Makra SPF - wszystko, co musisz wiedzieć

Makra SPF to sekwencje znaków, które mogą być użyte do uproszczenia rekordu SPF poprzez zastąpienie mechanizmów zdefiniowanych we wspomnianym rekordzie DNS.

Makra SPF są skuteczną i ważną funkcją Sender Policy Framework, która jest używana, gdy właściciele domen wymagają bardziej dynamicznego i skalowalnego rekordu SPF do uwierzytelniania swoich domen e-mail. Funkcja makr SPF jest częścią składni rekordu składni rekordu SPFdefiniując sekwencje znaków, które są zastępowane metadanymi z poszczególnych wiadomości e-mail wymagających walidacji SPF. To z kolei pomaga tworzyć uproszczone rekordy SPF, unikając generowania długich i skomplikowanych rekordów SPF.

W przeciwieństwie do tradycyjnych rozwiązań, PowerSPF oferuje automatyczną obsługę makr, spłaszczanie SPF w czasie rzeczywistym oraz dedykowane porady ekspertów, którym zaufało ponad 2000 organizacji na całym świecie.

Aby dowiedzieć się więcej, można odwiedzić oficjalny dokument IETF.

Czym są makra SPF?

Makra SPF to sekwencje znaków, które można wykorzystać do uproszczenia konfiguracji rekordu SPF poprzez zastąpienie mechanizmów zdefiniowanych w ramach wspomnianego rekordu SPF rekordzie DNS TXT, zgodnie z wyjaśnieniem zawartym w RFC 7208, sekcja 7.

Rekordy SPF są w większości proste, a instrukcje dla serwerów odbiorców dotyczące traktowania nielegalnych wiadomości e-mail pochodzących z Twojej domeny mogą być określone przy użyciu mechanizmów SPF, kwalifikatorów i modyfikatorów. Istnieją jednak pewne sytuacje, w których mechanizmy SPF nie są wystarczające i należy zastosować makra SPF. 

Makra SPF są oznaczone znakiem procentu (%) i zawierają kombinację dwóch lub więcej liter, modyfikatorów i ograniczników. Podczas procesu uwierzytelniania SPF makra SPF są oceniane i zastępowane odpowiednimi wartościami.

Na przykład %s i %d oznaczają odpowiednio adres nadawcy i nazwę domeny powiązaną ze sprawdzaną tożsamością. 

Modyfikatory takie jak r, l lub o są stosowane do wyodrębniania określonych elementów adresu lub domeny, a ograniczniki takie jak - lub . pomagają oddzielić różne elementy w makrze.

Zrozumienie roli protokołu SMTP w makrach SPF

Aby w pełni zrozumieć makra SPF, należy zapoznać się z ich interakcją z protokołem SMTP (Simple Mail Transfer Protocol), podstawowym protokołem służącym do przesyłania wiadomości e-mail.

Zmienne SMTP w makrach SPF

• Sender IP Address: Retrieved from the SMTP connection (%{i} macro)
• HELO/EHLO Hostname: Captured during SMTP handshake (%{h} macro)
• Envelope Sender: From the MAIL FROM command (%{s} macro)
• Domain Information: Extracted from various SMTP headers (%{d} macro)

To dynamiczne podejście pozwala makrom SPF na sprawdzanie źródeł wysyłania w czasie rzeczywistym na podstawie rzeczywistych danych transakcji SMTP, co czyni je szczególnie cennymi dla organizacji o złożonej infrastrukturze poczty elektronicznej.

Rodzaje makr SPF

Makra SPF są oznaczone różnymi pojedynczymi literami lub znakami, które są otoczone nawiasami klamrowymi { } i poprzedzone znakiem procentu (%), który odnosi się do określonych mechanizmów w rekordzie SPF. Oto podstawowe makra.

Istnieje wiele innych makr, które można określić w rekordzie, jednak wymieniliśmy kilka typowych.

Jak działają makra SPF?

Dzięki makrom SPF właściciele domen mogą określić odniesienia do pewnych mechanizmów w swoim rekordzie SPF, zastępując w ten sposób te mechanizmy. Podczas zapytania DNS przez odbierający MTA, odniesienia są następnie wykorzystywane do wyodrębnienia mechanizmów i rozszerzenia rekordu, pomagając w tworzeniu łatwiejszych w zarządzaniu i adaptacji rekordów SPF.

Poniżej podano przykład makra używanego w rekordzie SPF.

“v=spf1 include:%{i}_.%{d}._spf.powerdmarc.com ~all”

• W tym przypadku include: zawiera makra SPF.
• Istnieją dwa makra SPF, każde reprezentowane przez sekwencję znaków składającą się ze znaku procentu, lewego nawiasu klamrowego, litery makra i prawego nawiasu klamrowego. W powyższym przykładzie %{i} oznacza adres IP nadawcy, a %{d} reprezentuje domenę nadawcy z polecenia "MAIL FROM".
• Biorąc pod uwagę 192.168.1.100 IP jako adres IP domeny wysyłającej, gdy wiadomość e-mail jest wysyłana z tego adresu IP, serwer odbierający inicjuje zapytanie DNS w celu wyszukania rekordu SPF DNS domeny
• Gdy odbiorca wyszuka rekord SPF domeny wysyłającej, natknie się na makra SPF, które są następnie zastępowane odpowiednimi wartościami.
• Ten rozszerzony rekord SPF jest następnie sprawdzany w celu określenia, czy wiadomość e-mail zdołała przejść walidację SPF, czy też nie. 

Kiedy makra są używane w rekordzie SPF?

Makra SPF mogą być używane w wielu różnych scenariuszach, w zależności od potrzeb właścicieli domen. Mogą się one przydać, jeśli chcesz uprościć złożoną infrastrukturę uwierzytelniania poczty e-mail, korzystasz z kilku usług obsługi poczty e-mail innych firm lub po prostu chcesz zmniejszyć rozmiar rekordu SPF.

Poniżej przedstawiono kilka typowych przypadków, w których makra SPF mogą okazać się korzystne:

Organizacje z infrastrukturą wielodomenową

Organizacje na poziomie przedsiębiorstwa obsługujące wiele domen są najbardziej odpowiednimi użytkownikami makr SPF, chociaż mogą one być używane przez organizacje każdej wielkości. Makra zapewniają znacznie większą elastyczność i skuteczną optymalizację rekordów SPF w porównaniu z tradycyjnymi metodami spłaszczania, aby zapewnić płynne działanie SPF nawet w środowiskach wielodomenowych. Eliminuje to również konieczność tworzenia wielu rekordów SPF.

W przypadku dostawcy usług medycznych zarządzającego kilkoma domenami dla różnych klinik, makra usprawniają zarządzanie SPF w całej sieci.

Duże infrastruktury poczty elektronicznej

Firmy o skomplikowanej infrastrukturze poczty elektronicznej mogą potrzebować wielu mechanizmów SPF, najlepiej zoptymalizowanych przy użyciu makr SPF. Makra te zapewnią sposób definiowania odwołań do mechanizmów, zapewniając, że rekord nie będzie zbyt długi i pozostanie w zakresie RFC określonej długości 512 oktetów.

Usługi stron trzecich

Organizacje korzystające z kilku zewnętrznych dostawców poczty e-mail mogą teraz spać spokojnie, wiedząc, że SPF nie zostanie uszkodzony, dzięki włączeniu makr SPF, które ułatwiają łatwą optymalizację elementów innych firm, zapewniając jednocześnie, że rekord nie przekroczy dozwolonych limitów dla DNS i void lookups.

Organizacje rozwiązują wyzwania związane z SPF za pomocą makr SPF

Można dołączyć wiele makr SPF do rekordu i pozbyć się typowych błędów podkreślanych podczas inspekcji SPF wykonywanych ręcznie lub przy użyciu SPF checker. Oto, co można potencjalnie zrobić:

1. Zapobieganie długim rekordom SPF, które powodują Temperror

Gdy rekord SPF zawiera wiele include: , można zapobiec nadmiernemu wydłużeniu rekordu. Nie jest to jednak rozwiązanie trwałe. Korzystając z makr SPF w konfiguracji SPF domeny ,, eliminujesz ryzyko przekroczenia limitu długości określonego przez RFC dla rekordów DNS TXT (512 znaków).

2. Ograniczanie DNS i Void Lookups oraz łagodzenie Permerror

Organizacje korzystające z wielu zewnętrznych źródeł wysyłania i dostawców poczty elektronicznej są narażone na przekroczenie ograniczeń wyszukiwania określonych w RFC dla zapytań DNS. Wynika to z faktu, że każdy dostawca dodaje co najmniej jedno lub wiele wyszukiwań. Może to się kumulować i spowodować uszkodzenie rekordu SPF, co skutkuje błędem SPF permerror.

Używając makr SPF do dodawania odniesień do adresów IP lub domen tych zewnętrznych dostawców można ograniczyć nieautoryzowane źródła, zapewniając jednocześnie, że nie przekroczy się limitów wyszukiwania.

Jak testować i rozwiązywać problemy związane z makrami SPF

Testowanie makr SPF ma kluczowe znaczenie dla zapewnienia ich prawidłowego działania w infrastrukturze poczty elektronicznej. Oto szczegółowa instrukcja sprawdzania poprawności i rozwiązywania problemów związanych z implementacją makr SPF.

Lista kontrolna testów krok po kroku

1. Korzystaj z internetowych walidatorów SPF: przetestuj swój rekord SPF z makroskładnią za pomocą narzędzi takich jak sprawdzarka SPF PowerDMARC.
2. Testowanie wyszukiwania DNS: Użyj narzędzi wiersza poleceń, takich jak nslookup lub dig, aby zweryfikować rozszerzenie makr.
3. Wysyłanie wiadomości testowych: wysyłaj wiadomości e-mail z różnych źródeł i sprawdzaj nagłówki uwierzytelniające.
4. Monitoruj raporty DMARC: przeglądaj raporty dotyczące niepowodzeń uwierzytelniania SPF.
5. Sprawdź nagłówki wiadomości e-mail: sprawdź nagłówki Authentication-Results pod kątem wyników SPF.

Typowe problemy związane z rozwiązywaniem problemów

1. Błędy składniowe: Nieprawidłowe formatowanie makr lub brakujące nawiasy klamrowe
2. Rozwiązywanie DNS: Rozszerzenie makra powodujące powstanie nieistniejących domen
3. Limity wyszukiwania: przekroczenie limitu 10 wyszukiwań DNS nawet przy użyciu makr
4. Ograniczenia dotyczące znaków: Rozszerzone makra tworzące zbyt długie rekordy DNS

Zalecane narzędzia testowe

• PowerDMARC SPF Checker – kompleksowa weryfikacja SPF
• Narzędzia wiersza poleceń: dig, nslookup, host
• Analizatory nagłówków wiadomości e-mail do sprawdzania wyników uwierzytelniania

Wykorzystanie makr w konfiguracji SPF z PowerSPF

Makra SPF są szeroko obsługiwane przez MTA, aby zapewnić dynamikę i skalowalność w zakresie uwierzytelniania SPF, tworzenia rekordów i zarządzania nimi. PowerSPF płynnie integruje makra SPF, dzięki czemu nasi klienci mogli generować rekordy SPF z większą elastycznością. 

Dlaczego spłaszczenie rekordu SPF nie wystarczy?

Tradycyjne spłaszczanie SPF okazuje się skuteczne w większości przypadków dotyczących małych i średnich organizacji o prostszej strukturze i mniejszej liczbie mechanizmów SPF. Jednak wraz ze wzrostem liczby mechanizmów sytuacja może się stopniowo komplikować, prowadząc do następujących niekorzystnych sytuacji: 

• Liczba wyszukiwań DNS może wynosić do 10
• Długość ostatniego rekordu DNS może przekraczać 512 znaków (maksymalny dozwolony rozmiar rekordu TXT DNS).
• Autoryzowane adresy IP i źródła wysyłania są publicznie widoczne, co budzi obawy o prywatność.

Makra SPF - lepsze podejście

Zbudowane z myślą o przedsiębiorstwach ze złożonymi konfiguracjami SPF, ale równie skuteczne dla małych i średnich organizacji - Makra w SPF pomagają optymalizować i zarządzać rekordami bardziej efektywnie w porównaniu z typowym podejściem spłaszczania. Oto jak to zrobić: 

• Makra w SPF ograniczają wyszukiwanie DNS i void, aby nie przekroczyć maksymalnych limitów wynoszących odpowiednio 10 i 2 
• Zachowuje długość znaków w rekordzie, zapewniając, że nie przekroczy on limitu 512 znaków.
• Autoryzowane adresy IP i źródła wysyłania są zastępowane referencjami postaci, ukrywając je przed opinią publiczną. 

SPF Flattening vs SPF Macros

Kiedy stosować makra SPF, a kiedy spłaszczanie SPF

• Używaj makr SPF, gdy: masz złożoną, dynamiczną infrastrukturę poczty elektronicznej lub potrzebujesz prywatności dla autoryzowanych źródeł.
• Użyj spłaszczania SPF, gdy: masz prostsze konfiguracje ze statycznymi zakresami adresów IP i mniejszą liczbą usług stron trzecich.
• Podejście hybrydowe: Połącz obie metody, aby uzyskać optymalne wyniki w środowiskach korporacyjnych.

Podsumowanie i kolejne kroki

Makra SPF stanowią potężne rozwiązanie dla organizacji posiadających złożoną infrastrukturę poczty elektronicznej, oferując dynamiczne uwierzytelnianie, które można skalować zgodnie z potrzebami biznesowymi.

Najważniejsze działania:

• Oceń aktualną konfigurację SPF pod kątem złożoności i limitów wyszukiwania.
• Sprawdź swoje rekordy SPF za pomocą narzędzi weryfikacyjnych PowerDMARC.
• Rozważ wdrożenie makr SPF w środowiskach wielodomenowych.
• Monitoruj raporty DMARC, aby śledzić wydajność uwierzytelniania SPF.
• Rozpocznij bezpłatny okres próbny, aby wypróbować automatyczne zarządzanie makrami SPF.

Poznaj różnicę, jaką oferuje PowerDMARC – skontaktuj się z nami, aby umówić się na indywidualną prezentację z doświadczonym ekspertem ds. bezpieczeństwa domen i poczty elektronicznej! 

Najczęściej zadawane pytania

1. Co to jest makro SPF?

Makro SPF to sekwencja znaków w rekordzie SPF, która podczas uwierzytelniania poczty elektronicznej jest dynamicznie zastępowana rzeczywistymi wartościami. Makra wykorzystują zmienne, takie jak %{i} dla adresu IP lub %{d} dla domeny, aby tworzyć elastyczne, skalowalne rekordy SPF, które dostosowują się do różnych scenariuszy wysyłania.

2. Czy TXT jest tym samym co SPF?

Nie, TXT jest typem rekordu DNS, natomiast SPF jest protokołem uwierzytelniania poczty elektronicznej. Rekordy SPF są publikowane jako rekordy TXT w DNS, ale nie wszystkie rekordy TXT zawierają informacje SPF. Rekordy SPF zawsze zaczynają się od „v=spf1”, aby można je było zidentyfikować jako zasady SPF.

3. Jak sprawdzić, czy moje makra SPF działają?

Możesz przetestować makra SPF, korzystając z internetowych walidatorów SPF, wysyłając testowe wiadomości e-mail i sprawdzając nagłówki uwierzytelniające, monitorując raporty DMARC pod kątem wyników SPF oraz korzystając z narzędzi do wyszukiwania DNS w celu weryfikacji rozszerzenia makr. Narzędzie do sprawdzania SPF firmy PowerDMARC może zweryfikować składnię i funkcjonalność makr.

• O
• Latest Posts

Maitham Al Lawati

Ekspert ds. cyberbezpieczeństwa, CEO w PowerDMARC

Maitham jest przedsiębiorcą technologicznym, ekspertem ds. cyberbezpieczeństwa, dyrektorem generalnym i założycielem PowerDMARC z ponad 15-letnim doświadczeniem w branży. Maitham posiada tytuł Global MBA Uniwersytetu w Manchesterze oraz różne certyfikaty zawodowe, w tym CISSP, CISM, CRISC i ISC2 CCSP.

Najnowsze posty autorstwa Maitham Al Lawati (zobacz wszystkie)

• Statystyki dotyczące phishingu e-mailowego i DMARC: trendy w zakresie bezpieczeństwa poczty elektronicznej w 2026 r. – 6 stycznia 2026 r.
• Jak naprawić błąd „Nie znaleziono rekordu SPF” w 2026 r. – 3 stycznia 2026 r.
• SPF Permerror: Jak naprawić zbyt dużą liczbę wyszukiwań DNS – 24 grudnia 2025 r.