- Пример SPF-записи с ?all:
v=spf1 include:_spf.google.com ?all
В этом примере домен включает настройки SPF Google, но заканчивается символом `?all`, который указывает принимающим серверам занять нейтральную позицию по отношению к другим отправителям. Он не одобряет и не отвергает их, не предлагая четкого суждения.
Хотя с технической точки зрения `?all' может создавать двусмысленность, которая ослабляет доверие, затрудняет применение DMARC и может привести к проблемам с доставкой при неправильном использовании.
Ключевые выводы
- Нейтральный механизм SPF не дает четкого определения, является ли письмо легитимным или нет.
- Механизм ?all может быть полезен в некоторых случаях, например, для тестирования и старых конфигураций.
- Однако при использовании в производстве он может создать двусмысленность для почтовых серверов.
- Не рекомендуется использовать нейтральный механизм SPF в производстве, поскольку он может способствовать спуфингу и вызывать сбои в аутентификации и доставке электронной почты.
- Чтобы повысить безопасность электронной почты вашего домена, рекомендуется заменить механизм ?all на softfail (т.е. ~all).
Нейтральный механизм SPF (?все) по сравнению с другими механизмами
"Владелец домена явно заявил, что он не может или не хочет утверждать, авторизован ли данный IP-адрес". Результат "Neutral" ДОЛЖЕН рассматриваться точно так же, как и результат "None"; различие существует только в информационных целях. Более суровое отношение к "Neutral", чем к "None", отбивает у владельцев доменов желание проверять использование записей SPF." - RFC 4408
В этом году мы будем работать над созданием "Оранжереи".все" отличается от других квалификаторов SPF тем, что не дает результата "прошел/не прошел", что может затруднить оценку DMARC и принятие решений почтовым сервером.
В этом году на экране появится "?all" может запутать принимающие почтовые серверы, и они не будут знать, стоит ли доверять этому письму или нет. В таблице ниже приводится краткое описание эффектов и вариантов использования различных механизмов.
| Механизм | Эффект | Пример использования |
|---|---|---|
| ?все (нейтральный механизм) | Нейтральный - нет суждений о прохождении или провале | Редко используется и не рекомендуется. Иногда используется во время переходных настроек. |
| ~все (рекомендуемый подход) | Soft fail - отмечает как подозрительный | Используется во время развертывания SPF, так как отмечает неавторизованных отправителей, не блокируя их, что позволяет DMARC применять политики без риска ложных срабатываний. |
| -все | Жесткий отказ - может быть отвергнут почтовыми серверами | Используется для строгого контроля и надежной защиты. Используйте с осторожностью. Убедитесь, что ваша запись SPF заполнена, прежде чем применять -all, чтобы избежать отклонения легитимных писем. |
Когда использовать нейтральный механизм SPF
Нейтральный механизм SPF не рекомендуется для большинства современных почтовых систем. В некоторых случаях его все же можно использовать, соблюдая осторожность и заранее планируя переход на более безопасные механизмы.
Наследные системы
В некоторых старых инфраструктурах и системах могут отсутствовать четкие политики отправителей или надлежащая обработка SPF. В таких случаях для поддержания функциональности вам понадобится нейтральная позиция, как в случае с нейтральным механизмом SPF.
Фаза тестирования
Вы также можете использовать этот механизм при первоначальном внедрении SPF. Он позволит владельцам доменов отслеживать почтовый трафик, сохраняя доставку в целости и сохранности, что делает его безопасным для использования в качестве отправной точки.
Редкие случаи
Иногда другие механизмы, такие как ~all или -all, могут вызывать неожиданные проблемы с доставкой. Чтобы диагностировать эти проблемы, можно временно использовать механизм ?all.
⚠️ Механизмы SPF оцениваются последовательно, и размещение ?all перед другими механизмами может привести к тому, что оценка SPF будет остановлена раньше времени, что может привести к обходу запланированных проверок.
Каковы риски использования ?
Механизм ?all не позволяет четко определить результаты аутентификации, что подрывает как безопасность электронной почты (например, защиту от подмены), так и возможность ее доставки. Возможные риски включают:
Подмена электронной почты
Поскольку ?all возвращает нейтральный результат, он не обеспечивает защиту от подмены. В отличие от этого, ~all и -all возвращают идентифицируемые сигналы отказа. В сочетании с принудительной политикой DMARC эти сигналы позволяют принимающим серверам помещать неавторизованные письма в карантин или отклонять их.
Конфликты DMARC
Нейтральные результаты SPF от ?all все еще могут технически соответствовать DMARC, если домены совпадают, но они не дают сигнала "прошел/не прошел", который требуется DMARC для принятия принудительных мер.
Проблемы с доставкой
Некоторые почтовые серверы интерпретируют механизм ?all (нейтральный) в SPF как слабую или неконфликтную политику. Это может свидетельствовать о плохом соблюдении идентификации отправителя, что потенциально снижает доверие. Такие почтовые провайдеры, как Gmail, используют множество сигналов, и слабая политика SPF может быть лишь одним из многих факторов.
Как заменить ?all на ~all или -all
Чтобы повысить уровень безопасности электронной почты вашего домена, вам следует заменить механизм ?all на более определенный. Вот основные шаги, которые вам нужно будет предпринять в этом процессе.
1. Аудит текущей SPF-записи
Используйте PowerDMARC программа проверки SPF чтобы проверить текущую конфигурацию. Если у вас нет записи, наш бесплатный генератор SPFr поможет вам создать ее с учетом ваших источников рассылки.
2. Замените ?all на ~all
Механизм soft fail (~all) является одновременно осторожным и практичным подходом. DMARC при p=reject может по-прежнему отклонять электронные письма на основе SPF ~all, если проверка SPF не удалась (~all срабатывает как "fail").
3. Мониторинг отчетов DMARC
Также важно регулярно отслеживать активность электронной почты с помощью сводных отчетов DMARC. PowerDMARC анализатор отчетов DMARC предлагает удобные отчеты DMARC в режиме реального времени, чтобы помочь вам оставаться в курсе событий и быть в безопасности.
Распространенные ошибки нейтрального механизма SPF
Если вы неправильно используете механизм ?all, вы можете столкнуться с непреднамеренными пробелами в безопасности и проблемами с доставляемостью. Вот несколько частых ошибок, которых следует избегать.
Ошибка 1: Использование ?all в производстве
Нейтральные политики не обеспечивают никакой защиты. Это позволяет поддельным письмам казаться легитимными. В результате под угрозой может оказаться как ваша репутация, так и безопасность ваших получателей.
Ошибка 2: комбинирование ?all со строгими политиками DMARC
Такая политика DMARC, как p=reject, зависит от SPF (или DKIM), обеспечивающего четкое подтверждение или отказ. При нейтральном SPF DMARC не будет знать, что делать, и может возникнуть ненужный отказ DMARC.
Ошибка 3: Предполагать, что ?all эквивалентно ~all
~all, по крайней мере, отмечает неавторизованных отправителей. Механизм ?all, с другой стороны, не дает никаких оценок. Многие путают эти два варианта и поэтому сталкиваются с проблемами аутентификации и доставки электронной почты.
Вопросы и ответы
1. Является ли это тем же самым, что и отсутствие записи SPF?
Нет. Все они сигнализируют о нейтральной позиции. Запись No SPF, с другой стороны, не дает никаких указаний. Почтовые серверы относятся к ним по-разному.
2. Могу ли я использовать ?all с DMARC?
Технически да, но это не рекомендуется. DMARC полагается на четкие результаты прохождения/непрохождения SPF для обеспечения соблюдения. Использование ?all часто приводит к нейтральным результатам, снижая эффективность DMARC.
Заключительные размышления
Механизм ?all в записях SPF может показаться безобидным на первый взгляд, но он может быть опасен. На практике он не рекомендуется и может подвергнуть ваш домен подделке и снизить эффективность политик DMARC.
Если вы в настоящее время используете ?all, планируйте заменить его на ~all (soft fail) для повышения безопасности и надежности аутентификации электронной почты.
Для обеспечения долгосрочной надежности SPF упростите управление и избегайте ограничений на поиск DNS с помощью PowerDMARC. размещенный SPF решение. Оно создано для обработки сложных записей и автоматической оптимизации для обеспечения безошибочной аутентификации домена.
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.
Последние сообщения Юнеса Тарады (см. все)
- Объяснение DMARCbis — что меняется и как подготовиться - 16 апреля 2026 г.
- Неверный формат серийного номера SOA: причины и способы устранения - 13 апреля 2026 г.
- Как отправлять защищенные письма в Gmail: пошаговое руководство - 7 апреля 2026 г.
