Czy posiadanie wielu rekordów SPF w domenie jest w porządku? Odpowiedź może Cię zaskoczyć! Rekordy SPF są kluczowe dla uwierzytelniania poczty elektronicznej, ale posiadanie więcej niż jednego może w rzeczywistości zaszkodzić dostarczalności.
Posiadanie wielu rekordów SPF jest jednym z najczęstszych błędów SPF, z którymi spotykają się właściciele domen. Może on całkowicie unieważnić SPF i prowadzić do SPF PermError. Aby zrozumieć, dlaczego tak się dzieje, musimy wiedzieć, jak działa SPF i dlaczego posiadanie więcej niż jednego rekordu SPF może powodować problemy z uwierzytelnianiem.
*Pro Tip: Przeprowadź sprawdzenie rekordu domeny aby znaleźć błędy w konfiguracji rekordu SPF.
Jak działają rekordy SPF
Sender Policy Framework lub SPF to popularny protokół uwierzytelniania poczty e-mail, który działa poprzez wyszczególnienie wszystkich autoryzowanych źródeł wysyłania, które mogą wysyłać wiadomości e-mail w imieniu Twojej domeny.
Podczas sprawdzania SPF, odbierające MTA wykonują zapytania DNS lub wyszukiwania DNS w celu zweryfikowania adresu ścieżki zwrotnej wiadomości e-mail poprzez dopasowanie go do listy adresów IP wymienionych w rekordzie SPF. Jeśli zostanie znalezione dopasowanie, wiadomość e-mail przejdzie SPF, w przeciwnym razie nie przejdzie SPF.
Stąd, konfiguracja SPF jest po prostu publikacją rekordu DNS TXT, który zaczyna się od składni "v=spf1".
Mit wielu rekordów SPF
Podczas gdy niektóre usługi mogą sugerować dodanie oddzielnych rekordów SPF, prawda jest taka, że domena może mieć tylko jeden rekord SPF. Wynika to z faktu, że standard SPF (RFC 4408) surowo zabrania posiadania wielu takich rekordów.
Podczas sprawdzania SPF, napotkanie wielu rekordów prowadzi do "PermError", zasadniczo dezorientując serwer odbierający.
Gdy odbierający MTA zaczyna przeprowadzać uwierzytelnianie SPF na wiadomości e-mail, pobiera wszystkie rekordy DNS TXT, które zaczynają się od "v=spf1". W przypadku, gdy SPF nie jest skonfigurowany dla domeny wysyłającej i żaden rekord SPF nie zostanie znaleziony w DNS, zwracany jest wynik Brak. Przeciwnie, jeśli wiele rekordów SPF zaczynających się od "v=spf1" istnieje dla tej samej domeny, zwracany jest wynik SPF PermError jest zwracany.
Problem z wieloma rekordami SPF
Używanie wielu rekordów SPF lub po prostu posiadanie wielu rekordów SPF dla jednej domeny może mieć poważne konsekwencje, takie jak:
- Wiadomości e-mail lądujące w folderach spamu
- Wiadomości e-mail są całkowicie odrzucane
Jest to bardzo powszechny problem. Kilka raportów z analizy domen przez PowerDMARC ujawniło, że jednym z najczęstszych błędów popełnianych przez właścicieli domen jest posiadanie więcej niż 1 rekordu SPF na domenę. Błąd ten przyczynia się do jednego z głównych powodów posiadania błędnych konfiguracji SPF.
Przykład wielu rekordów SPF
Poniżej znajduje się przykład wielu oddzielnych rekordów SPF opublikowanych dla tej samej domeny.
W niewłaściwy sposób:
| TYP REJESTRU | NAZWA DOMENY | WARTOŚĆ REKORDU | TTL |
|---|---|---|---|
| TXT | exampledomain.com | v=spf1 include:_spf.zoho.com -all | domyślny |
| TXT | exampledomain.com | v=spf1 include:_spf.google.com -all | domyślny |
W tym przykładzie, dla domeny exampledomain.com, 2 oddzielne rekordy SPF DNS TXT zostały opublikowane w DNS domeny. W tym przypadku uwierzytelnianie SPF nie powiedzie się z trwałym wynikiem błędu zwróconym dla domeny. Każdy z tych rekordów jest traktowany jako oddzielny rekord, co skutkuje wieloma rekordami SPF w tej samej domenie.
Właściwy sposób:
| TYP REJESTRU | NAZWA DOMENY | WARTOŚĆ REKORDU | TTL |
|---|---|---|---|
| TXT | exampledomain.com | v=spf1 include:_spf.zoho.com include:_spf.google.com -all | domyślny |
W tym przykładzie domena exampledomain.com ma tylko jeden rekord SPF DNS TXT zamiast wielu rekordów SPF. Osiąga się to poprzez dodanie mechanizmów SPF multiple include w jednym rekordzie. Rekord jest prawidłowy i SPF nie zwróciłby w tym przypadku wyniku PermError.
*Pro Tip: Dowiedz się, jak optymalizować rekordy SPF we właściwy sposób, aby uniknąć błędów rekordów SPF w przyszłości.
Jak rozwiązać problem wielu rekordów SPF?
Naprawienie błędu wielu rekordów SPF jest łatwe dzięki PowerDMARC! Wykonaj kroki podane poniżej, aby poprawnie skonfigurować wiele rekordów SPF dla swojej domeny:
Krok 1: Potwierdzenie błędu SPF Multiple Records
Pierwszym krokiem jest sprawdzenie wielu rekordów SPF. Zarejestruj się w PowerDMARC za darmo i użyj naszego narzędzia do generowania rekordów SPF, aby potwierdzić obecność tego błędu.
Alternatywnie możesz ręcznie wyszukać swój rekord w DNS. Jeśli korzystasz z dostawcy hostingu DNS, takiego jak Cloudflare, CloudDNS, DNS Made Easy, Namecheap lub innych, proces nie będzie taki sam dla każdego dostawcy. Zwykle jednak należy przejść do konsoli zarządzania DNS, uzyskać dostęp do edytora stref DNS i kliknąć Zarządzaj domenami. Będziesz mógł znaleźć swoje rekordy DNS dla SPF w strefie DNS swojej domeny.
Krok 2: Usunięcie wielu rekordów SPF dla pojedynczej domeny
Jeśli domena zawiera wiele rekordów SPF, nadszedł czas, aby edytować rekordy DNS i usunąć wszystkie rekordy z wyjątkiem jednego. Upewnij się, że pozostał tylko jeden rekord SPF na domenę.
Krok 3: Łączenie rekordów SPF
Na koniec edytuj pozostały pojedynczy rekord SPF, aby połączyć wiele elementów. Jest to łatwy sposób na naprawienie błędu, a jednocześnie pozwala na dołączenie wielu rekordów SPF do jednego rekordu.
- Wejdź do konsoli zarządzania DNS
- Kliknij, aby edytować rekord SPF
- W składni, użyj mechanizmu SPF "include", aby dołączyć wiele domen, które chcesz autoryzować. Poniżej podano przykład łączenia rekordów SPF w 1:
Możesz dodawać więcej "includes" do tego samego rekordu SPF, aby autoryzować wszystkie usługi innych firm. Po zakończeniu upewnij się, że zapisałeś swój rekord w DNS.
Uwaga: Zamiast polityki egzekwowania (-all) można skonfigurować (~all), aby uzyskać bardziej łagodne i elastyczne podejście podczas awarii SPF.
Kroki dodawania wielu rekordów SPF
Jeśli używasz wielu dostawców poczty e-mail dla jednej domeny, konfigurowanie wielu oddzielnych rekordów SPF jest złym sposobem na skonfigurowanie SPF dla nich. Zamiast tego, oto co należy zrobić:
1. PowerDMARC może pomóc w łatwym dodaniu wielu rekordów SPF dla Twojej domeny. Użyj naszego narzędzia do generowania rekordów SPF, aby utworzyć darmowy rekord.
2. W polu oznaczonym "Autoryzuj domeny lub usługi innych firm, które wysyłają wiadomości e-mail w imieniu tej domeny." wprowadź wszystkich dostawców zewnętrznych, których chcesz autoryzować. których chcesz autoryzować. Jest to ważny krok do scalania rekordów SPF.
3. Skopiuj i wklej pojedynczy wygenerowany rekord SPF, który zawiera wiele rekordów SPF dla autoryzowanych nadawców w DNS. Zapisz rekord.
Problem z rekordem SPF zawierającym wiele elementów
Wielokrotne dołączanie SPF nie zawsze jest właściwym podejściem. Podczas gdy łączenie rekordów SPF w ten sposób pomaga pozbyć się błędu wielokrotnych rekordów SPF, może to prowadzić do innych błędów. Każdy dostawca usług poczty elektronicznej dodaje wyszukiwanie DNS podczas uwierzytelniania SPF. Posiadanie wielu wpisów w rekordzie SPF oznacza tyle samo wyszukiwań. Jednakże, RFC określa maksymalny limit wyszukiwań dla SPF na 10.
Przekroczenie limitu SPF 10 lookup może również zwrócić SPF PermError i złamać SPF.
Aby nie przekroczyć limitu 10 wyszukiwań DNS dla SPF:
- Rekord SPF można spłaszczyć ręcznie. Jednak ręczne spłaszczanie w celu przeciągnięcia wszystkich adresów IP za mechanizmem include może prowadzić do długiego rekordu, który może przekroczyć limit ciągu znaków dla SPF.
- Możesz też wybrać Makra SPF. Makra pomagają utrzymać się w granicach limitów wyszukiwania i długości znaków.
Aby uniknąć wielu rekordów SPF i innych typowych błędów, należy skorzystać z hostowanego rozwiązania SPF firmy PowerDMARC. Integrujemy makra w rekordzie SPF, aby zapewnić Ci bezbłędny SPF, który jest zoptymalizowany i aktualizowany.
Dodatkowo można skonfigurować nasz DMARC Analyzer aby skonfigurować DMARC dla swoich domen. DMARC pomaga chronić przed atakami phishingowymi, spoofingiem i nadużyciami domen.
Słowa końcowe
Posiadanie pojedynczego, dobrze skonfigurowanego rekordu SPF jest niezbędne dla optymalnej dostarczalności wiadomości e-mail. W tym blogu wyjaśniliśmy, w jaki sposób można połączyć rekordy SPF w jeden, aby uzyskać bezbłędną konfigurację SPF. Podczas gdy SPF jest świetnym pierwszym krokiem, warto rozważyć zbadanie innych metod uwierzytelniania poczty elektronicznej, takich jak DKIM i DMARC, aby uzyskać jeszcze lepszą ochronę.
Aby dowiedzieć się więcej o takich rozwiązaniach bezpieczeństwa domen, które upraszczają ochronę wiadomości e-mail - skontaktuj się z nami już dziś!
- Czy Blockchain może pomóc poprawić bezpieczeństwo poczty e-mail? - 9 maja 2024 r.
- Serwery proxy dla centrów danych: Odsłonięcie konia roboczego świata proxy - 7 maja 2024 r.
- Kimsuky wykorzystuje zasady DMARC "None" w ostatnich atakach phishingowych - 6 maja 2024 r.