Składnia rekordów SPF: Składniki, reguły i przykłady

Jeśli kiedykolwiek zastanawiałeś się, dlaczego niektóre z Twoich legalnych wiadomości e-mail trafiają do folderów spamu lub są całkowicie blokowane, problem może sprowadzać się do tego, jak skonfigurowane jest uwierzytelnianie poczty e-mail w Twojej domenie. Jednym z kluczowych czynników jest tutaj składnia rekordu SPF, która odgrywa kluczową rolę w weryfikacji, czy wiadomości e-mail są wysyłane z autoryzowanych serwerów. Podczas gdy SPF pomaga zapobiegać oznaczaniu wiadomości jako podejrzanych, jego składnia może być trudna do zrozumienia, a jeszcze trudniejsza do prawidłowego skonfigurowania. W tym poście wyjaśnimy, jak działa składnia rekordu SPF i o czym należy pamiętać podczas konfigurowania go dla swojej domeny.

Co to jest składnia rekordu SPF?

Składnia rekordu SPF to zestaw reguł, które definiują sposób zapisu rekordu SPF (Sender Policy Framework) w DNS domeny. Mówiąc prościej, jest to "język" używany przez domenę do informowania odbierających serwerów pocztowych, które źródła są upoważnione do wysyłania wiadomości e-mail w jej imieniu.

Składnia rekordu SPF zazwyczaj zawiera mechanizmy (takie jak ip4, ip6, lub include), kwalifikatory (np. +, -, ~, lub?), oraz modyfikatory które działać razem aby określić czy przychodząca wiadomość e-mail przechodzi lub nie przechodzi kontroli SPF.

Zrozumienie tej składni ma kluczowe znaczenie, ponieważ nawet niewielki błąd, taki jak dodatkowa spacja, nieprawidłowy kwalifikator lub brakujący mechanizm, może spowodować, że wiadomości e-mail nie przejdą procesu uwierzytelniania i trafią do folderu spam lub zostaną odrzucone.

Uprość składnię rekordów SPF dzięki PowerDMARC!

Składniki składni rekordu SPF

Rekord SPF składa się z czterech głównych części: znacznika wersji, mechanizmów, kwalifikatorów i modyfikatorów. Każda część odgrywa unikalną rolę, a razem określają one sposób, w jaki odbierające serwery pocztowe obsługują wiadomości e-mail twierdzące, że pochodzą z Twojej domeny. Znacznik wersji identyfikuje rekord jako SPF. Mechanizmy definiują, kto może wysyłać wiadomości e-mail. Kwalifikatory decydują, jakie działania należy podjąć w przypadku dopasowania. Modyfikatory zapewniają opcjonalne instrukcje, które rozszerzają lub udoskonalają politykę.

Znacznik wersji

Znacznik wersji jest punktem początkowym rekordu SPF. Identyfikuje on rekord jako używający składni SPF i zapewnia, że serwery pocztowe poprawnie interpretują poniższy tekst. Bez niego rekord nie będzie działał. Dozwolony jest tylko jeden znacznik wersji i musi on pojawić się na samym początku rekordu.

Kluczowe szczegóły:

• • Musi zawsze znajdować się na początku rekordu.
  • Dozwolony jest tylko jeden znacznik wersji.
  • Aktualny prawidłowy format: v=spf1.
  • Użycie niewłaściwej wersji lub jej pominięcie powoduje, że rekord jest nieważny.

Kwalifikatory SPF

Kwalifikatory to symbole umieszczane przed mechanizmami. Instruują one odbierający serwer pocztowy, co należy zrobić, jeśli mechanizm pasuje. Ich rolą jest kontrolowanie wyniku oceny SPF, czy wiadomość e-mail zostanie zaakceptowana, odrzucona lub oznaczona jako podejrzana. Jeśli kwalifikator nie zostanie określony, domyślną akcją jest zezwolenie.

Kluczowe szczegóły:

• • Działają jako przedrostki do mechanizmów.
  • Kontroluj wynik kontroli SPF.
  • Cztery typy:
    • + Pass (zezwól)
    • - Niepowodzenie (blok)
    • ~ Softfail (zaakceptuj, ale zaznacz)
    • ? Neutralny (brak decyzji)
      • Domyślnym zachowaniem jest Pass, jeśli nie zostanie użyty żaden kwalifikator.

Mechanizmy SPF

Mechanizmy są głównymi regułami w rekordzie SPF. Określają one, które serwery, adresy IP lub domeny są upoważnione do wysyłania poczty w imieniu domeny. Każdy mechanizm jest sprawdzany w kolejności, a jeśli zostanie znaleziony, stosowany jest powiązany kwalifikator. Jeśli żaden mechanizm nie pasuje, rekord jest kontynuowany aż do końca.

Kluczowe szczegóły:

• • Określa, kto może wysyłać wiadomości e-mail dla domeny.
    Zaznaczone w kolejności od lewej do prawej.
  • Współpraca z kwalifikatorami w celu ustalenia wyniku.
  • Osiem standardowych mechanizmów:
    • wszyscy - pasuje do wszystkich nadawców.
    • ip4 - autoryzuje adresy IPv4.
    • ip6 - autoryzuje adresy IPv6.
    • a - autoryzuje na podstawie rekordów A/AAAA.
    • mx - autoryzuje na podstawie serwerów pocztowych domeny.
    • ptr - odwrotne sprawdzanie DNS (przestarzałe).
    • istnieje - sprawdza, czy domena została rozpoznana.
    • include - odwołuje się do rekordu SPF innej domeny.

Modyfikatory SPF

Modyfikatory są opcjonalnymi elementami, które dodają dodatkowe instrukcje do rekordu SPF. Nie zezwalają one bezpośrednio na pocztę lub jej odmawiają, ale zapewniają elastyczność i większą kontrolę nad sposobem przetwarzania rekordu. Modyfikatory są często używane w bardziej zaawansowanych konfiguracjach, ale nie zawsze są wymagane.

Kluczowe szczegóły:

• Opcjonalne, dodatkowe instrukcje.
• Nie decydują bezpośrednio o zaliczeniu/niezaliczeniu.
• Wspólne modyfikatory:
  • redirect - wskazuje na rekord SPF innej domeny.
  • exp - zapewnia niestandardowe wyjaśnienie niepowodzeń SPF.

• Zwykle pojawiają się na końcu nagrania.

Uprość SPF z PowerDMARC!

Przykłady składni rekordów SPF

Analiza rzeczywistych rekordów SPF ułatwia zrozumienie, w jaki sposób różne elementy składają się na całość. Poniżej przedstawiono dwa przykłady: jeden prosty i jeden bardziej zaawansowany. Każdy przykład jest zgodny z prawidłowymi regułami składniowymi i pokazuje, jak mechanizmy, kwalifikatory i modyfikatory działają w praktyce.

Prosty rekord SPF

v=spf1 ip4:203.0.113.5 -all

Podział:

• v=spf1 → znacznik wersji identyfikujący rekord jako SPF w wersji 1.
• ip4:203.0.113.5 → mechanizm autoryzujący adres IPv4 203.0.113.5 do wysyłania poczty.
• -all → kwalifikator i mechanizm w połączeniu, co oznacza, że wszystkie inne serwery niewymienione na liście powinny nie przejść kontroli SPF.

Dlaczego to ważne:

• Rekord zaczyna się od poprawnego znacznika wersji.
• Mechanizm (ip4) jest napisany poprawnie.
• Kwalifikator (-) jest prawidłowo używany przed wszystko.
• Składnia jest kompletna i zgodna z zasadami SPF.

 Jest to typowa konfiguracja dla małej domeny, która wysyła wiadomości e-mail tylko z jednego serwera.

Zaawansowany rekord SPF

v=spf1 ip4:203.0.113.0/24 include:_spf.google.com include:_spf.mailhost.com ~all exp=explain._spf.example.com

Podział:

• v=spf1 → znacznik wersji na początku, wymagany przez składnię.
• ip4:203.0.113.0/24 → mechanizm autoryzujący wszystkie adresy IP w zakresie 203.0.113.0 - 203.0.113.255.
• include:_spf.google.com → mechanizm umożliwiający serwerom pocztowym Google wysyłanie wiadomości w imieniu domeny.
• include:_spf.mailhost.com → mechanizm umożliwiający korzystanie z serwerów innego dostawcy.
• ~all → kwalifikator i mechanizm połączone, co oznacza, że wiadomości z niewymienionych serwerów są akceptowane, ale oznaczane jako podejrzane.
• exp=explain._spf.example.com → modyfikator, który zapewnia niestandardowy ciąg wyjaśnienia, gdy wiadomość nie przejdzie SPF.

Dlaczego to ważne:

• Rekord zaczyna się od znacznika wersji.
• Wiele mechanizmów jest dołączonych i odpowiednio sformatowanych.
• Kwalifikator ~ jest stosowany do wszystkoco jest dozwolone.
• Modyfikator exp jest używany poprawnie na końcu, rozszerzając funkcjonalność bez łamania składni.

Ta konfiguracja jest typowa dla organizacji korzystających z wielu dostawców poczty e-mail, a jednocześnie kontrolujących nieautoryzowane źródła.

Reguły i walidacja poprawnej składni SPF

Pisanie rekordu SPF polega na umieszczeniu mechanizmów i kwalifikatorów we właściwej kolejności i upewnieniu się, że rekord faktycznie działa zgodnie z przeznaczeniem. Nawet niewielkie błędy składniowe, takie jak brakujący znacznik lub dodatkowa spacja, mogą spowodować niepowodzenie rekordu, skutkując odrzuceniem wiadomości e-mail, oznaczeniem ich jako spam lub pozostawieniem domeny podatnej na spoofing.

Ta sekcja obejmuje trzy kluczowe obszary: najlepsze praktyki dotyczące pisania składni SPF, typowe błędy, których należy unikać oraz sposób walidacji rekordu przed opublikowaniem go na żywo.

Postępuj zgodnie z najlepszymi praktykami dotyczącymi składni SPF

Właściwy SPF zaczyna się od przestrzegania kilku złotych zasad, które sprawiają, że nagranie jest zarówno skuteczne, jak i niezawodne:

• • Zawsze zaczynaj od poprawnego znacznika wersji: v=spf1.
  • Limit DNS wyszukiwania, aby uniknąć przekroczenia limitu 10 wyszukiwańco spowoduje uszkodzenie rekordu.
  • Należy użyć include aby uniknąć pętli lub odwołań cyklicznych.
  • Dokumentacja powinna być jak najbardziej zwięzła - zbyt złożone konfiguracje są trudniejsze w utrzymaniu i bardziej narażone na awarie.
  • Regularnie sprawdzaj rekordy SPF, zwłaszcza jeśli zmienia się infrastruktura poczty e-mail lub jeśli dodajesz/usuwasz dostawców.

Unikaj typowych błędów składni

Wiele problemów z SPF wynika z prostych, ale szkodliwych błędów. Uważaj na te pułapki:

• Brakujący znacznik wersji: każdy rekord musi zaczynać się od v=spf1.
• Zduplikowane kwalifikatory: użycie więcej niż jednego kwalifikatora dla tego samego mechanizmu jest nieprawidłowe.
• Nadmierne mechanizmy: Długie, rozdęte rekordy zwiększają ryzyko błędów i przekraczają limity DNS.
• Problemy z formatowaniem składni: niewłaściwe spacje, literówki lub nieobsługiwane znaki mogą spowodować niepowodzenie rekordu.
• Wiele rekordówSPF : Domena może mieć tylko jeden rekord SPF - jeśli istnieje więcej niż jeden, walidacja nie powiedzie się.
• Przestarzałe mechanizmy: unikać ptrktóry nie jest już zalecany i może nie być obsługiwany przez wszystkie serwery.

Pamiętaj: nawet jeśli intencja rekordu jest poprawna, błędy składni spowodują całkowite niepowodzenie SPF.

Sprawdź składnię rekordu SPF

Przed opublikowaniem rekordu SPF, walidacja ma kluczowe znaczenie. Walidatory sprawdzają, czy składnia jest poprawna i czy rekord nie przekracza limitów wyszukiwania DNS lub nie zawiera nieobsługiwanych mechanizmów.

• Użyj narzędzi do sprawdzania rekordów SPF, takich jak PowerDMARC SPF checker, aby szybko zidentyfikować problemy.
• Walidacja pomaga zapewnić spójne działanie rekordu na różnych serwerach odbierających pocztę.
• Testowanie nowych lub zaktualizowanych rekordów w środowisku przejściowym jest zalecane przed zastosowaniem ich na żywo.
• Regularna walidacja po zmianach zapewnia aktualność i funkcjonalność polityki SPF.

Dzięki walidacji zmniejsza się ryzyko, że wiadomości e-mail zostaną odrzucone, trafią do spamu lub pozostawią domenę podatną na spoofing.

Składnia rekordów SPF w akcji

Prawidłowa składnia rekordów SPF jest kluczowa dla bezpiecznego dostarczania wiadomości e-mail i ochrony przed spoofingiem. Każda część, w tym znacznik wersji, mechanizmy, kwalifikatory i modyfikatory, współpracują ze sobą, aby określić, w jaki sposób serwery pocztowe obsługują wiadomości.

Przestrzeganie najlepszych praktyk, unikanie błędów i regularne sprawdzanie poprawności zmniejsza ryzyko awarii i zapewnia bezpieczeństwo domeny. W miarę rozwoju konfiguracji poczty elektronicznej niezbędne są bieżące aktualizacje. Aby ułatwić zarządzanie i zwiększyć bezpieczeństwo, warto rozważyć użycie PowerDMARC.

Najczęściej zadawane pytania

Jak napisać rekord SPF?

Zacznij od 'v=spf1', dodać mechanizmy do lista autoryzowany nadawców, oraz koniec z a kwalifikatorem takim jak '-all' aby zablokować wszystko inne.

Co się stanie, jeśli składnia mojego rekordu SPF jest nieprawidłowa?

Serwery pocztowe mogą odrzucać lub oznaczać wiadomości e-mail jako spam, a domena staje się bardziej podatna na spoofing.

Jaki jest przykład rekordu SPF MX?

Rekord SPF używający MX (rekord MX) wygląda następująco: v=spf1 mx -allco pozwala tylko serwerom pocztowym domeny na wysyłanie wiadomości e-mail.

• O
• Latest Posts

Ahona Rudra

Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC

Ahona jest Marketing Managerem w PowerDMARC, z ponad 5-letnim doświadczeniem w pisaniu na tematy związane z cyberbezpieczeństwem, specjalizującym się w bezpieczeństwie domen i poczty elektronicznej. Ahona posiada dyplom ukończenia studiów podyplomowych w zakresie dziennikarstwa i komunikacji, umacniając swoją karierę w sektorze bezpieczeństwa od 2019 roku.

Latest posts by Ahona Rudra (zobacz wszystkie)

• Reputacja adresu IP a reputacja domeny: która z nich zapewni Ci dostęp do skrzynki odbiorczej? - 1 kwietnia 2026 r.
• Oszustwa związane z roszczeniami zaczynają się w skrzynce odbiorczej: jak sfałszowane wiadomości e-mail zamieniają rutynowe procesy ubezpieczeniowe w kradzież wypłat - 25 marca 2026 r.
• Przepisy FTC dotyczące zabezpieczeń: czy Twoja firma finansowa potrzebuje protokołu DMARC? - 23 marca 2026 r.