SPF Syntax: A Complete Guide
Czas odczytu: 5 min
Poznanie i wdrożenie koncepcji SPF jest ważne dla firm opartych na technologii. Może chronić je przed potencjalnymi zagrożeniami związanymi z phishingiem, spamem, atakami "BEC, itp. SPF lub Sender Policy Framework działa poprzez wykorzystanie SPF który składa się z SPF Syntax.
Ten blog szeroko omawia tabelę składni SPF, mechanizmy SPF, kwalifikatory SPF i modyfikatory SPF - wszystkie te elementy są niezbędne, aby dobrze zrozumieć koncepcję uwierzytelniania wiadomości e-mail przy użyciu protokołów technicznych.
Kluczowe wnioski
- Zrozumienie SPF jest niezbędne dla firm opartych na technologii w celu ochrony przed phishingiem i spoofingiem wiadomości e-mail.
- Rekord SPF jest kluczowym wpisem DNS, który określa, które adresy IP są autoryzowane do wysyłania wiadomości e-mail w imieniu domeny.
- Tworzenie i regularne sprawdzanie rekordów SPF ma kluczowe znaczenie dla ochrony przed nieautoryzowanym wykorzystaniem domeny w atakach e-mail.
- Mechanizmy SPF, kwalifikatory i modyfikatory są kluczowymi komponentami, które decydują o tym, jak serwery odbierające interpretują rekordy SPF.
- Utrzymanie pojedynczego, poprawnie sformatowanego rekordu SPF jest niezbędne do zapewnienia optymalnego bezpieczeństwa i dostarczalności wiadomości e-mail.
Składnia SPF dla Benginerów
Rekord SPF jest rekordem DNS, który zawiera listę wszystkich adresów IP, które mogą wysyłać wiadomości e-mail przy użyciu oficjalnej nazwy domeny. Gdy serwer spoza listy wysyła e-mail z wykorzystaniem domeny, jest on traktowany jako nieautoryzowany. W ten sposób jego wpis jest odrzucany przez skrzynkę pocztową odbiorcy. Chroni to nazwę Twojej firmy przed uwikłaniem w złośliwe działania inicjowane przez hakerów.
Firmy powinny tworzyć i sprawdzać rekordy SPF aby ustrzec się przed atakami phishingowymi, które są podejmowane przy użyciu własnych nazw domen. Ponad 255 milionów ataków phishingowych zostało odnotowanych tylko w pierwszej połowie 2022 roku! Wyobraź sobie, jak kluczowe stało się wdrożenie SPF i poznanie składni SPF.
Rekord SPF posiada instrukcje kierujące serwer odbiorcy do sprawdzania i walidacji e-maili otrzymanych z Twojej domeny. Mówi również, co należy zrobić z tymi, które nie przejdą uwierzytelnienia. Określony komponent reprezentuje wszystkie instrukcje.
Rozbijmy każdy element na przykładzie rekordu SPF. Oto jak wygląda składnia SPF.
v=spf1 ip4:123.1.5.0 ip4:100.5.2.1 include:exampledomain.com ~all
Funkcja każdego elementu jest następująca:
- v=spf1 informuje serwer odbierający o rekordzie SPF. Wszystkie rekordy SPF muszą zaczynać się w ten sposób.
- Kolejna sekcja tej składni SPF mówi o adresach IP dopuszczonych do wysyłania e-maili z wykorzystaniem Twojej domeny. W powyższym przykładzie mamy ip4:123.1.5.0 oraz ip4:100.5.2.1
- Sekcja "include:exampledomain.com w powyższym przykładzie określa strony trzecie dopuszczone do wysyłania e-maili przy użyciu domeny. Znacznik 'include' wskazuje serwerom odbiorcy, aby zweryfikowały włączony rekord SPF domeny (exampledomain.com) dla adresów IP, które również są autoryzowane. Możesz dodać wiele domen w ramach rekordu SPF; jednak muszą one być ważne.
- Element -all nakazuje serwerom odbierającym oznaczać wiadomości e-mail jako NOT PASS dla SPF, jeśli są one wysyłane z dowolnej domeny lub adresu IP spoza listy określonej w rekordzie SPF
Uprość składnię z PowerDMARC!
Zaawansowana składnia SPF
Tabela składni SPF jest definiowana przy użyciu rekordu DNS TXT z pojedynczym ciągiem tekstu. Zawsze zaczyna się od elementu "v=", który określa używaną wersję SPF, a obecnie istnieje tylko jedna wersja.
Wszystkie rekordy SPF mają swoje specyficzne warunki zapisane, które zachowują się jako zasady, dla których hosty są dozwolone do udostępniania wiadomości przy użyciu oficjalnej domeny może również wyświetlać pewne dodatkowe informacje.
W zaawansowanej składni "SPF rozłożymy na czynniki pierwsze trzy następujące komponenty; Mechanizmy SPF, Kwalifikatory SPF i Modyfikatory SPF.
Mechanizmy SPF
- ALL: Zawsze pasuje i jest ostatnim mechanizmem dodanym na końcu rekordu SPF. Wyświetla domyślne wyniki jak '-all' dla niedopasowanych IP.
- A: Wskazuje na nazwę domeny z rekordem AAAA lub rekord A jako dopasowanie, ponieważ sortuje adres nadawcy. Bieżąca domena jest używana, jeśli ta składnia rekordu DNS SPF jest nieokreślona.
- ip4: Dopasowanie jest pozytywne, jeśli nadawca jest połączony z danym zakresem adresów ipv4 w rekordzie SPF. Dodajesz go za pomocą prefiksu określającego długość zakresu. /32 jest używany, gdy nie ma prefiksu.
- ip6: Dopasowanie jest pozytywne, gdy nadawca jest sprzymierzony z określonym zakresem adresów ipv6. Jest on dodawany z dyrektywą ip4 i prefiksem wskazującym na długość zakresu. /128 jest używane, gdy nie ma prefiksu.
- MX: Dopuszcza nadawców z adresem IP, który jest taki sam jak ten zawarty w podanym rekordzie MX. Rekordy MX składają się z adresu IP i wartości priorytetu dla każdego serwera, który ma przyjmować wiadomości.
- PTR: Określa autoryzowaną domenę, aby pomóc rozwiązać adresy IP do subdomen lub domen. Dla wszystkich dokładnie pasujących domen lub subdomen, forward lookup jest wykonywany, aby uzyskać adres IP.
Ten mechanizm jest uważany za czasochłonny i niewiarygodny, ponieważ wymaga wielu looku. Nie jest zalecany zgodnie z RFC 7208.
- EXISTS: Przeprowadza wyszukiwanie rekordu DNS A dla wprowadzonej domeny. Dopasowanie jest udane, gdy prawidłowy rekord A jest znaleziony, niezależnie od rzeczywistego wyniku lookup.
- INCLUDE: Autoryzuje nadawców poczty elektronicznej stron trzecich poprzez podanie ich domen. Nadawca jest autoryzowany tylko wtedy, gdy jego adres IP pasuje do adresów IP lub domen podanych w rekordzie SPF wymienionej domeny.
Kwalifikatory SPF
Gdy mechanizm nie posiada kwalifikatora, a nadal istnieje udane dopasowanie, uwierzytelnienie SPF przechodzi. Każdy z 8 mechanizmów jest sprzężony z jednym z czterech kwalifikatorów wymienionych poniżej.
| Kwalifikator | Wynik | Działanie podjęte przez serwer odbierający |
| + | Pass | Email pomyślnie przechodzi uwierzytelnianie SPF, a serwer może wymieniać emaile. E-maile są oznaczone jako autentyczne. Jest to domyślna akcja stosowana w przypadku braku kwalifikatora. |
| - | Fail | E-mail nie przechodzi uwierzytelnienia, ponieważ serwer wysyłający nie należy do listy. Poczta może zostać odrzucona przez skrzynkę odbiorcy. |
| ~ | SoftFail | Skrzynka odbiorcy przyjmuje wiadomość, jednak zostaje ona oznaczona jako podejrzana i ląduje w folderze spam. |
| ? | Neutralny | Wiadomość e-mail nie przechodzi ani nie przechodzi uwierzytelniania. Podjęte działanie jest nieokreślone, a wiadomość e-mail jest akceptowana przez odbiorcę. |
Modyfikatory SPF
Modyfikatory SPD odpowiadają za określenie parametrów roboczych składni SPF. Zawierają pary nazw lub wartości oddzielone symbolem "=", które współdzielą dodatkowe szczegóły i wyjątki od reguł, jeśli takie istnieją.
Modyfikatory pojawiają się tylko raz i tylko w ostatniej sekcji rekordu SPF. Wszystkie niezidentyfikowane modyfikatory są ignorowane w procesie. Modyfikator "redirect" jest używany do kierowania innych rekordów SPF w celu uwierzytelnienia. Jest używany, gdy chcesz, aby więcej niż jedna domena miała tę samą zawartość rekordu SPF.
Mechanizm "include" jest używany dla domen stron trzecich, które mają pozwolenie na wysyłanie wiadomości e-mail w Twoim imieniu lub przy użyciu Twojej nazwy biznesowej. Modyfikator "exp" określa, dlaczego serwer odbiorczy zwrócił Fail SPF Qualifier, gdy mechanizm pasuje.
Wytyczne dla rekordów SPF
Podczas tworzenia rekordu SPF przy użyciu tabeli składni SPF należy pamiętać o następujących kwestiach.
- Nie można wyrównać wielu rekordów SPF dla jednej domeny.
- Rekord SPF nie może mieć żadnych dużych liter; w przeciwnym razie zobaczyłbyś błędy.
- Nie powinno być więcej niż 255 znaków. Każdy ciąg przekraczający tę liczbę spowoduje nieudane uwierzytelnienie.
- Usuń, jeśli istnieją jakiekolwiek mechanizmy SPF rozwiązujące do tej samej domeny.
- Usuń wszelkie mechanizmy SPF ip4 i ip6, które nie są używane. Sprawdź też, czy możesz połączyć jakieś zakresy adresów.
- Możesz stworzyć subdomeny do przechowywania informacji SPF. Można to zrobić za pomocą '_spf.domain.com.' Jest to zalecane dla dużych firm IT, ponieważ mają wiele adresów IP do dodania do jednego rekordu SPF.
Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC
Yunes jest liderem zespołu operacyjnego w PowerDMARC z wiedzą ekspercką w zakresie uwierzytelniania i bezpieczeństwa poczty elektronicznej. Yunes jest certyfikowanym przez Microsoft Azure Administrator Associate z certyfikatami CompTIA A+ i wieloma innymi.
Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)
- Czym jest BIMI? Zaufanie do poczty elektronicznej i tożsamość marki – 26 grudnia 2025 r.
- Co to jest rekord CAA? Przewodnik po zabezpieczeniach DNS – 24 grudnia 2025 r.
- Czy otwieranie wiadomości spamowych jest bezpieczne? Ryzyko i wskazówki dotyczące bezpieczeństwa – 16 grudnia 2025 r.
