Jak naprawić " SPF Softfail Domain Does Not Designate IP as Permitted Sender "?
Ostatnia aktualizacja:
6 czas czytania: 2 minuty
Jeśli Twoja firma korzysta z własnych domen i domen obsługujących pocztę, istnieje duże prawdopodobieństwo, że napotkała problemy z pocztą elektroniczną i natknęła się na błąd "SPF Softfail Domain Does Not Designate IP as Permitted Sender". Bardzo ważne jest, aby firmy prawidłowo oznaczyły adresy IP używane do wysyłania e-maili w ich imieniu jako dozwolonego nadawcę w rekordzie SPF.
Kluczowe wnioski
- Prawidłowe wyznaczenie adresów IP w rekordzie SPF jest niezbędne, aby zapobiec spoofingowi wiadomości e-mail i zapewnić niezawodną komunikację e-mail.
- Sprawdzanie nagłówków wiadomości e-mail może pomóc zidentyfikować, czy adres IP używany do wysyłania wiadomości e-mail jest autoryzowany w rekordzie SPF.
- Każdy właściciel domeny powinien utrzymywać listę wszystkich ważnych źródeł wysyłania, w tym usług stron trzecich, aby zapewnić zgodność z wymogami SPF.
- Włączenie DMARC wraz z SPF i DKIM zwiększa bezpieczeństwo poczty elektronicznej i zapewnia informacje zwrotne na temat niepowodzeń uwierzytelniania.
- DMARC pozwala właścicielom domen kontrolować obsługę nieuwierzytelnionych wiadomości e-mail, co pomaga chronić przed phishingiem i oszustwami.
Co to jest SPF?
SPF lub Sender Policy Framework to standard uwierzytelniania poczty elektronicznej, który chroni organizacje przed podszywaniem się. Atakujący może wykorzystać domenę i markę firmy do wysyłania fałszywych wiadomości do swoich klientów. Te phishingowe wiadomości e-mail wydają się wystarczająco autentyczne, aby przekonać klientów i sprawić, że dadzą się nabrać na oszustwo internetowe w imieniu firmy. Zaszkodzi to wiarygodności marki firmy i zaszkodzi jej publicznemu wizerunkowi. SPF można sobie wyobrazić jako bezpieczną listę zaufanych domen firmy, z których może pochodzić autentyczna komunikacja.
Jak sprawdzić, czy Twoja domena jest dozwolonym nadawcą?
Pierwszym krokiem do rozwiązania problemu "SPF Softfail Domain Does Not Designate IP as Permitted Sender" jest sprawdzenie uprawnień nadawcy. Aby to zrobić:
Krok 1: Zaloguj się na konto e-mail w domenie firmy, powiedzmy [email protected].
Krok 2: Wyślij wiadomość e-mail na inne konto pocztowe, do którego masz dostęp; może to być konto w domenie zewnętrznej, np. Gmail, Yahoo, Hotmail lub innej.
Krok 3: Zaloguj się na konto pocztowe, z którego wysłano pierwszą wiadomość, a następnie przejrzyj nagłówki tej wiadomości. Będzie on oznaczony jako "Pokaż oryginał".
Zobaczysz wtedy coś podobnego do tego. Zwróć uwagę na komunikat SPF Softfail.
-Oryginalna wiadomość -
X-Received: ...
Sat, 13 marca, 2022 11:01:19 IST
Ścieżka powrotu: [email protected]
Received: from mymy2.spfrecords.com (mymy2.spfrecords.com [60.130.71.223])
przez mx.google.com z identyfikatorem ESMTPS
*id*.
Received SPF: softfail (google.com: domain of transitioning [email protected] does not designate 60.130.71.223 as permitted sender) client-ip=60.130.71.223;
Wyniki uwierzytelniania: mx.google.com;
Spf = softfail (google.com: domena przechodzącej witryny [email protected] nie wyznacza adresu 60.130.71.223 jako dozwolonego nadawcy) client-ip=60.130.71.223;
*koniec wiadomości nagłówkowej
Notatka: Jeśli zaobserwowałeś "Received-SPF: pass" w nagłówku, to znaczy, że domena, której używasz do wysyłania wiadomości, jest uwierzytelniona i jest już dodana do rekordu SPF, więc nie masz się czym martwić. Jednakże, jak pokazano powyżej, istnieje problem z softfail. Teraz zastanowimy się, jak go rozwiązać.
Uprość SPF z PowerDMARC!
Co oznacza komunikat "SPF Softfail Domain Does Not Designate IP as Permitted Sender"?
Nadawca wiadomości e-mail ma adres IP hosta, który wygląda mniej więcej tak:
30.10.323.005
Jeśli adres IP domeny wysyłającej nie jest uwzględniony w rekordzie SPF Twojej domeny, serwer odbierający wiadomości e-mail nie rozpoznaje wskazanego adresu IP jako dozwolonego nadawcy. Serwer automatycznie interpretuje wiadomość jako pochodzącą z nieautoryzowanego źródła. Jest to możliwa przyczyna niepowodzenia weryfikacji SPF dla tej wiadomości. Istnieje duże prawdopodobieństwo niepowodzenia weryfikacji DMARC, jeśli system uwierzytelniania wiadomości e-mail opiera się wyłącznie na SPF (a nie DKIM) w celu weryfikacji źródła.
W takich okolicznościach, jeśli Twoja polityka protokołu jest ustawiona na odrzucanie, Twoja wiadomość nigdy nie zostanie dostarczona! Dlatego właściciel domeny musi podjąć szybkie i skuteczne działania, aby rozwiązać problem "SPF Softfail Domain Does Not Designate IP as Permitted Sender".
Jak dodać IP jako dozwolonego nadawcę dla SPF?
Rozwiązanie tego problemu można podzielić na następujące etapy:
1. Utwórz listę źródeł wysyłania dla swojej domeny. Możesz korzystać z listy adresów e-mail opartej na Twojej domenie, a także ze źródeł wysyłania transakcji e-mailowych innych firm.
2. Teraz zidentyfikuj adresy IP hostów tych źródeł wysyłania
Jak znaleźć adresy IP powiązane ze źródłami wysyłania wiadomości e-mail?
To całkiem proste! Aby znaleźć adres IP źródła wysyłania, otwórz wiadomość e-mail i przejrzyj jej pełny nagłówek. W tym celu musisz kliknąć trzy kropki w prawym górnym rogu wiadomości e-mail, aby wyświetlić menu rozwijane, a następnie wybrać opcję "Pokaż oryginał".
W oryginalnej wiadomości przewiń w dół do pozycji Otrzymano można zauważyć adres IP hosta nadawcy, jak pokazano poniżej:
3. Skorzystaj z naszego Generator rekordów SPF aby wygenerować darmowy rekord SPF dla swojej domeny.
- W generatorze rekordów dodaj wszystkie adresy IP, które mają być uwierzytelniane w celu wysyłania wiadomości e-mail i komunikacji w imieniu firmy.
- Dodaj wszystkie serwery firm trzecich lub zewnętrzne usługi dostarczania jako autoryzowane źródło wysyłania dla Twojej domeny. W ten sposób wszystkie wiadomości wysyłane za pośrednictwem serwerów innych firm również przejdą uwierzytelnienie SPF.
4. Po użyciu Generatora Rekordów SPF do wygenerowania Rekordu SPF dla Twojej domeny z dodanymi do niego wszystkimi zaufanymi domenami i adresami IP, pozostaje już tylko wdrożyć SPF poprzez opublikowanie go w DNS. Oto jak możesz to osiągnąć:
- Zaloguj się do konsoli zarządzania DNS
- Następnie przejdź do wybranej domeny (domeny, dla której próbujesz dodać/modyfikować rekord SPF)
- Określ typ zasobu jako "TXT".
- Określ nazwę hosta jako "_spf".
- Wklej wartość wygenerowanego rekordu SPF
- Zapisz zmiany, aby skonfigurować SPF dla swojej domeny
Notatka: Powyższe nazwy lub nagłówki mogą się różnić w zależności od konsoli zarządzania DNS używanej w danej firmie..
W ten sposób właściciele domen mogą upewnić się, że wszystkie ich zaufane adresy IP i domeny, których mogą używać do wysyłania wiadomości w imieniu firmy, są dodane do serwera, a podobny błąd, w którym SPF Softfail Domain nie wyznacza IP jako dozwolonego nadawcy, nie będzie występował.
Jak skutecznie stosować standard SPF?
Jedynym sposobem na utrwalenie technologii SPF w firmie jest włączenie jej do DMARC. Oto korzyści, jakie z tego wynikają,
1. DMARC = SPF + DKIM
Protokoły uwierzytelniania poczty elektronicznej, takie jak DMARC są konfigurowane poprzez dodanie rekordu TXT do DNS. Oprócz skonfigurowania polityki dla wiadomości e-mail Twojej domeny, możesz również wykorzystać DMARC do uruchomienia mechanizmu raportowania, który prześle Ci wiele informacji o Twoich domenach, sprzedawcach i źródłach wiadomości e-mail.
DMARC może pomóc Ci wykorzystać technologie SPF (Sender Policy Framework) i DKIM (DomainKeys Identified Mail) w celu zapewnienia jeszcze lepszej ochrony Twojej domeny przed spoofingiem.
Notatka: Jest to zalecane, ale nie obowiązkowe. DMARC może działać z wyrównaniem identyfikatorów SPF lub DKIM.
2. Raportowanie i informacje zwrotne za pomocą programu PowerDMARC
Ani SPF, ani DKIM nie dają właścicielowi domeny informacji zwrotnej na temat wiadomości e-mail, które nie przeszły uwierzytelnienia. DMARC wysyła szczegółowe raporty bezpośrednio do użytkownika, które platforma PowerDMARC przekształca w łatwe do odczytania wykresy i tabele.
3. Kontrolowanie, co dzieje się z nieuwierzytelnionymi wiadomościami e-mail
DMARC pozwala właścicielowi domeny zdecydować, czy wiadomość e-mail, która nie przeszła weryfikacji, trafi do skrzynki odbiorczej, folderu spam lub zostanie odrzucona. Dzięki PowerDMARC wystarczy kliknąć jeden przycisk, aby ustawić zasady DMARC — to takie proste.
Nieautoryzowani nadawcy mogą stanowić niebezpieczne zagrożenie dla bezpieczeństwa Twoich klientów oraz wizerunku i wartości marki Twojej firmy. Chroń swoich klientów przed phishingiem i oszustwami, wprowadzając w swojej firmie mechanizm DMARC i pozwalając, aby docierały do nich tylko wiadomości od uwierzytelnionych nadawców.
Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC
Yunes jest liderem zespołu operacyjnego w PowerDMARC z wiedzą ekspercką w zakresie uwierzytelniania i bezpieczeństwa poczty elektronicznej. Yunes jest certyfikowanym przez Microsoft Azure Administrator Associate z certyfikatami CompTIA A+ i wieloma innymi.
Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)
- compauth=fail: Wyjaśnienie uwierzytelniania kompozytowego Microsoftu - 1 czerwca 2026 r.
- Czy program Windows Defender wystarczy do zapewnienia bezpieczeństwa w małej firmie? - 14 maja 2026 r.
- DMARCbis – co się zmienia i jak się przygotować - 16 kwietnia 2026 r.
