Jak naprawić " SPF Softfail Domain Does Not Designate IP as Permitted Sender "?

Blog

Firmy powinny odpowiednio oznaczyć adresy IP używane do wysyłania e-maili w ich imieniu jako dozwolonych nadawców w rekordzie SPF, aby usunąć błąd "SPF softfail domain does not designate IP as permitted sender".

YunesTarada

Czas odczytu: 6 min
Jak naprawić " SPF Softfail Domain Does Not Designate IP as Permitted Sender "?
Spis treści-

Jeśli Twoja firma korzysta z własnych domen i domen obsługujących pocztę, istnieje duże prawdopodobieństwo, że napotkała problemy z pocztą elektroniczną i natknęła się na błąd "SPF Softfail Domain Does Not Designate IP as Permitted Sender". Bardzo ważne jest, aby firmy prawidłowo oznaczyły adresy IP używane do wysyłania e-maili w ich imieniu jako dozwolonego nadawcę w rekordzie SPF.

Kluczowe wnioski

  1. Prawidłowe wyznaczenie adresów IP w rekordzie SPF jest niezbędne, aby zapobiec spoofingowi wiadomości e-mail i zapewnić niezawodną komunikację e-mail.
  2. Sprawdzanie nagłówków wiadomości e-mail może pomóc zidentyfikować, czy adres IP używany do wysyłania wiadomości e-mail jest autoryzowany w rekordzie SPF.
  3. Każdy właściciel domeny powinien utrzymywać listę wszystkich ważnych źródeł wysyłania, w tym usług stron trzecich, aby zapewnić zgodność z wymogami SPF.
  4. Włączenie DMARC wraz z SPF i DKIM zwiększa bezpieczeństwo poczty elektronicznej i zapewnia informacje zwrotne na temat niepowodzeń uwierzytelniania.
  5. DMARC pozwala właścicielom domen kontrolować obsługę nieuwierzytelnionych wiadomości e-mail, co pomaga chronić przed phishingiem i oszustwami.

Co to jest SPF?

SPF lub Sender Policy Framework to standard uwierzytelniania poczty elektronicznej, który chroni organizacje przed podszywaniem się. Atakujący może wykorzystać domenę i markę firmy do wysyłania fałszywych wiadomości do swoich klientów. Te phishingowe wiadomości e-mail wydają się wystarczająco autentyczne, aby przekonać klientów i sprawić, że dadzą się nabrać na oszustwo internetowe w imieniu firmy. Zaszkodzi to wiarygodności marki firmy i zaszkodzi jej publicznemu wizerunkowi. SPF można sobie wyobrazić jako bezpieczną listę zaufanych domen firmy, z których może pochodzić autentyczna komunikacja.

Jak sprawdzić, czy Twoja domena jest dozwolonym nadawcą?

Pierwszym krokiem do rozwiązania problemu "SPF Softfail Domain Does Not Designate IP as Permitted Sender" jest sprawdzenie uprawnień nadawcy. Aby to zrobić:

Krok 1: Zaloguj się na konto e-mail w domenie firmy, powiedzmy [email protected].

Krok 2: Wyślij wiadomość e-mail na inne konto pocztowe, do którego masz dostęp; może to być konto w domenie zewnętrznej, np. Gmail, Yahoo, Hotmail lub innej.

Krok 3: Zaloguj się na konto pocztowe, z którego wysłano pierwszą wiadomość, a następnie przejrzyj nagłówki tej wiadomości. Będzie on oznaczony jako "Pokaż oryginał".

Zobaczysz wtedy coś podobnego do tego. Zwróć uwagę na komunikat SPF Softfail.

-Oryginalna wiadomość -

X-Received: ...

Sat, 13 marca, 2022 11:01:19 IST

Ścieżka powrotu: [email protected]

Received: from mymy2.spfrecords.com (mymy2.spfrecords.com [60.130.71.223])

przez mx.google.com z identyfikatorem ESMTPS 

*id*.

Dla [email protected]

Received SPF: softfail (google.com: domain of transitioning [email protected] does not designate 60.130.71.223 as permitted sender) client-ip=60.130.71.223; 

Wyniki uwierzytelniania: mx.google.com;

Spf = softfail (google.com: domena przechodzącej witryny [email protected] nie wyznacza adresu 60.130.71.223 jako dozwolonego nadawcy) client-ip=60.130.71.223; 

*koniec wiadomości nagłówkowej

Notatka: Jeśli zaobserwowałeś "Received-SPF: pass" w nagłówku, to znaczy, że domena, której używasz do wysyłania wiadomości, jest uwierzytelniona i jest już dodana do rekordu SPF, więc nie masz się czym martwić. Jednakże, jak pokazano powyżej, istnieje problem z softfail. Teraz zastanowimy się, jak go rozwiązać.

Uprość SPF z PowerDMARC!

15-dniowy trialZamów demo

Co oznacza komunikat "SPF Softfail Domain Does Not Designate IP as Permitted Sender"?

Nadawca wiadomości e-mail ma adres IP hosta, który wygląda mniej więcej tak:

30.10.323.005

Jeśli ten adres IP dla domeny wysyłającej nie jest zawarty w rekordzie SPF domeny, serwer odbierający wiadomości e-mail nie identyfikuje wskazanego adresu IP jako dozwolonego nadawcy. Serwer automatycznie interpretuje wiadomość jako pochodzącą z nieautoryzowanego źródła. Jest to możliwy powód niepowodzenia SPF dla wiadomości. Daje to wysokie prawdopodobieństwo niepowodzenia DMARC, jeśli system uwierzytelniania poczty elektronicznej polega wyłącznie na SPF do weryfikacji źródła (a nie na DKIM). 

W takich okolicznościach, jeśli Twoja polityka protokołu jest ustawiona na odrzucanie, Twoja wiadomość nigdy nie zostanie dostarczona! Dlatego właściciel domeny musi podjąć szybkie i skuteczne działania, aby rozwiązać problem "SPF Softfail Domain Does Not Designate IP as Permitted Sender".

Jak dodać IP jako dozwolonego nadawcę dla SPF?

Rozwiązanie tego problemu można podzielić na następujące etapy: 

1. Utwórz listę źródeł wysyłania dla swojej domeny. Możesz korzystać z listy adresów e-mail opartej na Twojej domenie, a także ze źródeł wysyłania transakcji e-mailowych innych firm.

2. Teraz zidentyfikuj adresy IP hostów tych źródeł wysyłania 

Jak znaleźć adresy IP powiązane ze źródłami wysyłania wiadomości e-mail?

To całkiem proste! Aby znaleźć adres IP źródła wysyłania, otwórz wiadomość e-mail i przejrzyj jej pełny nagłówek. W tym celu musisz kliknąć trzy kropki w prawym górnym rogu wiadomości e-mail, aby wyświetlić menu rozwijane, a następnie wybrać opcję "Pokaż oryginał".

W oryginalnej wiadomości przewiń w dół do pozycji Otrzymano można zauważyć adres IP hosta nadawcy, jak pokazano poniżej:

3. Skorzystaj z naszego Generator rekordów SPF aby wygenerować darmowy rekord SPF dla swojej domeny.

  • W generatorze rekordów dodaj wszystkie adresy IP, które mają być uwierzytelniane w celu wysyłania wiadomości e-mail i komunikacji w imieniu firmy.
  • Dodaj wszystkie serwery firm trzecich lub zewnętrzne usługi dostarczania jako autoryzowane źródło wysyłania dla Twojej domeny. W ten sposób wszystkie wiadomości wysyłane za pośrednictwem serwerów innych firm również przejdą uwierzytelnienie SPF.

4. Po użyciu Generatora Rekordów SPF do wygenerowania Rekordu SPF dla Twojej domeny z dodanymi do niego wszystkimi zaufanymi domenami i adresami IP, pozostaje już tylko wdrożyć SPF poprzez opublikowanie go w DNS. Oto jak możesz to osiągnąć:

  • Zaloguj się do konsoli zarządzania DNS
  • Następnie przejdź do wybranej domeny (domeny, dla której próbujesz dodać/modyfikować rekord SPF)
  • Określ typ zasobu jako "TXT".
  • Określ nazwę hosta jako "_spf".
  • Wklej wartość wygenerowanego rekordu SPF 
  • Zapisz zmiany, aby skonfigurować SPF dla swojej domeny

Notatka: Powyższe nazwy lub nagłówki mogą się różnić w zależności od konsoli zarządzania DNS używanej w danej firmie..

W ten sposób właściciele domen mogą upewnić się, że wszystkie ich zaufane adresy IP i domeny, których mogą używać do wysyłania wiadomości w imieniu firmy, są dodane do serwera, a podobny błąd, w którym SPF Softfail Domain nie wyznacza IP jako dozwolonego nadawcy, nie będzie występował. 

Jak skutecznie stosować standard SPF?

Jedynym sposobem na utrwalenie technologii SPF w firmie jest włączenie jej do DMARC. Oto korzyści, jakie z tego wynikają,

1. DMARC = SPF + DKIM

Protokoły uwierzytelniania poczty elektronicznej, takie jak DMARC są konfigurowane poprzez dodanie rekordu TXT do DNS. Oprócz skonfigurowania polityki dla wiadomości e-mail Twojej domeny, możesz również wykorzystać DMARC do uruchomienia mechanizmu raportowania, który prześle Ci wiele informacji o Twoich domenach, sprzedawcach i źródłach wiadomości e-mail.

DMARC może pomóc Ci wykorzystać technologie SPF (Sender Policy Framework) i DKIM (DomainKeys Identified Mail) w celu zapewnienia jeszcze lepszej ochrony Twojej domeny przed spoofingiem.

Notatka: Jest to zalecane, ale nie obowiązkowe. DMARC może działać z wyrównaniem identyfikatorów SPF lub DKIM.

2. Raportowanie i informacje zwrotne za pomocą programu PowerDMARC

Ani SPF, ani DKIM nie dają właścicielowi domeny informacji zwrotnej na temat wiadomości e-mail, które nie przeszły uwierzytelnienia. DMARC wysyła szczegółowe raporty bezpośrednio do użytkownika, które platforma PowerDMARC przekształca w łatwe do odczytania wykresy i tabele.

3. Kontrolowanie, co dzieje się z nieuwierzytelnionymi wiadomościami e-mail 

DMARC pozwala Tobie, właścicielowi domeny, zdecydować, czy wiadomość e-mail, która nie przejdzie walidacji, trafi do skrzynki odbiorczej, spamu czy zostanie odrzucona. Dzięki PowerDMARC wystarczy kliknąć jeden przycisk, aby ustawić politykę DMARC- to takie proste.

Nieautoryzowani nadawcy mogą stanowić niebezpieczne zagrożenie dla bezpieczeństwa Twoich klientów oraz wizerunku i wartości marki Twojej firmy. Chroń swoich klientów przed phishingiem i oszustwami, wprowadzając w swojej firmie mechanizm DMARC i pozwalając, aby docierały do nich tylko wiadomości od uwierzytelnionych nadawców.

Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)
Co to jest atak typu "Ice Phishing"?atak phishingowy z użyciem loduAtaki socjotechniczneRodzaje ataków socjotechnicznych w 2022 r.