Jak naprawić " SPF Softfail Domain Does Not Designate IP as Permitted Sender "?
Jeśli Twoja firma korzysta z własnych domen i domen obsługujących pocztę, istnieje duże prawdopodobieństwo, że napotkała problemy z pocztą elektroniczną i natknęła się na błąd "SPF Softfail Domain Does Not Designate IP as Permitted Sender". Bardzo ważne jest, aby firmy prawidłowo oznaczyły adresy IP używane do wysyłania e-maili w ich imieniu jako dozwolonego nadawcę w rekordzie SPF.
Co to jest SPF?
SPF lub Sender Policy Framework to standard uwierzytelniania poczty elektronicznej, który chroni organizacje przed podszywaniem się. Atakujący może wykorzystać domenę i markę firmy do wysyłania fałszywych wiadomości do swoich klientów. Te phishingowe wiadomości e-mail wydają się wystarczająco autentyczne, aby przekonać klientów i sprawić, że dadzą się nabrać na oszustwo internetowe w imieniu firmy. Zaszkodzi to wiarygodności marki firmy i zaszkodzi jej publicznemu wizerunkowi. SPF można sobie wyobrazić jako bezpieczną listę zaufanych domen firmy, z których może pochodzić autentyczna komunikacja.
Jak sprawdzić, czy Twoja domena jest dozwolonym nadawcą?
Pierwszym krokiem do rozwiązania problemu "SPF Softfail Domain Does Not Designate IP as Permitted Sender" jest sprawdzenie uprawnień nadawcy. Aby to zrobić:
Krok 1: Zaloguj się na konto e-mail w domenie firmy, powiedzmy [email protected].
Krok 2: Wyślij wiadomość e-mail na inne konto pocztowe, do którego masz dostęp; może to być konto w domenie zewnętrznej, np. Gmail, Yahoo, Hotmail lub innej.
Krok 3: Zaloguj się na konto pocztowe, z którego wysłano pierwszą wiadomość, a następnie przejrzyj nagłówki tej wiadomości. Będzie on oznaczony jako "Pokaż oryginał".
Zobaczysz wtedy coś podobnego do tego. Zwróć uwagę na komunikat SPF Softfail.
-Oryginalna wiadomość -
X-Received: ...
Sat, 13 marca, 2022 11:01:19 IST
Ścieżka powrotu: [email protected]
Received: from mymy2.spfrecords.com (mymy2.spfrecords.com [60.130.71.223])
przez mx.google.com z identyfikatorem ESMTPS
*id*.
Received SPF: softfail (google.com: domain of transitioning [email protected] does not designate 60.130.71.223 as permitted sender) client-ip=60.130.71.223;
Wyniki uwierzytelniania: mx.google.com;
Spf = softfail (google.com: domena przechodzącej witryny [email protected] nie wyznacza adresu 60.130.71.223 jako dozwolonego nadawcy) client-ip=60.130.71.223;
*koniec wiadomości nagłówkowej
Notatka: Jeśli zaobserwowałeś "Received-SPF: pass" w nagłówku, to znaczy, że domena, której używasz do wysyłania wiadomości, jest uwierzytelniona i jest już dodana do rekordu SPF, więc nie masz się czym martwić. Jednakże, jak pokazano powyżej, istnieje problem z softfail. Teraz zastanowimy się, jak go rozwiązać.
Co oznacza komunikat "SPF Softfail Domain Does Not Designate IP as Permitted Sender"?
Nadawca wiadomości e-mail ma adres IP hosta, który wygląda mniej więcej tak:
30.10.323.005
Jeśli ten adres IP dla domeny wysyłającej nie jest zawarty w rekordzie SPF domeny, serwer odbierający wiadomości e-mail nie identyfikuje wskazanego adresu IP jako dozwolonego nadawcy. Serwer automatycznie interpretuje wiadomość jako pochodzącą z nieautoryzowanego źródła. Jest to możliwy powód niepowodzenia SPF dla wiadomości. Daje to wysokie prawdopodobieństwo niepowodzenia DMARC, jeśli system uwierzytelniania poczty elektronicznej polega wyłącznie na SPF do weryfikacji źródła (a nie na DKIM).
W takich okolicznościach, jeśli Twoja polityka protokołu jest ustawiona na odrzucanie, Twoja wiadomość nigdy nie zostanie dostarczona! Dlatego właściciel domeny musi podjąć szybkie i skuteczne działania, aby rozwiązać problem "SPF Softfail Domain Does Not Designate IP as Permitted Sender".
Jak dodać IP jako dozwolonego nadawcę dla SPF?
Rozwiązanie tego problemu można podzielić na następujące etapy:
1. Utwórz listę źródeł wysyłania dla swojej domeny. Możesz korzystać z listy adresów e-mail opartej na Twojej domenie, a także ze źródeł wysyłania transakcji e-mailowych innych firm.
2. Teraz zidentyfikuj adresy IP hostów tych źródeł wysyłania
Jak znaleźć adresy IP powiązane ze źródłami wysyłania wiadomości e-mail?
To całkiem proste! Aby znaleźć adres IP źródła wysyłania, otwórz wiadomość e-mail i przejrzyj jej pełny nagłówek. W tym celu musisz kliknąć trzy kropki w prawym górnym rogu wiadomości e-mail, aby wyświetlić menu rozwijane, a następnie wybrać opcję "Pokaż oryginał".
W oryginalnej wiadomości przewiń w dół do pozycji Otrzymano można zauważyć adres IP hosta nadawcy, jak pokazano poniżej:
3. Skorzystaj z naszego Generator rekordów SPF aby wygenerować darmowy rekord SPF dla swojej domeny.
- W generatorze rekordów dodaj wszystkie adresy IP, które mają być uwierzytelniane w celu wysyłania wiadomości e-mail i komunikacji w imieniu firmy.
- Dodaj wszystkie serwery firm trzecich lub zewnętrzne usługi dostarczania jako autoryzowane źródło wysyłania dla Twojej domeny. W ten sposób wszystkie wiadomości wysyłane za pośrednictwem serwerów innych firm również przejdą uwierzytelnienie SPF.
4. Po użyciu Generatora Rekordów SPF do wygenerowania Rekordu SPF dla Twojej domeny z dodanymi do niego wszystkimi zaufanymi domenami i adresami IP, pozostaje już tylko wdrożyć SPF poprzez opublikowanie go w DNS. Oto jak możesz to osiągnąć:
- Zaloguj się do konsoli zarządzania DNS
- Następnie przejdź do wybranej domeny (domeny, dla której próbujesz dodać/modyfikować rekord SPF)
- Określ typ zasobu jako "TXT".
- Określ nazwę hosta jako "_spf".
- Wklej wartość wygenerowanego rekordu SPF
- Zapisz zmiany, aby skonfigurować SPF dla swojej domeny
Notatka: Powyższe nazwy lub nagłówki mogą się różnić w zależności od konsoli zarządzania DNS używanej w danej firmie..
W ten sposób właściciele domen mogą upewnić się, że wszystkie ich zaufane adresy IP i domeny, których mogą używać do wysyłania wiadomości w imieniu firmy, są dodane do serwera, a podobny błąd, w którym SPF Softfail Domain nie wyznacza IP jako dozwolonego nadawcy, nie będzie występował.
Jak skutecznie stosować standard SPF?
Jedynym sposobem na utrwalenie technologii SPF w firmie jest włączenie jej do DMARC. Oto korzyści, jakie z tego wynikają,
1. DMARC = SPF + DKIM
Protokoły uwierzytelniania poczty elektronicznej, takie jak DMARC są konfigurowane poprzez dodanie rekordu TXT do DNS. Oprócz skonfigurowania polityki dla wiadomości e-mail Twojej domeny, możesz również wykorzystać DMARC do uruchomienia mechanizmu raportowania, który prześle Ci wiele informacji o Twoich domenach, sprzedawcach i źródłach wiadomości e-mail.
DMARC może pomóc Ci wykorzystać technologie SPF (Sender Policy Framework) i DKIM (DomainKeys Identified Mail) w celu zapewnienia jeszcze lepszej ochrony Twojej domeny przed spoofingiem.
Notatka: Jest to zalecane, ale nie obowiązkowe. DMARC może działać z wyrównaniem identyfikatorów SPF lub DKIM.
2. Raportowanie i informacje zwrotne za pomocą programu PowerDMARC
Ani SPF, ani DKIM nie dają właścicielowi domeny informacji zwrotnej o e-mailach, które nie przeszły uwierzytelnienia. DMARC wysyła szczegółowe raporty bezpośrednio do użytkownika, które platforma PowerDMARC przekształca w łatwe do odczytania wykresy i tabele.
3. Kontrolowanie, co dzieje się z nieuwierzytelnionymi wiadomościami e-mail
DMARC pozwala Tobie, właścicielowi domeny, zdecydować, czy wiadomość e-mail, która nie przejdzie walidacji, trafi do skrzynki odbiorczej, spamu czy zostanie odrzucona. Dzięki PowerDMARC wystarczy kliknąć jeden przycisk, aby ustawić politykę DMARC- to takie proste.
Nieautoryzowani nadawcy mogą stanowić niebezpieczne zagrożenie dla bezpieczeństwa Twoich klientów oraz wizerunku i wartości marki Twojej firmy. Chroń swoich klientów przed phishingiem i oszustwami, wprowadzając w swojej firmie mechanizm DMARC i pozwalając, aby docierały do nich tylko wiadomości od uwierzytelnionych nadawców.
- FTC donosi, że poczta e-mail jest popularnym medium do oszustw związanych z podszywaniem się pod inne osoby - 16 kwietnia 2024 r.
- SubdoMailing i wzrost popularności phishingu subdomenowego - 18 marca 2024 r.
- Przewodnik konfiguracji DMARC, SPF i DKIM w Mailchimp - 26 lutego 2024 r.