Rekord SPF w Avanan: jak skonfigurować, naprawić i zoptymalizować rekord SPF dla usługi Check Point Harmony Email
przez
Ostatnia aktualizacja:
9 czas czytania: 9 minut
Kluczowe wnioski
- Avanan (now Check Point Email Security, formerly Harmony Email & Collaboration) requires an SPF include statement in your DNS to authenticate outbound email routed through its infrastructure. There are two valid approaches: the legacy static include:spfa.cpmails.com and the newer macro-based include:{code}.spf.checkpoint-spf.com. You use one or the other but not both.
- Dodanie wpisu SPF firmy Avanan to czynnik, który najczęściej powoduje przekroczenie przez organizacje limitu 10 wyszukiwań DNS określonego w RFC 7208, co skutkuje błędem SPF PermError i zakłóceniem dostarczania wszystkich wiadomości wychodzących.
- Wdrożenia wyłącznie za pośrednictwem API (tryb monitorowania/wykrywania) nie zmieniają przepływu poczty i nie wymagają żadnych zmian w rekordach SPF. Tylko wdrożenia w trybie inline (zapobieganie) oraz wdrożenia z wykorzystaniem bramy MX wymagają dodania tego rekordu.
- Tryb wdrażania wbudowanego w Avanan może również zakłócić zgodność DKIM, jeśli podpisywanie DKIM nie jest skonfigurowane na poziomie dostawcy poczty elektronicznej (Microsoft 365 lub Google Workspace), a nie w ramach Avanan.
- Wyrównanie SPF za pomocą narzędzia takiego jak PowerSPF lub wbudowany mechanizm makr SPF firmy Check Point trwale rozwiązuje problem limitu wyszukiwań i pozwala zachować nienaruszoną politykę DMARC.
Jeśli wdrażasz rozwiązanie Check Point Harmony Email & Collaboration (dawniej Avanan) w trybie inline, musisz dodać wpis SPF include do swoich ustawień DNS, w przeciwnym razie wychodząca poczta nie przejdzie testów SPF i grozi jej odrzucenie przez serwisy Gmail, Yahoo i Microsoft Outlook.
Od pod koniec 2025 r. firma Google zaczęła trwale odrzucać niezgodną z wymogami pocztę masową , a Microsoft zaczął zwracać błędy 550; 5.7.515 od maja 2025 r., konfiguracja SPF stała się obowiązkowym wymogiem operacyjnym.
W niniejszym przewodniku omówiono dwie poprawne składnie wtyczek SPF, wybór między trybem wbudowanym a trybem API, konfigurację DKIM, dostosowanie do standardu DMARC, limit 10 zapytań, rozwiązywanie problemów oraz modele wielodostępne dla dostawców usług zarządzanych (MSP).
Niezależnie od tego, czy jesteś administratorem IT wdrażającym Avanan po raz pierwszy, dostawcą usług zarządzanych (MSP) zarządzającym tym rozwiązaniem w dziesiątkach środowisk klientów, czy też dyrektorem ds. bezpieczeństwa informacji (CISO) dbającym o to, by system uwierzytelniania przeszedł pomyślnie audyt – poniżej omówiono każdy z tych scenariuszy.
Czym jest Avanan (obecnie Check Point Email Security)?
W sierpniu 2021 roku firma Avanan została przejęta przez Check Point Software Technologies i zmieniła nazwę na Harmony Email & Collaboration. W 2025 roku firma Check Point ponownie zmieniła nazwę produktu na Check Point Email Security, dostosowując go do szerszej strategii firmy opartej na sztucznej inteligencji.
Pomimo dwóch zmian marki większość administratorów IT, serwisów z recenzjami i forów internetowych nadal posługuje się nazwą „Avanan”, a firma Check Point nadal prowadzi portal pod marką Avanan, oferujący możliwość migracji do nowego interfejsu na żądanie.
Architektura produktu opiera się na podejściu „API-first”. Łączy się on z platformą Microsoft 365 lub Google Workspace za pośrednictwem interfejsu API w celu skanowania przychodzących wiadomości e-mail po ich dostarczeniu. Gdy administratorzy włączą tryb inline (zwany również „Prevent”), Avanan przechwytuje wychodzące wiadomości e-mail w kanale transportowym i skanuje je za pośrednictwem infrastruktury chmurowej Check Point przed przekazaniem ich do odbiorcy.
To właśnie ta kontrola w trybie inline powoduje konieczność zastosowania rekordu SPF – wychodzące wiadomości e-mail są teraz wysyłane z adresów IP firmy Check Point, które muszą być uwzględnione w Twoim rekordzie SPF.
Aby uzyskać więcej informacji na temat tego, jak bramy bezpieczeństwa poczty elektronicznej współdziałają z protokołami uwierzytelniania, zobacz SPF, DKIM i DMARC: jak ze sobą współpracują.
Czy w ogóle trzeba zmieniać rekord SPF w przypadku Avanan?
Jeśli korzystasz z Avanan w trybie wyłącznie API (Monitor lub Detect), możesz na tym zakończyć, ponieważ nie musisz wprowadzać żadnych zmian w rekordzie SPF. Poczta nadal będzie przesyłana z adresów IP usług Microsoft 365 lub Google Workspace, które są już autoryzowane w Twoim systemie DNS.
| Tryb | Przepływ poczty | Zmiana współczynnika SPF? | Wpływ DKIM | Dostosowanie DMARC |
|---|---|---|---|---|
| API / Monitorowanie / Wykrywanie | Nadawca → M365/GWS → Skrzynka odbiorcza; Avanan skanuje za pośrednictwem API | Brak. Wiadomości pochodzą z adresów IP usług M365/GWS, które są już uwzględnione w rekordzie SPF | Bez zmian | Karnety |
| Wbudowane / Zapobieganie (ruch wychodzący) | Wewnętrzne → M365/GWS → Check Point HEC → Zewnętrzne (dwuprzejściowe) | Wymagane. Dodaj do pliku Check Point | Zostanie zachowane, jeśli M365/GWS wyśle sygnał przed przechwyceniem | DKIM zazwyczaj się zgadza; SPF może zgłaszać błąd typu „soft fail” w polu Return-Path |
| Pełna wersja MX inline | MX przekierowuje do chmury Check Point | Wymagane. Dodaj adresy IP Check Point | Zależy od konfiguracji podpisu | Sprawdź zgodność zarówno SPF, jak i DKIM |
Pakiety Avanan SPF: Który z nich jest dla Ciebie odpowiedni? (Wersja z 2026 r.)
W przypadku Check Point Harmony Email istnieją dwa poprawne sposoby włączenia plików SPF. Są to:
Włączanie pliku statycznego: include:spfa.cpmails.com
Jest to oryginalny, statyczny wpis SPF, który firma Check Point wprowadziła w lipcu 2023 r., łącząc wcześniejsze listy adresów IP dla poszczególnych regionów w jeden wpis. Po dodaniu wpisu „include:spfa.cpmails.com” do rekordu SPF rozdziela się on na około 21 wpisów IPv4 obejmujących regiony AWS w Ameryce Północnej, Europie, regionie Azji i Pacyfiku, Wielkiej Brytanii, Indiach, Kanadzie oraz Zjednoczonych Emiratach Arabskich.
Ponieważ mechanizmy IPv4 nie wliczają się do limitu 10 zapytań, samo dołączenie kosztuje dokładnie jedno zapytanie DNS z Twojego limitu.
Z tej opcji należy skorzystać, jeśli nie posiadasz licencji na dodatek Check Point DMARC Management lub jeśli wolisz przejrzysty, niezależny od dostawcy wpis, który każdy audytor może sprawdzić bezpośrednio w systemie DNS.
Managed SPF Macro Include: include:{code}.spf.checkpoint-spf.com
Jest to nowsza funkcja zarządzania SPF firmy Check Point, opisana w podręczniku administratora Harmony Email i aktywowana w portalu w sekcji DMARC → Zarządzanie SPF. Wykorzystuje ona rozwijanie makr SPF (zgodnie z RFC 7208 §5.7) za pomocą unikalnego kodu przypisanego do każdego klienta. Składnia jest następująca:
v=spf1 include:{your-org-code}.spf.checkpoint-spf.com include:spf.protection.outlook.com -all
Gdzie {your-org-code} to unikalny identyfikator dostępny w portalu administracyjnym Check Point Email Security. Mechanizm ten wymaga jednego zapytania, ale wykorzystuje dynamiczną strefę DNS przypisaną do konkretnego klienta, którą zarządza firma Check Point. Został on zaprojektowany w celu zmniejszenia liczby rekordów SPF w przypadku korzystania z wielu usług wychodzących Check Point.
Którego z nich powinieneś użyć?
| Scenariusz | Zalecane podejście | Dlaczego |
|---|---|---|
| W Twoim obecnym rekordzie SPF znajduje się mniej niż 7 zapytań DNS | Włączanie pliku statycznego (spfa.cpmails.com) | Proste, przejrzyste, łatwe do skontrolowania |
| Masz już na koncie 8–10 wyszukiwań DNS | Zarządzane makro SPF lub spłaszczanie SPF | Należy ograniczyć liczbę operacji wyszukiwania. Makro jest wbudowane; spłaszczanie jest niezależne od dostawcy |
| Jako dostawca usług zarządzanych (MSP) zarządzasz ponad 10 domenami klientów | Ujednolicanie plików SPF za pomocą scentralizowanego narzędzia, takiego jak PowerSPF | Powtarzalne, niezależne od dostawcy, podlegające audytowi u wszystkich klientów |
| Audytorzy muszą bezpośrednio weryfikować autoryzowane adresy IP | Włączenie plików statycznych lub spłaszczanie SPF | Makra pozostają nieprzejrzyste do momentu ich rozpoznania; audytorzy nie są w stanie łatwo zidentyfikować autoryzowanych adresów IP |
Ważne: Nie należy używać obu plików include jednocześnie. Dodanie obu powoduje zduplikowanie autoryzacji, marnowanie operacji wyszukiwania DNS i komplikuje audyty. Należy wybrać jedno podejście i stosować je konsekwentnie.
Propozycja obrazka: Karta porównawcza obu opcji, zawierająca zalety i wady.
Tekst alternatywny: „Porównanie dotychczasowego modułu dołączającego SPF firmy Avanan (spfa.cpmails.com) z modułem opartym na makrach (checkpoint-spf.com), z uwzględnieniem różnic w zakresie przejrzystości, kosztów wyszukiwania i możliwości audytu”.
Jak dodać rekord SPF Avanan do swojej domeny (krok po kroku)
Zanim zaczniesz edytować jakiekolwiek wpisy DNS, sprawdź najpierw swój aktualny wpis SPF oraz liczbę zapytań. Skorzystaj z bezpłatnego narzędzia do sprawdzania SPF , aby sprawdzić, ile wyszukiwań DNS obecnie zużywa Twoja domena. Jeśli liczba ta wynosi 8 lub więcej, przed dodaniem nowych instrukcji include przeczytaj sekcję dotyczącą rozwiązywania problemów poniżej.
Krok 1: Sprawdź tryb wdrożenia
Zaloguj się do portalu administratora Check Point Email Security. Przejdź do zasad bezpieczeństwa ruchu wychodzącego. Jeśli korzystasz wyłącznie z trybu API/Monitor, nie musisz wprowadzać zmian w ustawieniach SPF. Jeśli włączony jest tryb zapobiegania (inline) lub skanowanie wychodzące DLP, przejdź do kroku 2.
Krok 2: Wejdź na stronę swojego dostawcy usług DNS
Zaloguj się do konsoli zarządzania DNS swojej domeny (GoDaddy, Cloudflare, AWS Route 53, Azure DNS, Namecheap lub innego dostawcy, u którego masz zarejestrowaną domenę). Znajdź istniejący rekord TXT SPF dla swojej domeny. Zaczyna się on od v=spf1. Jeśli nie ma jeszcze rekordu SPF, możesz go utworzyć.
Krok 3: Dodaj plik Avanan Include do swojego rekordu SPF
Dodaj plik include Avanan do istniejącego rekordu. Nie twórz drugiego rekordu TXT SPF. System DNS dopuszcza tylko jeden taki rekord na domenę. Oto przykład przedstawiający stan przed i po zmianie w środowisku Microsoft 365:
Wcześniej:
v=spf1 include:spf.protection.outlook.com include:_spf.salesforce.com ~all
Po:
v=spf1 include:spf.protection.outlook.com include:_spf.salesforce.com include:spfa.cpmails.com ~all
Krok 4: Sprawdź poprawność zaktualizowanego rekordu
Po zapisaniu zmian w DNS poczekaj na ich propagację (zwykle trwa to od 15 minut do 48 godzin, w zależności od ustawienia TTL). Następnie skorzystaj z narzędzia SPF Checker firmy PowerDMARC , aby sprawdzić, czy składnia rekordu jest poprawna, łączna liczba wyszukiwań DNS nie przekracza 10 i nie wykryto żadnego błędu PermError.
Krok 5: Wyślij wiadomość testową i monitoruj raporty DMARC
Wyślij testową wiadomość e-mail z konta użytkownika, które korzysta z trybu inline firmy Avanan. Sprawdź, czy w nagłówkach wiadomości znajduje się wpis spf=pass, korzystając z narzędzia do analizy nagłówków wiadomości e-mail. Następnie monitoruj zbiorcze raporty DMARC przez 48–72 godziny, aby upewnić się, że żadne legalne źródła wysyłające nie wykazują obecnie niezgodności.
Limit 10 wyszukiwań: dlaczego dodanie Avanan zakłóca działanie poczty elektronicznej
Norma RFC 7208 określa sztywny limit 10 zapytań mechanizmów DNS na jedną ocenę SPF. Mechanizmy, które zużywają zapytania, to między innymi: include, a, mx, ptr, exists oraz redirect. Każdy mechanizm include powoduje również rekurencyjne zapytania dla wszystkich zagnieżdżonych w nim elementów include. Mechanizmy takie jak ip4, ip6 oraz all nie zużywają zapytań.
Przekroczenie liczby 10 sprawdzeń powoduje wygenerowanie błędu PermError, a serwer pocztowy odbierający musi potraktować SPF tak, jakby operacja zakończyła się całkowitą porażką – nie tylko w przypadku wiadomości kierowanych przez Avanan, ale wszystkich wiadomości wychodzących z Twojej domeny.
Oto jak rozkłada się typowy zestaw narzędzi korporacyjnych: Microsoft 365 zużywa około 3 zapytań, Salesforce – 3, HubSpot – 2, Mailchimp – 1, Zendesk – 2, a Avanan – 1. Łącznie daje to 12 zapytań, co oznacza przekroczenie limitu o dwa. Dowiedz się więcej o SPF i limicie wyszukiwań.
Praktyczne przykłady wyszukiwania SPF z wykorzystaniem Avanan
| Stos rekordów SPF | Szacunkowa liczba wyszukiwań | Status | Konieczne działania |
|---|---|---|---|
| Tylko M365 + Avanan | 4–5 | Bezpieczny | Brak |
| M365 + Avanan + Salesforce + HubSpot | 9–11 | W skrajnym przypadku | Spłaszcz lub użyj makr |
| M365 + Avanan + Salesforce + HubSpot + Mailchimp + Zendesk | 14–16 | Błąd stały | Należy to skorygować; sprawdzanie SPF nie powiodło się dla WSZYSTKICH wiadomości e-mail |
| Dane spłaszczone (za pośrednictwem PowerSPF) | 1–2 | Optymalny | Konfiguracja DNS odbywa się automatycznie; nie wymaga ręcznej ingerencji |
| Przekroczyłeś już limit 10 zapytań? PowerDMARC PowerSPF automatycznie spłaszcza Twój rekord SPF i utrzymuje go poniżej limitu, nawet gdy dodajesz nowe usługi, takie jak Avanan. Rozpocznij 15-dniowy bezpłatny okres próbny |
Porównanie funkcji SPF Macro i SPF Flattening w Avanan
Zarządzanie SPF na dużą skalę często sprowadza się do utrzymania się w granicach limitów wyszukiwania bez zakłócania działania legalnych nadawców. W miarę jak rekordy stają się coraz bardziej złożone, stosuje się takie rozwiązania jak spłaszczanie SPF i makra SPF, aby opanować tę złożoność, jednak rozwiązują one problem w zupełnie odmienny sposób.
Zanim dokonasz wyboru, warto zrozumieć, na czym polega każde z tych rozwiązań, jakie wiążą się z nimi kompromisy oraz jak sprawdzają się one w rzeczywistych środowiskach poczty elektronicznej.
Jak działa makro SPF firmy Check Point:
Po włączeniu funkcji SPF Management w portalu administracyjnym standardowe pliki include zostaną zastąpione jednym plikiem opartym na makrach, który dynamicznie rozpoznaje autoryzowane adresy IP w momencie wysłania zapytania. Zarządzaniem strefą DNS zajmuje się firma Check Point. Nie musisz już nigdy więcej zajmować się konfiguracją DNS w zakresie usługi Avanan.
Jak działa efekt wygładzający SPF:
Spłaszczanie przekształca wszystkie mechanizmy dołączania adresów w stałe adresy IPv4/IPv6, co ogranicza liczbę operacji wyszukiwania niemal do zera. Ręczne spłaszczanie przestaje działać, gdy dostawcy zmieniają adresy IP. Usługi automatyczne, takie jak PowerSPF automatycznie obsługują bieżące zmiany adresów IP, dzięki czemu Twój rekord pozostaje ważny.
| Czynnik | Makro SPF firmy Check Point | Wyrównanie SPF (np. PowerSPF) |
|---|---|---|
| Liczba wyszukiwań DNS | Zmniejsza udział Avanana do około 1 operacji wyszukiwania | Zmniejsza liczbę wszystkich wywołań funkcji `INCLUDE` do około jednego wyszukiwania |
| Przejrzystość / Możliwość weryfikacji | Informacja nie jest widoczna do czasu rozwiązania problemu. Audytorzy nie widzą autoryzowanych adresów IP w systemie DNS | Pełna przejrzystość. Wszystkie adresy IP są widoczne bezpośrednio w DNS |
| Uzależnienie od dostawcy | Współczynnik SPF zależy od dostępności serwerów DNS w domenie checkpoint-spf.com | Współczynnik SPF zależy od stopnia ujednolicenia infrastruktury dostawców |
| Zakres | Rozwiązuje jedynie kwestię Avanan w ramach Twojego SPF | Rozszyfrowuje cały rekord SPF. Wszyscy dostawcy |
| Skalowalność MSP | Należy skonfigurować dla każdej organizacji za pośrednictwem portalu Check Point | Można to scentralizować dla wszystkich domen klientów za pomocą jednego pulpitu nawigacyjnego |
| Przenośność | Wyjście z Avanan wymaga całkowitej rekonfiguracji SPF | Wyjście z narzędzia do spłaszczania pozwala na wyeksportowanie spłaszczonego rekordu |
W jaki sposób tryb inline firmy Avanan wpływa na zgodność z protokołami DKIM i DMARC
Firma Check Point oferuje usługę zarządzanego DKIM opartą na delegowaniu rekordów NS, w ramach której administratorzy przekazują firmie Check Point określone subdomeny selektorów DKIM w celu automatycznego zarządzania kluczami i ich rotacji.
Natywne podpisywanie DKIM w usłudze Microsoft 365 lub Google Workspace jest również zachowywane w trybie inline, pod warunkiem że podpisanie nastąpiło przed przechwyceniem wiadomości przez Avanan.
Prawdziwe zagrożenie jest trudne do wykrycia. Tryb inline firmy Avanan przechwytuje wiadomości e-mail w trakcie ich przepływu i może modyfikować nagłówki, co może spowodować unieważnienie podpisów DKIM opartych na konkretnych wartościach nagłówków i treści.
W przeciwieństwie do rozwiązań opartych wyłącznie na interfejsie API, które skanują wiadomości e-mail po ich dostarczeniu bez ingerencji w proces uwierzytelniania, tryb inline aktywnie przekierowuje wiadomość przez infrastrukturę Check Point.
Pułapka związana z dostosowaniem DMARC:
DMARC wymaga albo SPF lub DKIM, aby były zgodne z domeną „From”. Jeśli tryb inline zakłóca działanie DKIM, DMARC opiera się wyłącznie na zgodności SPF. Jeśli SPF jest również nieprawidłowo skonfigurowany (opisany powyżej problem z include), DMARC całkowicie zawodzi.
Najgorszy scenariusz: administratorzy osłabiają ustawienia DMARC, zmieniając wartość p z „reject” na „none”, aby zapobiec blokowaniu legalnych wiadomości e-mail, co jest dokładnym przeciwieństwem tego, co powinno osiągnąć wdrożenie narzędzia zabezpieczającego.
Jak temu zapobiec:
Przed włączeniem trybu inline należy poprawnie skonfigurować SPF. Należy upewnić się, że podpisywanie DKIM odbywa się na poziomie dostawcy poczty elektronicznej (Microsoft 365 lub Google Workspace), a nie w systemie Avanan. Należy sprawdzić zgodność z DMARC za pomocą narzędziem do sprawdzania DMARC przed i po wdrożeniu. Dopiero wtedy włącz skanowanie wbudowane.
Aby monitorować w czasie rzeczywistym wszystkie źródła wysyłające, Hosted DMARC firmy PowerDMARC wykrywa naruszenia uwierzytelniania w momencie ich wystąpienia.
Kolejność wdrażania: DMARC + Avanan bez obniżania poziomu bezpieczeństwa
Najczęstszym błędem jest włączenie trybu inline w Avanan, zanim infrastruktura uwierzytelniająca będzie gotowa. Zamiast tego należy postępować zgodnie z poniższą sekwencją:
- Sprawdź aktualny stan zabezpieczeń uwierzytelniania. Zweryfikuj status protokołów SPF, DKIM i DMARC za pomocą bezpłatnego narzędzia do analizy domen.
- Należy usunąć wszelkie istniejące problemy związane z SPF/DKIM. Należy upewnić się, że liczba sprawdzeń SPF nie przekracza 10, a podpisy DKIM są prawidłowo generowane na poziomie dostawcy poczty elektronicznej.
- Dodaj plik Avanan SPF (lub aktywuj makro zarządzanego SPF). Postępuj zgodnie z instrukcjami zawartymi w powyższej sekcji.
- Sprawdź poprawność certyfikatu SPF. Przeprowadź test za pomocą narzędzia SPF Checker oraz analizy nagłówków wiadomości e-mail.
- Włącz tryb wbudowany Avanan. Dopiero po sprawdzeniu poprawności SPF i DKIM.
- Przez 72 godziny monitoruj raporty DMARC. Zwracaj uwagę na wszelkie nowe błędy zgodności SPF lub DKIM.
- Zasady DMARC należy zaostrzyć dopiero po pomyślnym zakończeniu monitorowania (w przypadku przejścia z p=none na p=quarantine lub p=reject).
Rozwiązywanie problemów związanych z usługą Avanan SPF i niepowodzeniami uwierzytelniania
Oto pięć najczęstszych problemów pojawiających się po wdrożeniu, zebranych na podstawie informacji z serwisu CheckMates firmy Check Point, forów dmarcian, recenzji użytkowników na portalach G2 i Capterra oraz dyskusji administratorów IT. Każdemu z nich przypisano konkretne rozwiązanie.
| Błąd / Objaw | Najbardziej prawdopodobna przyczyna | Fix |
|---|---|---|
| spf=permerror | Ponad 10 zapytań DNS po dodaniu Avanan, oprócz usług M365, Salesforce i innych | Zredukuj rozmiar pliku SPF za pomocą PowerSPF lub włącz opcję dołączania opartą na makrach firmy Check Point, aby zmniejszyć liczbę operacji wyszukiwania |
| spf=softfail lub spf=fail | Brak pliku Avanan, nieprawidłowa instrukcja include lub zduplikowany rekord SPF TXT w DNS | Sprawdź, czy instrukcja include jest zgodna z sekcją 2; upewnij się, że dla każdej domeny istnieje tylko jeden rekord SPF typu TXT |
| błąd dkim po włączeniu opcji inline | Modyfikacje nagłówków wprowadzane przez Avanan spowodowały unieważnienie podpisu DKIM | Skonfiguruj podpisywanie DKIM na poziomie M365/Google Workspace (nie w Avanan); sprawdź delegację serwerów nazw DKIM w ramach usługi zarządzanej |
| dmarc=niepowodzenie (zarówno SPF, jak i DKIM) | Błąd SPF PermError i nieprawidłowe działanie DKIM w trybie wbudowanym powodują podwójny błąd wyrównania | Najpierw napraw ustawienia SPF i DKIM osobno, a następnie ponownie sprawdź ich zgodność przed ponownym włączeniem wymuszania |
| cpmails.com lub cloud-sec-av.com pojawiają się nieoczekiwanie w raportach DMARC | Funkcja „Inline outbound” jest włączona (zgodnie z oczekiwaniami) lub poprzedni administrator dodał domenę spfa.cpmails.com i ustawienie to pozostało niezmienione | Sprawdź rekord SPF pod kątem osieroconych wpisów; jeśli zamierzono zastosować wpis wbudowany, jest to normalne zachowanie |
Aby przeprowadzić dokładniejszą analizę nagłówków, wklej nagłówek wiadomości, której wysłanie nie powiodło się, do narzędzie do analizy nagłówków wiadomości e-mail PowerDMARC , aby dokładnie prześledzić, w którym miejscu łańcucha dostarczania doszło do błędu SPF lub DKIM.
Avanan SPF dla dostawców usług zarządzanych (MSP): Zarządzanie uwierzytelnianiem wielu użytkowników na dużą skalę
Właśnie w tym obszarze luka operacyjna jest największa. 30 lub więcej domen klientów, z których każda jest hostowana przez innego dostawcę usług DNS, każda korzysta z innego zestawu rozwiązań SaaS i każda generuje inną liczbę zapytań SPF. Wdrożenie rozwiązania Avanan we wszystkich tych przypadkach oznacza konieczność sprawdzenia każdego rekordu SPF, zweryfikowania liczby zapytań oraz monitorowania każdego raportu DMARC – dla każdego klienta i każdej domeny.
Trzy konkretne strategie dotyczące MSP, które pozwalają uniknąć chaosu podczas wdrażania:
- Przed rozpoczęciem współpracy sprawdź rekordy SPF wszystkich klientów: Użyj automatycznego narzędzia do wyszukiwania (nie ręcznego nslookup), aby sprawdzić aktualny rekord SPF każdej domeny, policzyć liczba wyszukiwań i oznaczyć każdą domenę, która już osiągnęła lub zbliża się do limitu 10 wyszukiwań. API PowerDMARC obsługuje zbiorcze sprawdzanie domen w całym Twoim portfolio klientów.
- Wprowadź ujednolicenie dostawcy usług spłaszczania adresów dla wszystkich klientów: Makro SPF firmy Check Point musi być skonfigurowane dla każdego najemcy w portalu Check Point. Scentralizowane rozwiązanie do spłaszczania SPF, takie jak PowerSPF, pozwala zarządzać rekordami wszystkich klientów z jednego pulpitu nawigacyjnego, niezależnie od tego, z jakiej bramy bezpieczeństwa korzystają.
- Generuj raporty DMARC pod własną marką na potrzeby kwartalnych przeglądów wyników (QBR): Klientom zależy na wynikach, a nie na surowym kodzie XML. Program partnerski MSP/MSSP firmy PowerDMARC zapewnia wielodostępne pulpity nawigacyjne, portale z własną marką oraz zarządzanie SPF oparte na API dla każdego klienta chronionego przez Check Point, zamieniając monitorowanie DMARC w stały przychód dla Twojej firmy.
Dbaj o czystość SPF po wdrożeniu Avanan
Konfiguracja SPF w Avanan nie jest skomplikowana, o ile uwzględni się limit zapytań, wybierze odpowiednią metodę włączania dostosowaną do trybu wdrożenia oraz sprawdzi zgodność z DKIM i DMARC przed uruchomieniem. Prawdziwym wyzwaniem nie jest sam Avanan. Problem polega na tym, że większość organizacji osiąga już niemal limit zapytań SPF, zanim w ogóle wprowadzi nowe narzędzie.
Konfiguracja SPF nie jest działaniem jednorazowym. Każde nowe narzędzie SaaS, platforma marketingowa lub usługa pocztowa, z której korzysta Twoja organizacja, wymaga przeprowadzenia kolejnego sprawdzenia. Tylko dzięki stałemu zarządzaniu SPF można zapobiec powtórzeniu się tych samych problemów przy wdrażaniu kolejnego dostawcy.
| Zadbaj o swój SPF na stałe. Platforma PowerDMARC zapewnia automatyczne spłaszczanie SPF, monitorowanie DMARC w czasie rzeczywistym oraz pełny wgląd w każdą domenę, dzięki czemu dodanie kolejnego narzędzia nigdy więcej nie zakłóci działania Twojej poczty elektronicznej. |
Najczęściej zadawane pytania
Jaka jest aktualna wersja biblioteki SPF dla Avanan?
There are two options: the static include:spfa.cpmails.com and the managed SPF macro include:{orgcode}.spf.checkpoint-spf.com. Use one or the other—not both. Your org code is found in the Check Point Email Security Administrator Portal under DMARC → SPF Management.
Czy Avanan obsługuje DKIM?
Tak. Firma Check Point oferuje obecnie usługę zarządzanego DKIM poprzez delegowanie rekordów NS, a natywny podpis DKIM w usługach M365/Google Workspace jest zachowywany dzięki trybowi inline. Starsze strony referencyjne innych dostawców nadal podają, że Avanan nie obsługuje DKIM — informacja ta jest nieaktualna.
Ile zapytań DNS generuje dodanie rekordów SPF w usłudze Avanan?
Statyczne dołączenie (spfa.cpmails.com) powoduje dokładnie jedno wyszukiwanie DNS. Rozwiązuje się ono w około 21 wpisów IPv4, które nie wymagają dodatkowych wyszukiwań. Makro SPF typu managed również powoduje jedno wyszukiwanie.
Czy mogę korzystać jednocześnie zarówno ze statycznego dołączania plików Avanan, jak i z dołączania za pomocą makr?
Nie. Korzystanie z obu rozwiązań powoduje powielanie procesów autoryzacji, marnotrawstwo zasobów związanych z wyszukiwaniem oraz utrudnia przeprowadzanie audytów. Wybierz jedno z tych rozwiązań w zależności od swojego środowiska i warunków licencji.
Czy muszę zmienić swój SPF, jeśli korzystam z Avanan w trybie wyłącznie API?
Nie. W trybie API / Monitor / Detect poczta jest kierowana przez adresy IP usług Microsoft 365 lub Google Workspace, które zostały już uwierzytelnione w Twoim rekordzie SPF. Tylko tryb inline (Prevent) oraz pełne wdrożenia MX wymagają dodania tego wpisu.
Czym jest cpmails.com? Czym jest checkpoint-spf.com?
cpmails.com to domena SPF firmy Check Point przeznaczona dla starszego, statycznego ruchu wychodzącego. checkpoint-spf.com to oparta na makrach domena przypisana do konkretnego klienta, wykorzystywana przez nowszy dodatek Check Point do zarządzania SPF. Obie domeny stanowią część autentycznej infrastruktury Check Point.
Czy w programie Avanan należy używać opcji ~all czy -all?
Firma Check Point zaleca stosowanie opcji -all (hardfail) dopiero po upewnieniu się, że uwzględniono wszystkich legalnych nadawców. Ze względów bezpieczeństwa podczas wdrażania systemu należy stosować opcję ~all (softfail). Nigdy nie należy używać opcji +all.
Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC
Ahona jest Marketing Managerem w PowerDMARC, z ponad 5-letnim doświadczeniem w pisaniu na tematy związane z cyberbezpieczeństwem, specjalizującym się w bezpieczeństwie domen i poczty elektronicznej. Ahona posiada dyplom ukończenia studiów podyplomowych w zakresie dziennikarstwa i komunikacji, umacniając swoją karierę w sektorze bezpieczeństwa od 2019 roku.
Latest posts by Ahona Rudra (zobacz wszystkie)
- Rekord SPF Avanan: jak skonfigurować, naprawić i zoptymalizować rekord SPF dla usługi Check Point Harmony Email - 7 maja 2026 r.
- Rekord SPF w systemie DNS: jak działa i jak go skonfigurować - 6 maja 2026 r.
- Czym jest v=spf1? Do czego służy? - 5 maja 2026 r.
