Czym jest SPF -all?
Mechanizm -all w rekordzie SPF (Sender Policy Framework) definiuje najsurowszą możliwą politykę wobec nieautoryzowanych nadawców. Nakazuje serwerom odbiorcy odrzucać każdą wiadomość, która nie pochodzi z adresu IP lub domeny jawnie wymienionej w Twoim rekordzie SPF.
Krótko mówiąc, -all oznacza: "Jeśli nie ma tego na liście, oznacz jako niepowodzenie".
Przykładowy rekord SPF:
v=spf1 include:_spf.google.com -allTen rekord stwierdza, że tylko serwery autoryzowane przez wpis SPF Google mogą wysyłać pocztę dla domeny. Każdy inny serwer próbujący wysłać pocztę przy użyciu tej samej domeny powinien zostać odrzucony.
Rekord SPF to wpis DNS TXT, który określa, które serwery pocztowe mogą wysyłać wiadomości w imieniu Twojej domeny. Składa się z mechanizmów (takich jak ip4, include czy a), po których następuje kwalifikator wskazujący, co zrobić, gdy wiadomość pasuje do reguły lub nie.
Kwalifikator -all pełni rolę reguły końcowej:
-all nakazuje serwerowi oznaczyć uwierzytelnianie SPF tej wiadomości jako niepomyślne.Inne popularne kwalifikatory to:
~all → Softfail (akceptuj, ale oznacz jako podejrzane)?all → Neutral (brak polityki)+all → Zezwól na wszystko (niezalecane)Używając -all, właściciele domen egzekwują twarde niepowodzenie (hard fail), sygnalizując, że tylko zdefiniowane źródła są prawidłowe.
Użycie -all znacząco wzmacnia ochronę domeny przed atakami spoofingu i phishingu. Bez niego nieautoryzowane serwery mogłyby wysyłać wiadomości, które wyglądają, jakby pochodziły z Twojej domeny, co może wprowadzać odbiorców w błąd lub szkodzić Twojej reputacji nadawcy.
Twarde niepowodzenie pomaga serwerom odbiorcy i politykom DMARC podejmować zdecydowane działania. Na przykład:
Wdrożenie -all przedwcześnie, przed zweryfikowaniem wszystkich prawidłowych źródeł wysyłki, może jednak prowadzić do niepowodzeń w dostarczaniu prawidłowej poczty. Najlepszą praktyką jest rozpoczęcie od ~all (softfail) na etapie testów, a następnie przejście na -all, gdy konfiguracja SPF jest w pełni zweryfikowana.
DMARCeye pomaga organizacjom bezpiecznie przejść na politykę -all, monitorując, które serwery wysyłają pocztę dla ich domeny. Dzięki szczegółowym raportom DMARC DMARCeye pokazuje, czy każde źródło przechodzi kontrole SPF, czy nie, co ułatwia rozpoznanie prawidłowych systemów przed zaostrzeniem egzekwowania.
Gdy będziesz gotowy, informacje z DMARCeye zagwarantują, że Twoja konfiguracja SPF -all wspiera politykę DMARC bez blokowania prawidłowego ruchu.
Sprawdź swój rekord SPF:
Wypróbuj DMARCeye za darmo i zabezpiecz swoją domenę e-mail.
Aby dowiedzieć się więcej o DMARC i powiązanych pojęciach, zajrzyj do Słownika pojęć DMARCeye.