SPF 失败与软失败的优缺点

桑德拉，你已经找到了一个相关的问题，但在我看来，得分最高的答案并不能公正地回答你的问题。

让我先回答你的最后一个问题：SPF SoftFails 伪造的网络钓鱼电子邮件真正到达某人的收件箱的可能性有多大？ 非常大！结合 DMARC 隔离/拒绝策略以及 Office 365、Outlook.com、Gmail、Yahoo 或其他主要托管商上的接收邮箱，可能性非常小。

您的第一个问题：Fail SPF 记录相对于 Soft Fail SPF 记录有哪些优势。 正如您在自己的研究中提到的，缺点是转发的电子邮件将被拒绝，除非转发器重写退回地址（返回路径）。优点是可以更好地保护域名免受欺骗，但仅限于最简单的尝试。

如上所述，SPF 的注意事项是它针对 SMTP 进行检查信封发件人，保存在邮件头字段中Return-Path。实际收件人不会知道此字段，因为大多数电子邮件客户端只会向他们显示另一个字段，即标题From。例如：我发送了一封带有标题的电子邮件，但我使用作为信封发件人。即使发布From: [email protected][email protected]microsoft.com失败SPF 策略，它不会因为example.com不发布 SPF 记录而导致 SPF 失败。收件人只会看到来自 的电子邮件[email protected]。

这就是 DMARC 发挥作用的地方。DMARC 要求身份验证与From标头中使用的域保持一致，无论是 SPF 还是 DKIM。这意味着信封发件人 ( Return-Path) 中使用的域和标头From:应共享一个组织域。DMARC 仅关心底层身份验证机制（SPF 或 DKIM）的 PASS 结果，因此，对于 SPF 而言，~all和-all的处理方式完全相同。

Terry Zink 发表了多篇关于 DMARC 的文章，其中一篇是： 使用 Office 365 中的 DKIM 和 DMARC 增强电子邮件保护

关于 SPF、DKIM 和 DMARC 还有很多可以学习的内容，这超出了本文的讨论范围。DMARC 实施起来并不容易，也并不完美，但它确实可以保护您的域名免受欺骗，比仅使用 SPF 要好得多。此外，一切都取决于接收方以及他们如何处理 SPF 和 DMARC（如果有的话）。

随着电子邮件营销的不断发展，确保所有电子邮件都通过 SPF、DKIM、DMARC 以及 BIMI 进行正确验证非常重要。

您应该首先审核用于从您的域发送电子邮件的所有工具和应用程序。然后确保为每个工具或应用程序设置 SPF 和 DKIM，以便正确验证其身份。

最后，你可以使用DMARC 分析器工具设置具有无策略的 DMARC 并监控您的汇总报告几周。DMARC 将帮助您确保所有电子邮件都经过正确验证。

在您监控报告几周并确保仅发送经过身份验证的电子邮件后，您可以开始推出或执行 dmarc 政策。

现在回到您最初的问题，我认为在 DMARC 集成过程中您可以使用 ~all 策略，但是在审核了整个基础设施并设置 SPF 和 DKIM 之后，您可以在 SPF 记录中使用更严格的 -all 策略。

如果你想了解更多关于 SPF 失败的信息，我建议你阅读SPF 软失败 – 有关 SPF 失败的一切。