Hvad er SPF Inkluderer?
SPF Include-mekanismen indeholder referencer eller betingelser - inde i en SPF-post - som skal opfyldes for hver enkelt server for at forbedre e-mailleveringsevnen. Hvis du ved et uheld glemmer at tilføje Include-erklæringerne for dine tredjepartsleverandører i din SPF-post, kan det føre til problemer for dine modtagere, f.eks. afviste e-mails, og din samlede afvisningsprocent kan stige.
Lær, hvad "Include"-mekanismen i SPF Records er, og hvordan du kan optimere SPF Include-meddelelser til dine behov.
Hvad betyder SPF Include?
I din SPF-records syntaks angiver "include"-mekanismen records, der skal få din e-mailserver til at tjekke for records, der matcher det domæne, der er angivet i "include"-linjen.
SPF "include" peger på et domæne, hvis SPF-poster vil blive spurgt, når det kontrolleres, om den afsendende IP-adresse er tilladt eller ej. Hvis den afsendende IP-adresse er inkluderet i en "include"-liste defineret af SPF, vil det resultere i et match, og SPF godkendes.
Betydningen af SPF Multiple Include Mechanism
SPF er vigtig, fordi:
➜ Den angiver, at du ønsker at blive beskyttet af SPF-poster for alle domæner, der er anført i din "include"-blok.
➜ Den tilføjer regler, der er specifikke for et domæne.
➜ Du kan bruge SPF Include-mekanismen til yderligere at indarbejde generelle filtreringsregler, der gælder for alle domæner inden for samme klasse. Det betyder, at hvis dit program understøtter flere klasser af e-mail-adresser, kan du bruge include-angivelser til at muliggøre mere kompleks filtrering baseret på klassen af modtageradressen.
Hvordan fungerer SPF inklusiv?
SPF include-mekanismen gør det muligt for en domæneejer at uddelegere ansvaret for at sende e-mails til et andet domæne. Den bruges ofte, når en domæneejer ønsker at autorisere en tredjepartstjeneste eller -udbyder til at sende e-mails på deres vegne.
Sådan fungerer SPF's inkluderingsmekanisme:
- Domæneejeren offentliggør en SPF-post
- Include-mekanismen i SPF-recorden angiver et andet domæne eller en IP-adresse, som er autoriseret til at sende e-mails på deres vegne.
- Under opslagsprocessen hentes SPF-recorden fra afsenderens domænes DNS.
- Den modtagende e-mailserver evaluerer SPF-recorden for at afgøre, om afsenderserveren er autoriseret til at sende e-mails for det pågældende domæne. Hvis SPF-recorden indeholder en "include"-mekanisme, fortsætter den modtagende server med også at tjekke det inkluderede domænes SPF-record.
- Den modtagende server udfører et rekursivt opslag ved at forespørge DNS efter det inkluderede domænes SPF-post. Denne proces fortsætter, hvis der er flere lag af inkluderingsmekanismer.
Eksempel på inkludering af SPF
For eksempel: Hvis du har "include:_spf.google.com" i din SPF-post, og der sendes e-mails fra en Google IP-adresse, vil det blive betragtet som en autoriseret e-mailafsender, fordi den oprindelige IP findes inden for "include"-mekanismen i domænets SPF-post. Som et resultat af dette vil e-mailen med succes passere gennem serveren, før den når den tilsigtede modtager.
For at autorisere Google som en verificeret afsenderkilde, skal dette være din SPF record syntax:
v=spf1 include:_spf.google.com ~all
Hvorfor anbefales SPF Multiple Includes ikke?
Flere SPF-poster forvirrer modtagerserveren med hensyn til, hvilken TXT-record der skal tages i betragtning under et opslag, og for mange SPF-records tilføjer flere DNS-opslag, som hurtigt vil overskride opslagsgrænsen på 10.
SPF-poster er TXT-poster, der begynder med strengen v=spf1. De fortæller e-mail-servere, hvilke regler de skal følge, når de skal afgøre, om en given e-mail er spam eller ej. Reglerne omfatter bl.a. følgende:
Hvis du derfor har to separate SPF TXT-posteringer på din server, vil dine e-mails ikke kunne godkendes af SPF-autentificeringen og returnere en PermError. Det skyldes, at en modtagende mailserver ikke ved, hvilken regel den skal følge - den vil simpelthen ignorere begge disse TXT-poster.
Hvordan inkluderer man flere domæner, hosts eller IP-adresser i sin SPF-post?
Når du ønsker at inkludere mere end 1 SPF-record, kan du løbe ind i problemer med e-mail-levering (f.eks. e-mails bliver afvist som spam). Løsningen er at slette de pågældende SPF-poster og flette domænerne eller host-posterne til en enkelt post eller linje via SPF include.
Tag et eksempel på SPF-rekordet med mange værter og ip4-adresser, der bruges af en af verdens kendte teknologiske producenter af forbrugerelektronik, Lenovo.com.
Når du udfører Opslag af SPF-optegnelser for Lenovo.com fandt vi ud af, at det har fusioneret 4 domæner:
- spf.messagelabs.com
- _netblocks.eloqua.com
- spf.protection.outlook.com
- spf.pfpool.lenovo.com
og 5 IP4-adresser:
- 72.32.45.225
- 40.65.201.146
- 138.108.60.125
- 138.108.24.107
- 52.247.21.11
i en enkelt post som her:
v=spf1 include:spf.messagelabs.com include:_netblocks.eloqua.com include:spf.protection.outlook.com include:spf.pfpool.lenovo.com ip4:72.32.45.225 ip4:40.65.201.146 ip4:138.108.60.125 ip4:138.108.24.107 ip4:52.247.21.11 ~all
Forståelse af SPF-optegnelsens semantik
I eksemplet ovenfor har vi lært, at følgende regel gælder, når mange værter eller IP4-adresser skal slås sammen i en enkelt SPF-post.
En SPF-record skal have tre sektioner for at blive betragtet som gyldig: erklæringen (start), include-mekanismen for domæner og IP4-tagget for IP-adresser (midten) og en håndhævelsesregel (slutningen).
➜ Erklæring: Registreringen skal starte med v=spf1 (denne streng må ikke bruges igen i reglen)
➜ Tilladte domæner: Tilføj et omfatte: for hvert domæne (du skal bruge SPF Include-mekanismen som include: med hvert domæne, du tilføjer i SPF-posten)
➜ Tilladte IP'er: Tilføj en IP4 tag for hver IP-adresse (du skal bruge IP4-tagget før hver IP-adresse, du tilføjer til SPF-posten)
➜ Regel om håndhævelse: Afslutte posten med en ~all erklæring (brug denne streng til sidst og kun én gang)
En vigtig bemærkning om SPF omfatter
Det er vigtigt at indarbejde "include"-mekanismen i din SPF-post, fordi den giver dig mulighed for at inkludere andre domæner og værter i din SPF-post, hvilket kan være nyttigt til at verificere ægtheden af dine meddelelser.
Følgende regel gælder dog for brugen af antallet af opslag pr. SPF-post (som nævnt i afsnit 10.1 i RFC 4408):
"SPF-implementeringer SKAL begrænse antallet af mekanismer og modifikatorer til højst 10 pr. SPF-tjek, inklusive eventuelle opslag forårsaget af brugen af "include"-mekanismen eller "redirect"-modifikatoren."
Hvis din SPF-implementering ikke begrænser antallet af mekanismer og modifikatorer, vil den ikke foretage kontrol af uopnåelige værter. Da disse værter aldrig vil blive medtaget i dine kontroller, vil de aldrig modtage post fra klienter. Dette kan give alvorlige problemer med postlevering.
Forskellen mellem SPF omfatter: og en:
SPF "include"-mekanismen bruges til at inkludere SPF-poster fra et andet domæne i det aktuelle domænes SPF-post, mens SPF "a"-mekanismen bruges til at specificere individuelle IP-adresser eller værtsnavne (A-poster), der er autoriseret til at sende e-mails for domænet.
SPF inkluderer vs a
Grunde til at bruge en:
- Det er mere praktisk og mindre kompliceret
- Fordi du ikke har aktiveret SPF på de relevante domæner
- Fordi SPF ikke er konfigureret korrekt, eller fordi den fejlagtigt tillader andre servere, der ikke er i dens A-poster
Der er bl.a. følgende grunde til at bruge den:
- Du stoler på, at et webstedets domænenavn har en gyldig SPF-post
- Fordi du ønsker at have en enkelt kilde til sandheden af hensyn til "gentag det ikke selv"-årsager, og SPF-domænet er komplekst
- Du kan foretage ændringer i dine SPF-poster uden nødvendigvis at redigere DNS'en for alle de domæner, der omfatter dit domæne
Automatiseret optimering af SPF Include: for flere domæner og IP-adresser
SPF-poster med flere værter og IP-adresser er ikke noget nyt. Men hvordan du skal opbygge denne form for post kræver den rette ekspertise for at undgå fejl i SPF-godkendelsen eller PermError.
For at opbygge en SPF-record, der virker, skal du bruge include:-mekanismen korrekt. Og for at din SPF-politik skal være effektiv, skal den implementeres korrekt på flere værter og IP-adresser.
Når du bruger PowerDMARCs SPF-udfladning værktøj, genererer vi en gyldig SPF-post til dig med alle dine hosts og IP-adresser inkluderet i en enkelt tekstlinje. Du kan tilføje så mange domæner og IP-adresser, som du vil - bare adskil dem med mellemrum. Vi fletter det ind i en enkelt SPF inkludering, så at du aldrig overskrider opslagsgrænsen eller får problemer med e-maillevering og hardfail.
- SubdoMailing og fremkomsten af subdomæne-phishing - 18. marts 2024
- Mailchimp DMARC, SPF og DKIM opsætningsguide - 26. februar 2024
- Hvad er SMTP TLS-rapportering? - 20. februar 2024