SPF 以 TXT 记录的形式存在于你的域名的 DNS 中,其中有一堆机制和修饰语,代表着特定的指令。SPF 所有机制出现在 SPF 记录的右端,前面是"-"或"~"。让我们来看看 SPF -all 和 ~all 机制之间有什么区别,以确定你什么时候应该配置它们。
SPF -all vs ~all
SPF -all 和 ~all 机制都标志着 SPF 认证的 "不通过"。近来,对于大多数电子邮件服务提供商来说,-all 和 ~all 机制之间没有区别,返回的结果是一样的。然而,几年前的情况并非如此。
在DMARC之前,SPF的所有(Softfail vs Fail)机制是如何运作的?
DMARC 是在 SPF 作为标准电子邮件身份验证协议进入市场很久之后才创建的。当时,SPF -all 软故障机制的运行方式如下:
假设你的SPF记录是。
v=spf1 include:spf.domain.com ~all(其中 ~all 表示 SPF Softfail)
你的收件人的电子邮件服务器会进行一次DNS查询,询问发件人的DNS是否有SPF记录。如果这封邮件的返回路径域名没有列在发件人的记录中,接收服务器就会返回一个SPF "不通过 "的结果,但是 将会把邮件到接收者的收件箱中。
现在让我们假设你的SPF记录是。
v=spf1 include:spf.domain.com -all(其中 -all 表示 SPF 失败)
你的收件人的电子邮件服务器会进行一次DNS查询,询问发件人的DNS是否有SPF记录。如果这封邮件的返回路径域名没有列在发件人的记录中,接收服务器会返回一个SPF "NOT PASS "的结果,但在这种情况下,这封邮件会被 被被拒绝,并且没有被送到到接收者的收件箱中。
阅读更多关于发送者政策框架的历史。
现在电子邮件服务提供商是如何处理SPF-all与~all机制的?
虽然目前你可以自由地对大多数邮箱提供商使用 SPF -all 或 ~all,而不必担心合法邮件的发送失败。 在使用-all属性的情况下,可能会出现服务器拒绝你的邮件的情况。.
为了更安全起见,你可以在创建 SPF 记录时避免使用 SPF 硬失败机制。这就是你的做法。
- 打开PowerDMARC SPF记录生成器来开始免费创建一个记录
- 在包括IP地址和域名或你的电子邮件发件人后,向下滚动到最后一节,指定指示电子邮件服务器在验证你的电子邮件时应如何严格。
- 在点击 "生成SPF记录 "按钮之前,选择 "软失败 "选项
我们推荐什么?SPF -全部或SPF ~全部
与SPF-all机制有关的电子邮件交付能力问题可能在非常罕见的情况下发生。这不是一个你会经常遇到的反复出现的问题。为了确保你永远不会遇到这个问题,你可以采取以下步骤。
- 配置 DMARC并启用 DMARC报告
- 将DMARC 策略设置为监控,并仔细检查 SPF 验证结果,以发现电子邮件可送达性中的任何不一致之处
- 如果一切顺利,你可以在你的SPF记录中使用-all机制。我们推荐使用硬失败属性,因为它肯定了你对你的电子邮件的真实性有信心,这可以提高你的域名的声誉。
如果你目前对使用SPF-all没有把握,你可以按照以下步骤进行。
- 使用~all机制设置一个SPF记录
- 为电子邮件配置 DMARC,并启用 DMARC 报告功能
- 设置你的DMARC政策为拒绝
解决其他SPF错误的问题
在使用在线工具时,你可能经常遇到"没有找到 SPF 记录"的提示,这是一个常见的错误状态,是由于服务器在查询你的域名的 SPF 记录时返回了一个空的结果。我们已经在一篇文章中详细介绍了这个问题,并帮助用户解决这个问题。点击链接文本,了解更多
如果你在SPF的基础上为你的域名设置了DMARC,电子邮件服务器将检查你的域名的DMARC政策,以确定你希望如何处理认证失败的电子邮件。这个DMARC政策将决定你的邮件是否被送达、隔离或拒绝。
DMARC拒绝有助于保护您的域名免受各种冒充攻击,如欺骗、网络钓鱼和勒索软件。
- 雅虎日本建议用户在 2025 年采用 DMARC- 2025 年 1 月 17 日
- MikroTik 僵尸网络利用 SPF 配置错误传播恶意软件- 2025 年 1 月 17 日
- 禁止发送 DMARC 未验证邮件 [解决]- 2025 年 1 月 14 日