Innlegg

Har du noen gang sett en e -postfeil SPF? Hvis du har det, skal jeg fortelle deg nøyaktig hvorfor SPF -autentisering mislykkes. Sender Policy Framework, eller SPF, er en av standardene for e -postbekreftelse vi alle har brukt i årevis for å stoppe spam. Selv om du ikke var klar over det, vil jeg satse på at hvis jeg sjekket innstillingene for påloggingskontoen din for Facebook, ville det sannsynligvis vise deg "melde deg på" bare "e-post fra venner". Det er faktisk det samme som SPF.

SPF er en e -postgodkjenningsprotokoll som brukes til å bekrefte at e -postavsenderen samsvarer med domenenavnet i Fra: -feltet i meldingen. Den sendende MTA vil bruke DNS til å søke etter en forhåndskonfigurert liste over SPF -servere for å sjekke om sender -IP -en er autorisert til å sende e -post for det domenet. Det kan være uoverensstemmelser i hvordan SPF -poster settes opp, noe som er avgjørende for å forstå hvorfor e -postmeldinger kan mislykkes med SPF -bekreftelse, og hvilken rolle du kan spille for å sikre at problemer ikke oppstår i din egen e -postmarkedsføring.

Hvorfor SPF -godkjenning mislykkes: Ingen, nøytral, hardfail, softfail, TempError og PermError

SPF -autentiseringsfeil kan skje på grunn av følgende årsaker:

  • Mottakende MTA finner ikke en SPF -post publisert i DNS
  • Du har flere SPF -poster publisert på DNS for det samme domenet
  • ESP -ene dine har endret eller lagt til IP -adressene sine som ikke er oppdatert i SPF -posten
  • Hvis du overskrider grensen for 10 DNS -oppslag for SPF
  • Hvis du overskrider det maksimale antallet tillatte grenser for tomromsoppslag på 2
  • Lengden på din SPF -rekord overskrider grensen på 255 SPF -tegn

Gitt ovenfor er forskjellige scenarier for hvorfor SPF -autentisering mislykkes. Du kan overvåke domenene dine med DMARC -analysatoren vår for å få rapporter om SPF -autentiseringsfeil. Når du har aktivert DMARC -rapportering, returnerer mottakende MTA et av følgende SPF -autentiseringsfeilresultater for e -posten, avhengig av årsaken til at e -posten din mislyktes i SPF. La oss bli bedre kjent med dem:

Sak 1: SPF Ingen resultat returneres

I det første tilfellet,- hvis den mottakende e-postserveren utfører et DNS-oppslag og ikke finner domenenavnet i DNS, returneres et resultat uten noe. Ingen returneres også hvis ingen SPF -post finnes i avsenderens DNS, noe som betyr at avsenderen ikke har SPF -godkjenning konfigurert for dette domenet. I dette tilfellet mislykkes SPF -autentisering for e -postene dine.

Generer din feilfrie SPF-post nå med vårt gratis SPF-postgeneratorverktøy for å unngå dette.

Sak 2: SPF -nøytralt resultat returneres

Når du konfigurerer SPF for domenet ditt, betyr dette at uansett hva SPF -autentiseringen sjekker for utgående e -poster, vil mottakende MTA returnere et nøytralt resultat. Dette skjer fordi når du har SPF i nøytral modus, angir du ikke IP -adressene som er autorisert til å sende e -post på dine vegne og lar uautoriserte IP -adresser også sende dem.

Sak 3: SPF Softfail -resultat

I likhet med SPF -nøytral, er SPF softfail identifisert av ~ all mekanisme som innebærer at den mottakende MTA ville godta e -posten og levere den i innboksen til mottakeren, men den vil bli merket som spam, i tilfelle IP -adressen ikke er oppført i SPF -posten som finnes i DNS, noe som kan være en grunn til at SPF -autentisering mislykkes for e -posten din. Nedenfor er et eksempel på SPF softfail:

 v = spf1 inkluderer: spf.google.com ~ alt

Sak 4: SPF Hardfail -resultat

SPF -hardfail, også kjent som SPF -feil, er når mottak av MTA -er vil forkaste e -postmeldinger som stammer fra en hvilken som helst sendekilde som ikke er oppført i SPF -posten. Vi anbefaler deg å konfigurere SPF hardfail i SPF -posten din hvis du vil oppnå beskyttelse mot etterligning av domener og e -postforfalskning. Nedenfor er et eksempel på SPF hardfail:

v = spf1 inkluderer: spf.google.com -all

Sak 5: SPF TempError (SPF midlertidig feil)

En av de svært vanlige og ofte ufarlige årsakene til at SPF -autentisering mislykkes, er SPF TempError (midlertidig feil) som skyldes en DNS -feil, for eksempel en DNS -timeout mens en SPF -godkjenningskontroll utføres av den mottakende MTA. Det er derfor, akkurat som navnet antyder, vanligvis en midlertidig feil som returnerer en 4xx statuskode som kan forårsake midlertidig SPF -svikt, men det gir et SPF -passresultat når du prøver igjen senere.

Sak 6: SPF PermError (SPF Permanent Error)

Et annet vanlig resultat som domenefeil står overfor er SPF PermError. Dette er grunnen til at SPF -autentisering mislykkes i de fleste tilfelle. Dette skjer når SPF -posten blir ugyldiggjort av den mottakende MTA. Det er mange grunner til at SPF kan brytes og bli ugyldig av MTA mens du utfører DNS -oppslag:

  • Overskrider grensen for oppslag på 10 SPF
  • Feil SPF -postsyntaks
  • Mer enn én SPF -post for samme domene
  • Overskrider SPF -rekordlengden på 255 tegn
  • Hvis SPF -posten din ikke er oppdatert med endringer gjort av ESP -ene

Merk: Når en MTA utfører en SPF -sjekk på en e -post, spør den etter DNS eller utfører et DNS -oppslag for å sjekke ektheten til e -postkilden. Ideelt sett har du maksimalt 10 DNS -oppslag i SPF, som overskrider SPF og returnerer et PermError -resultat.

Hvordan kan Dynamic SPF Flattening løse SPF PermError?

I motsetning til de andre SPF -feilene, er SPF PermError mye mer vanskelig og komplisert å løse. PowerSPF hjelper deg med å redusere det enkelt ved hjelp av automatisk SPF -utflating . Det hjelper deg:

  • Hold deg under SPF -grensen
  • Optimaliser SPF -oppføringen din umiddelbart
  • Flat ut posten din til en enkelt setning
  • Sørg for at SPF -posten din alltid er oppdatert om endringer gjort av ESP -ene

Vil du teste om du har SPF konfigurert riktig for domenet ditt? Prøv vårt gratis SPF -oppslagsverktøy i dag!

Er det greit å ha flere SPF -poster på domenet ditt? Svaret er nei, siden det å ha flere SPF -poster er en av de vanligste SPF -feilene som domeneeiere støter på, kan det fullstendig ugyldiggjøre SPF og føre til SPF PermError. For å forstå hvorfor dette skjer må vi vite hvordan SPF fungerer og hvorfor å ha mer enn én SPF -post kan forårsake problemer med autentisering. Gjennomfør SPF -postkontrollen i dag for å finne feil i SPF -postkonfigurasjonen.

Hvordan fungerer SPF?

Sender Policy Framework eller SPF er en populær e -postgodkjenningsprotokoll som fungerer ved å liste opp alle autoriserte sendekilder som har lov til å sende e -post på vegne av domenet ditt. SPF fungerer ved å utføre DNS-spørringsforespørsler eller DNS-oppslag der den mottakende MTA slår opp og validerer e-postens returvei-adresse ved å matche den med listen over IP-adresser nevnt i SPF-posten som ligger i domenets DNS.

Hvis det er funnet en match, passerer e -posten SPF, ellers mislykkes den SPF.

Derfor konfigurerer SPF bare å publisere en DNS TXT -post som starter med "v = spf1" syntaks.

Hva er SPF PermError?

Når en mottakende MTA begynner å utføre SPF -godkjenning på en e -post, henter den alle DNS TXT -postene som begynner med “v = spf1”. Hvis SPF ikke er konfigurert for sendende domene, og det ikke finnes SPF -post i DNS, returneres et Ingen -resultat. Tvert imot, hvis det finnes flere SPF -poster som begynner med “v = spf1” for det samme domenet, returneres et PermError -resultat.

Feil vei: 

PosttypeDomenenavnRekordverdiTTL
TEKSTexampledomain.comv = spf1 inkluderer: _spf.zoho.com -allmisligholde
TEKSTexampledomain.comv = spf1 inkluderer: _spf.google.com -allmisligholde

I dette eksemplet, for domene exampledomain.com, er det 2 separate DNS TXT -poster som har blitt publisert i domenets DNS. I dette tilfellet mislykkes SPF -godkjenning på grunn av SPF PermError.

 

Den riktige måten: 

PosttypeDomenenavnRekordverdiTTL
TEKSTexampledomain.comv = spf1 include: _spf.zoho.com include: _spf.google.com -allmisligholde

I dette eksemplet har domenet exampledomain.com bare en enkelt SPF DNS TXT -post publisert i DNS ved å legge til alle inkluderingsmekanismene i en enkelt post. Rekorden er gyldig og SPF vil ikke returnere et PermError -resultat i dette tilfellet. Lær hvordan du optimaliserer SPF -posten på riktig måte for å unngå SPF -postfeil i fremtiden.

Andre faktorer som påvirker SPF: Typer SPF -feil

Som diskutert ovenfor, er det en vanlig SPF -feil å ha mer enn én SPF -post som kan gjøre SPF -posten ugyldig og mislykkes med SPF -autentisering. Så svaret på "Kan jeg ha flere SPF -poster på domenet mitt?" er enkelt og greit: nei du kan ikke. Etter å ha kontrollert at du bare har en SPF -post publisert i DNS, kan det fortsatt være andre faktorer som forårsaker SPF -feil.

  • Overskridelse av SPF 10 -oppslagsgrensen kan også returnere SPF PermError og bryte SPF.
  • Hvis du flater SPF -posten manuelt for å trekke gjennom alle IP -adressene bak inkluderingsmekanismen, kan det føre til en lang registrering som kan overskride tegnstrenggrensen på 255 tegn
  • E -posttjenesteleverandørene dine som Zoho, Gmail eller Outlook kan endre eller legge til IP -adresser som ugyldiggjør SPF -oppføringen
  • SPF -posten din kan inneholde syntaksfeil

For å unngå de ovennevnte feilene, bruk PowerSPF til automatisk å flate SPF-posten din og holde deg under 10 DNS-oppslagsgrensen.

Du kan generere din feilfrie SPF-post ved hjelp av vår gratis SPF-registreringsgenerator. Registrer deg i dag for DMARC Analyzer for å konfigurere SPF riktig for domenet ditt og unngå alle SPF -feil.

Grunner til å unngå SPF -utflating

Sender Policy Framework, eller SPF, er en anerkjent e -postgodkjenningsprotokoll som bekrefter meldingene dine ved å autentisere dem mot alle de autoriserte IP -adressene som er registrert for domenet ditt i SPF -posten. For å validere e -post, spesifiserer SPF til den mottakende e -postserveren om å utføre DNS -spørringer for å se etter autoriserte IP -er, noe som resulterer i DNS -oppslag.

SPF -posten din eksisterer som en DNS TXT -post som består av en samling av forskjellige mekanismer. De fleste av disse mekanismene (som inkluderer, a, mx, omdirigering, eksisterer, ptr) genererer DNS -oppslag. Imidlertid er det maksimale antallet DNS-oppslag for SPF-godkjenning begrenset til 10. Hvis du bruker forskjellige tredjepartsleverandører til å sende e-post med domenet ditt, kan du enkelt overskride SPF-grensen.

Du lurer kanskje på hva som skjer hvis du overskrider denne grensen? Hvis du overskrider grensen på 10 DNS -oppslag, vil det føre til SPF -feil og gjøre til og med legitime meldinger sendt fra domenet ditt ugyldig. I slike tilfeller returnerer den mottakende e -postserveren en SPF PermError -rapport til domenet ditt hvis du har DMARC -overvåking aktivert. Dette får oss til å komme til det primære diskusjonstemaet for denne bloggen: SPF -utflating.

Hva er SPF -utflating?

SPF -plateflating er en av de populære metodene som brukes av bransjeeksperter for å optimalisere SPF -posten og unngå å overskride SPF -grensen. Fremgangsmåten for SPF -utflating er ganske enkel. Å flate SPF -posten din er prosessen med å erstatte alle inkluderingsmekanismer med sine respektive IP -adresser for å eliminere behovet for å utføre DNS -oppslag.

For eksempel, hvis SPF -posten din opprinnelig så slik ut:

v = spf1 inkluderer: spf.domain.com -all

En flat SPF -rekord vil se slik ut:

v = spf1 ip4: 168.191.1.1 ip6: 3a02: 8c7: aaca: 645 :: 1 -all

Denne flatede posten genererer bare ett DNS -oppslag, i stedet for å utføre flere oppslag. Å redusere antall DNS -spørringer som utføres av den mottakende serveren under e -postautentisering, hjelper deg med å holde deg under 10 DNS -oppslagsgrensen, men den har sine egne problemer.

Problemet med SPF -utflating

Bortsett fra det faktum at din manuelt flate SPF -post kan bli for lang til å publiseres på domenets DNS (overstiger 255 tegngrensen), må du ta i betraktning at e -posttjenesteleverandøren din kan endre eller legge til IP -adressene sine uten å varsle deg som bruker. Av og til når leverandøren din gjør endringer i infrastrukturen, vil disse endringene ikke gjenspeiles i SPF -posten din. Derfor, når disse endrede eller nye IP -adressene brukes av e -postserveren, mislykkes e -posten SPF på mottakerens side.

PowerSPF: Din dynamiske SPF -postgenerator

Det endelige målet med PowerDMARC var å komme med en løsning som kan forhindre domeneeiere i å nå 10 DNS -oppslagsgrensen, samt optimalisere SPF -posten din for å alltid holde deg oppdatert på de siste IP -adressene e -postleverandørene bruker. PowerSPF er din automatiserte SPF -utflatingsløsning som trekker gjennom SPF -posten din for å generere en enkelt setning. PowerSPF hjelper deg:

  • Legg til eller fjern IP -er og mekanismer enkelt
  • Oppdater nettblokker automatisk for å sikre at de autoriserte IP-adressene dine alltid er oppdaterte
  • Hold deg enkelt under grensen på 10 DNS -oppslag
  • Få en optimalisert SPF -post med et enkelt klikk
  • Beseir permanent 'permerror'
  • Gjennomfør feilfri SPF

Registrer deg hos PowerDMARC i dag for å sikre forbedret e -postlevering og autentisering, alt mens du holder deg under 10 DNS SPF -oppslagsgrensen.

I denne artikkelen vil vi undersøke hvordan du enkelt kan optimalisere SPF -registrering for domenet ditt. For bedrifter så vel som små bedrifter som er i besittelse av et e -postdomene for sending og mottak av meldinger blant sine kunder, partnere og ansatte, er det høyst sannsynlig at det finnes en SPF -post som standard, som er satt opp av leverandøren av innboksen din. . Uansett om du har en eksisterende SPF-post eller du må opprette en ny, må du optimalisere SPF-posten riktig for domenet ditt for å sikre at det ikke forårsaker problemer med levering av e-post.

Noen e -postmottakere krever strengt SPF, noe som indikerer at hvis du ikke har publisert en SPF -post for domenet, kan e -postene dine merkes som spam i mottakerens innboks. Dessuten hjelper SPF med å oppdage uautoriserte kilder som sender e -post på vegne av domenet ditt.

La oss først forstå hva som er SPF og hvorfor trenger du det?

Sender Policy Framework (SPF)

SPF er egentlig en standard e -postgodkjenningsprotokoll som spesifiserer IP -adressene som er autorisert til å sende e -post fra domenet ditt. Den opererer ved å sammenligne avsenderadresser med listen over autoriserte sendende verter og IP -adresser for et bestemt domene som er publisert i DNS for det domenet.

SPF, sammen med DMARC (domenebasert meldingsautentisering, rapportering og samsvar) er designet for å oppdage forfalskede avsenderadresser under e-postlevering og forhindre spoofing-angrep, phishing og svindel via e-post.

Det er viktig å vite at selv om standard SPF som er integrert i domenet ditt av vertsleverandøren din, sikrer at e-postmeldinger som sendes fra domenet ditt, blir godkjent mot SPF hvis du har flere tredjepartsleverandører til å sende e-post fra domenet ditt, denne eksisterende SPF-posten må skreddersys og endres for å passe dine behov. Hvordan kan du gjøre det? La oss utforske to av de vanligste måtene:

  • Lag en helt ny SPF -rekord
  • Optimalisering av en eksisterende SPF -post

Instruksjoner om hvordan du optimaliserer SPF -registrering

Lag en splitter ny SPF -post

Opprette en SPF -post er bare å publisere en TXT -post i domenets DNS for å konfigurere SPF for domenet ditt. Dette er et obligatorisk trinn som kommer før du begynner med hvordan du optimaliserer SPF -posten. Hvis du bare har begynt med autentisering og er usikker på syntaksen, kan du bruke vår gratis SPF -postgenerator for å lage en SPF -post for domenet ditt.

En SPF -postoppføring med riktig syntaks vil se omtrent slik ut:

v = spf1 ip4: 38.146.237 inkluderer: example.com -all

v = spf1Spesifiserer versjonen av SPF som brukes
ip4/ip6Denne mekanismen angir gyldige IP -adresser som er autorisert til å sende e -post fra domenet ditt.
inkludereDenne mekanismen forteller mottaker -serverne å inkludere verdiene for SPF -posten til det angitte domenet.
-alleDenne mekanismen spesifiserer at e -postmeldinger som ikke er SPF -kompatible, vil bli avvist. Dette er den anbefalte taggen du kan bruke mens du publiserer SPF -posten. Imidlertid kan den erstattes med ~ for SPF Soft Fail (ikke-kompatible e-poster vil bli merket som soft fail, men vil fortsatt bli akseptert) Eller + som angir at enhver server vil få lov til å sende e-post på vegne av domenet ditt, som er sterkt motløs.

Hvis du allerede har konfigurert SPF for domenet ditt, kan du også bruke vår gratis SPF -postkontroll for å slå opp og validere SPF -posten og oppdage problemer.

Vanlige utfordringer og feil ved konfigurering av SPF

1) 10 DNS -oppslagsgrense 

Den vanligste utfordringen domeneeierne står overfor når de konfigurerer og vedtar SPF-godkjenningsprotokoll for domenet sitt, er at SPF kommer med en grense for antall DNS-oppslag, som ikke kan overstige 10. For domener som er avhengige av flere tredjepartsleverandører, er de 10 DNS -oppslagsgrensen overstiger lett, noe som igjen bryter SPF og returnerer en SPF PermError. Mottaker -serveren ugyldiggjør automatisk SPF -posten i slike tilfeller og blokkerer den.

Mekanismer som starter DNS -oppslag: MX, A, INCLUDE, REDIRECT modifier

2) SPF ugyldig oppslag 

Ugyldige oppslag refererer til DNS -oppslag som enten returnerer NOERROR -svar eller NXDOMAIN -svar (ugyldig svar). Mens du implementerer SPF, anbefales det å sikre at DNS -oppslag ikke gir et ugyldig svar i utgangspunktet.

3) SPF rekursiv sløyfe

Denne feilen indikerer at SPF -posten for det angitte domenet inneholder rekursive problemer med en eller flere av INCLUDE -mekanismene. Dette skjer når et av domenene som er angitt i INCLUDE -taggen inneholder et domene hvis SPF -post inneholder INCLUDE -taggen til det opprinnelige domenet. Dette fører til en uendelig sløyfe som får e-postservere til kontinuerlig å utføre DNS-oppslag for SPF-postene. Dette fører til slutt til å overskride grensen på 10 DNS -oppslag, noe som resulterer i at e -postmeldinger ikke klarer SPF.

4) Syntaksfeil 

Det kan finnes en SPF -post i domenets DNS, men den er ikke til nytte hvis den inneholder syntaksfeil. Hvis SPF TXT -posten inneholder unødvendige hvite mellomrom mens du skriver domenenavnet eller mekanismens navn, vil strengen som går foran det ekstra plassen bli fullstendig ignorert av den mottakende serveren mens du utfører et oppslag, og dermed ugyldiggjøre SPF -posten.

5) Flere SPF -poster for samme domene

Et enkelt domene kan bare ha en SPF TXT -oppføring i DNS. Hvis domenet ditt inneholder mer enn én SPF -post, ugyldiggjør den mottakende serveren alle, noe som forårsaker at e -postmeldinger mislykkes i SPF.

6) Lengden på SPF -posten 

Maksimal lengde på en SPF -post i DNS er begrenset til 255 tegn. Imidlertid kan denne grensen overskrides, og en TXT -post for SPF kan inneholde flere strenger sammenkoblet, men ikke utover en grense på 512 tegn, for å passe til DNS -spørringssvaret (i henhold til RFC 4408 ). Selv om dette senere ble revidert, ville mottakere som stoler på eldre DNS -versjoner ikke kunne validere e -postmeldinger sendt fra domener som inneholder en lang SPF -post.

Optimalisering av SPF -oppføringen

For å raskt endre SPF -posten kan du bruke følgende gode fremgangsmåter for SPF:

  • Prøv å skrive ned e -postkildene dine i synkende rekkefølge fra venstre til høyre i SPF -posten
  • Fjern foreldede e -postkilder fra DNS
  • Bruk IP4/IP6 -mekanismer i stedet for A og MX
  • Hold antallet INCLUDE -mekanismer så lavt som mulig, og unngå nestede inkludert
  • Ikke publiser mer enn én SPF -post for det samme domenet i DNS
  • Sørg for at SPF -posten ikke inneholder redundante hvite mellomrom eller syntaksfeil

Merk: SPF-utflating anbefales ikke siden det ikke er en engangsavtale. Hvis e -posttjenesteleverandøren endrer infrastrukturen sin, må du endre SPF -postene tilsvarende hver gang.

Optimalisering av SPF -oppføringen din er enkel med PowerSPF

Du kan fortsette og prøve å implementere alle de ovennevnte modifikasjonene for å optimalisere SPF-posten manuelt, eller du kan glemme bryet og stole på vår dynamiske PowerSPF for å gjøre alt det for deg automatisk! PowerSPF hjelper deg med å optimalisere SPF -oppføringen din med et enkelt klikk, der du kan:

  • Legg til eller fjern sendekilder enkelt
  • Oppdater poster enkelt uten å måtte gjøre endringer i DNS manuelt
  • Få en optimalisert automatisk SPF -post med et enkelt klikk på en knapp
  • Hold deg til enhver tid under grensen på 10 DNS -oppslag
  • Lett PermError
  • Glem SPF -post syntaksfeil og konfigurasjonsproblemer
  • Vi tar bort byrden med å løse SPF -begrensninger på dine vegne

Registrer deg hos PowerDMARC i dag for å by på adferd til SPF -begrensninger for alltid!