Błąd walidacji SPF: Przyczyny i rozwiązania

Blog

Napraw błąd walidacji SPF i komunikat „Niepowodzenie sprawdzania SPF” w programie Outlook/Office 365. Poznaj przyczyny, limit 10 wyszukiwań i krok po kroku napraw rekordy SPF.

YunesTarada

Ostatnia aktualizacja:
9 czas czytania: 9 minut
Błąd walidacji SPF: Przyczyny i rozwiązania
Spis treści-

Kluczowe wnioski

  • Błędy walidacji SPF występują, gdy serwer odbiorczy nie może poprawnie ocenić rekordu SPF TXT, najczęściej z powodu błędów składniowych, brakujących/nieprawidłowych włączeń lub przekroczenia limitu 10 wyszukiwań DNS.
  • Sprawdzenia SPF zwykle zwracają wyniki takie jak temperror, permerror, softfail (~all) oraz fail (-all). Wyniki te informują o ryzyku, ale każdy system odbiorczy decyduje, czy dostarczyć, poddać kwarantannie, czy odrzucić wiadomość.
  • Najczęstsze przyczyny to nieprawidłowa składnia SPF, wiele rekordów SPF w tej samej domenie, zagnieżdżone włączenia, które powodują ponad 10 wyszukiwań, oraz publikowanie SPF przy użyciu przestarzałych typów rekordów zamiast TXT.
  • Możesz szybciej wykrywać problemy związane z SPF, łącząc raporty DMARC, narzędzie do sprawdzania/walidacji SPF (pod kątem składni i liczby wyszukiwań) oraz kontrolę nagłówków wiadomości e-mail (Authentication-Results / Received-SPF) w celu potwierdzenia rzeczywistego wyniku SPF.
  • Aby zapobiec powtarzającym się awariom, należy utrzymywać jeden rekord SPF na domenę, ograniczyć liczbę wyszukiwań do ≤10, stosować kontrolę zmian podczas dodawania dostawców poczty elektronicznej oraz ponownie weryfikować SPF po migracji DNS/dostawcy lub wdrożeniu nowych usług wysyłania wiadomości.

Błąd walidacji SPF to sposób, w jaki Twoja domena informuje: „Moja konfiguracja poczty e-mail nie działa”. Jeśli rekord SPF jest nieprawidłowo skonfigurowany, dostawcy skrzynek odbiorczych nie mogą zweryfikować legalnych nadawców, co powoduje spadek dostarczalności, wzrost ryzyka spoofingu i konieczność poświęcania czasu na rozwiązywanie problemów. Oto jak zidentyfikować błędy SPF i szybko je rozwiązać.

Czym jest błąd walidacji SPF?

Walidacja SPF odnosi się do procesu weryfikacji, czy nadawca jest upoważniony (ma prawo) do wysyłania wiadomości e-mail w imieniu domeny. Błędy walidacji SPF mogą wystąpić, gdy rekord TXT zawierający informacje SPF zawiera błędy składniowe lub konfiguracyjne. Rekord SPF domeny składa się z kilku tagów, znanych technicznie jako mechanizmy i modyfikatory SPF. Próba ręcznego utworzenia rekordu SPF często prowadzi do błędów składniowych, które podczas oceny SPF mogą spowodować błąd walidacji. 

W przypadku błędów walidacji SPF właściciele domen mogą otrzymać komunikat komunikat o niepowodzeniu kontroli SPF 550 , np.: 

"Błąd 550 - Wiadomość odrzucona z powodu nieudanego sprawdzenia SPF".

Baner SPF PowerDMARC

SPF przestaje działać bez żadnego ostrzeżenia. Dowiadujesz się o tym dopiero wtedy, gdy przestają przychodzić e-maile.

PowerDMARC pomógł ponad 10 000 klientów w następujących kwestiach:

Jeden pulpit nawigacyjny dla SPF, DMARC i DKIM
Automatyczne monitorowanie — bez konieczności przeglądania surowych danych
Natychmiastowe powiadomienia o błędach w konfiguracji i lukach w zasadach
Skalowanie w ramach domen klienckich obsługujących wielu użytkowników

Typowe komunikaty o błędach walidacji SPF i ich znaczenie

Zrozumienie komunikatów o błędach SPF pomaga szybko zdiagnozować problemy związane z konfiguracją i podjąć odpowiednie działania naprawcze. Chociaż sformułowania mogą się różnić w zależności od dostawcy poczty, poniższe komunikaty odzwierciedlają najczęstsze wyniki związane z SPF, które pojawiają się podczas sprawdzania autentyczności wiadomości e-mail.

Komunikat o błędzieCo to oznaczaZalecane działanie
„Walidacja SPF nie powiodła się”Serwer odbiorczy nie mógł pomyślnie ocenić rekordu SPF.Sprawdź składnię rekordu SPF, dostępność DNS i limity wyszukiwania.
„Ostrzeżenie: walidacja SPF nie powiodła się”Słaby wynik SPF (często softfail), który nadal może umożliwić dostarczenie wiadomościSprawdź autoryzowanych nadawców i zaostrz politykę SPF.
„Niepowodzenie sprawdzania SPF (tryb: normalny)”.Ocena SPF zwróciła wynik niepowodzenia.Napraw rekord SPF lub autoryzuj źródło wysyłania
„Wiadomość odrzucona z powodu nieudanej kontroli SPF”Wiadomość została odrzucona, ponieważ nadawca nie był uprawniony.Zaktualizuj rekord SPF, aby uwzględnić adres IP lub usługę wysyłającą.

Ważne: Dokładne sformułowanie błędu nie jest ustandaryzowane i może się różnić w zależności od dostawcy, serwera pocztowego i systemu rejestrowania. Poniższe przykłady przedstawiają często spotykane wzorce, a nie gwarantowane komunikaty.

Platformy poczty elektronicznej sygnalizują błędy weryfikacji SPF na różne sposoby, w zależności od swoich zasad i formatów rejestrowania. Poniżej przedstawiono typowe przykłady, nie są to stałe ani uniwersalne ciągi znaków.

  • Gmail
     Powiadomienia o odrzuceniu lub dostarczeniu mogą wskazywać, że wiadomość została zablokowana lub oznaczona jako podejrzana z powodu problemów z oceną polityki SPF.
  • Microsoft 365 / Outlook
     Raporty dostarczenia zazwyczaj odnoszą się do kodów statusu SMTP 5.7.x (takich jak 550 5.7.1), gdy kontrole SPF zakończą się niepowodzeniem lub nadawca nie jest autoryzowany.
  • Yahoo Mail
     Odrzucenia mogą zawierać informację, że wiadomość nie została przyjęta z powodu niepowodzenia weryfikacji SPF lub uwierzytelnienia nadawcy.
Jak interpretować te wyniki:
SPF zwraca ustandaryzowane wyniki, takie jak pass, fail, softfail, neutral, temperror lub permerror. Każdy system odbiorczy decyduje następnie, czy dostarczyć, poddać kwarantannie lub odrzucić wiadomość w oparciu o własną politykę i ogólny kontekst uwierzytelniania.

Rodzaje błędów walidacji SPF

Kontrole SPF mogą zwracać różne typy wyników w zależności od tego, co serwer odbiorczy wykryje podczas oceny. Oto najczęstsze wyniki SPF, które można zobaczyć podczas walidacji SPF: 

  • Temperror: Może to być błąd walidacji spowodowany chwilową awarią, taką jak przekroczenie limitu czasu DNS lub podobne problemy podczas procedury walidacji SPF. Nie oznacza to, że rekord SPF jest nieprawidłowy, niedostępny lub nie przeszedł pomyślnie procedury walidacji. Nie należy się martwić, jeśli komunikat SPF temperror pojawia się tylko na jednym serwerze pocztowym. Jednakże, jeśli takie powiadomienia pojawiają się regularnie, należy dokładnie sprawdzić rekord SPF. 

Przykład: Serwer DNS jest chwilowo niedostępny podczas wyszukiwania SPF, co powoduje przekroczenie limitu czasu.

  • Permerror: Gdy serwery pocztowe nie mogą poprawnie sprawdzić rekordów SPF, generują następujące komunikaty komunikaty SPF Permerror . Problemy te są zazwyczaj spowodowane literówkami lub błędami składni SPF . Błąd Permerror występuje również, gdy rekordy SPF przekraczają limit 10 wyszukiwań DNS.  

Przykład: Rekord SPF zawiera „v=spf2” zamiast „v=spf1” lub obejmuje 12 wyszukiwań DNS, podczas gdy limit wynosi 10.

  • Softail: Nadawca jest uprawniony lub nieuprawniony do wysyłania wiadomości e-mail z domeny. Host może być „prawdopodobnie niezatwierdzony”, jeśli domena nie ustanowiła jasnej i agresywnej polityki, która skutkuje „niepowodzeniem”. Działa to poprzez dołączenie mechanizmu „all” do rekordu SPF. Każdy adres IP zapewni wynik „SPF Softfail” podczas oceny. Wynik SPF Soft fail jest w rzeczywistości słabym stwierdzeniem. 

DMARC DMARC odczytuje wynik SPF Softfail jako „Pass” lub „Fail”, w zależności od ustawień serwera poczty elektronicznej, podobnie jak wynik SPF Neutral. 

Przykład: Rekord SPF kończy się na „~all”, a nieautoryzowany nadawca próbuje wysłać wiadomość e-mail, co powoduje miękką awarię.

  • Niepowodzenie: Deklaracja „SPF Fail”, w przeciwieństwie do „SPF Softfail”, jest wyraźnym lub ostatecznym stwierdzeniem, że host nie ma prawa korzystać z domeny. Warunek ten jest implementowany w rekordzie SPF przy użyciu techniki „-all”. 

W przypadku użycia dowolnego adresu IP zostanie wygenerowany błąd „SPF Fail” podczas sprawdzania uwierzytelniania SPF. Sytuacja ta jest traktowana tak samo przez wszystkie domeny z wdrożonym DMARC i interpretowana jako „Fail”.  

Przykład: Rekord SPF kończy się na „-all”, a całkowicie nieautoryzowany adres IP próbuje wysłać wiadomość e-mail, co powoduje poważną awarię i odrzucenie wiadomości.

Najczęstsze przyczyny błędów walidacji SPF

Błędy walidacji SPF wynikają zazwyczaj z niewielkiej liczby problemów konfiguracyjnych. Zrozumienie tych podstawowych przyczyn pomaga szybko naprawić błędy i zapobiec ich ponownemu wystąpieniu.

1. Nieprawidłowy składnia rekordu DNS SPF

Częstą przyczyną błędu walidacji SPF jest nieprawidłowy rekord DNS SPF. Dodatkowe spacje, nieprawidłowe formatowanie i nieprawidłowa interpunkcja mogą prowadzić do błędów walidacji SPF i unieważnienia rekordu. Ponadto luki w zabezpieczeniach DNS, takie jak wiszące rekordy DNS , mogą stworzyć luki, które mogą wykorzystać atakujący, dodatkowo komplikując konfigurację uwierzytelniania poczty elektronicznej.

Typowe problemy związane ze składnią obejmują:

  • Używanie nieprawidłowej wersji (na przykład v=spf2 zamiast v=spf1)
  • Brak obowiązkowego wszystkich mechanizm (~all lub -all)
  • Dodawanie nieobsługiwanych separatorów lub błędy formatowania

Przykład:

Nieprawidłowy rekord SPFProblemWersja poprawiona
v=spf2 include:_spf.google.com ~allNieprawidłowa wersja SPFv=spf1 include:_spf.google.com ~all
v=spf1 include:_spf.google.comBrak wszystkich mechanizmówv=spf1 include:_spf.google.com ~all

2. Wiele rekordów SPF dla tej samej domeny

Domena może mieć tylko jeden rekord SPF. Opublikowanie wielu rekordów SPF TXT powoduje niepowodzenie oceny SPF, ponieważ serwery odbiorcze nie mogą określić, który rekord zastosować.

Zazwyczaj dzieje się tak, gdy:

  • Wiele usług poczty elektronicznej jest dodawanych niezależnie.
  • Rekordy SPF są tworzone przez różne zespoły lub dostawców.
  • Stare rekordy SPF nie są usuwane podczas migracji.

Wynik: Ocena SPF może zwrócić błąd permerror, powodując niepowodzenie uwierzytelnienia prawidłowych wiadomości e-mail.

3) Przekroczenie limitu wyszukiwania DNS SPF

SPF pozwala na maksymalnie 10 wyszukiwań DNS podczas oceny. Jeśli limit ten zostanie przekroczony, walidacja SPF zakończy się niepowodzeniem z błędem permerror.

Wyszukiwanie DNS jest uruchamiane przez takie mechanizmy jak:

  • zamieścić
  • a
  • mx
  • ptr
  • istnieje
  • przekierowanie

Sytuacja z życia wzięta: Firma SaaS korzysta z Google Workspace, Microsoft 365, platformy marketingowej i usługi poczty transakcyjnej. Każda z nich dodaje wiele instrukcji include , a zagnieżdżone include po cichu przekraczają limit 10 wyszukiwań SPF, powodując awarie poczty e-mail pomimo „poprawnie wyglądających” rekordów.

4. Korzystanie z przestarzałego typu rekordu SPF

Rekord SPF typu 99 (SPF) został zdeprecjonowany, jak wspomniano w RFC 7208, sekcja 3.1, ponieważ nie jest zbyt użyteczny. Ma on taki sam format jak RR typu TXT, który jest zalecanym typem zasobu dla rekordów SPF. Używanie przestarzałego typu rekordu może prowadzić do błędów SPF. 

Najważniejsze wnioski: Większość błędów walidacji SPF wynika z błędów składniowych, wielokrotnych rekordów SPF lub przekroczenia limitu 10 wyszukiwań DNS, a nie z awarii serwera pocztowego lub problemów po stronie odbiorcy.

Jak znaleźć błędy walidacji SPF?

Zanim naprawisz błędy walidacji SPF, musisz zidentyfikować, gdzie one występują: w rekordzie DNS, podczas oceny SPF (wyszukiwania/składnia) lub podczas rzeczywistych prób dostarczenia.

Lista kontrolna wykrywania błędów SPF krok po kroku

  1. Sprawdź raporty DMARC → poszukaj błędów SPF i wzorców błędów
  2. Zweryfikuj swój rekord SPF → potwierdź składnię i liczbę wyszukiwań DNS
  3. Sprawdź nagłówki wiadomości e-mail → potwierdź wynik SPF zwrócony przez odbiorcę.
  4. Sprawdź komunikaty o odrzuceniu wiadomości → zidentyfikuj kody odrzucenia powiązane z SPF
  5. Sprawdź publikację DNS → upewnij się, że dla domeny istnieje dokładnie jeden rekord SPF TXT.

1. Korzystanie z raportów DMARC

Błędy walidacji SPF można wykryć, monitorując raporty DMARC. Raporty DMARC zawierają bogate informacje na temat ruchu poczty elektronicznej, nadawców i wyników uwierzytelniania SPF i DKIM . Jeśli wystąpi błąd walidacji rekordu SPF, prawdopodobnie zostanie on zaznaczony w raporcie raporcie DMARC. Korzystając z narzędzia do analizy raportów DMARC może pomóc w tym procesie, ułatwiając odczytanie i zrozumienie skomplikowanych raportów XML. 

2. Korzystanie z narzędzi walidacji SPF online

Tylko narzędzia do sprawdzania SPF, takie jak sprawdzarki SPF , mogą pomóc w łatwym i natychmiastowym wykryciu błędów walidacji. Te narzędzia online są zazwyczaj bezpłatne i mogą szybko sprawdzić rekord SPF, aby wskazać błędy składniowe i konfiguracyjne. Niektóre zaawansowane narzędzia informują również, czy rekord SPF przekracza limit 10 wyszukiwań DNS. 

Wypróbuj darmowe narzędzie PowerDMARC darmowe narzędzie do sprawdzania SPF.

3. Sprawdź nagłówki wiadomości e-mail

Wreszcie, zawsze możesz sprawdzić, czy nie ma błędów walidacji SPF, ręcznie sprawdzając nagłówki wiadomości e-mail. Po prostu otwórz wiadomość e-mail. Kliknij „więcej” i wybierz „Pokaż oryginał”. Pojawi się nowa karta, na której wyświetlone zostanie podsumowanie oryginalnej wiadomości oraz szczegółowy przegląd nagłówka wiadomości e-mail. Możesz również użyć narzędzie do analizy nagłówków wiadomości e-mail , który zapewni obszerne informacje na temat nagłówka wiadomości e-mail – ale w kompleksowym i czytelnym formacie.

Analiza nagłówków krok po kroku: Poszukaj wierszy zaczynających się od „Received-SPF:” lub „Authentication-Results:”, aby znaleźć wyniki weryfikacji SPF. Typowe wyniki to „pass”, „fail”, „softfail”, „neutral”, „temperror” lub „permerror”.

Jak zapobiegać błędom walidacji SPF

Aby zapobiec błędom walidacji SPF: 

  • Dokładnie sprawdź swój rekord SPF, aby upewnić się, że został on zaktualizowany lub wyłączony, jeśli nie jest już używany, wysyłając wiadomość e-mail do właściciela domeny. 
  • Załóżmy, że niedawno zmieniłeś dostawcę poczty e-mail (na przykład Gmail) lub dokonano zmiany serwerów nazw domen. W takim przypadku SPF może zostać uszkodzony, ponieważ Google nie może dopasować adresu nadawcy do żadnych istniejących rekordów. Jeśli ostatnio dokonałeś którejkolwiek z tych zmian w swojej domenie, upewnij się, że rekordy SPF zostały zaktualizowane, kontaktując się ze swoim hostingiem lub dostawcą poczty e-mail.
  • Upewnij się, że Twój dostawca hostingu DNS jest niezawodny i ma dobre opcje hostingu. Może to pomóc w zapewnieniu, że rekord SPF jest zawsze dostępny i może być łatwo dostępny dla serwerów odbierających, zmniejszając szanse na błąd walidacji SPF.
  • Ważne jest, aby wybrać godnego zaufania dostawcę hostingu DNS i regularnie sprawdzać, czy rekord SPF jest dokładny i aktualny, aby uniknąć potencjalnych problemów.

Dla dostawców usług zarządzanych (MSP) i przedsiębiorstw: Wdrożenie automatycznego monitorowania SPF i ustanowienie procesów zarządzania zmianami w celu zapobiegania rozbieżnościom konfiguracyjnym między wieloma domenami i klientami.

Jak naprawić błędy walidacji SPF

Właściciele domen mogą naprawić błędy, podejmując kilka prostych działań podanych poniżej:

1. Sprawdź składnię rekordu SPF

Sprawdź swoją składnię SPF , aby upewnić się, że nie zawiera błędów. Poprawny rekord SPF może wyglądać następująco: v=spf1 include:spf.domain.com ~all. Typ wersji (v) i mechanizm SPF all są polami obowiązkowymi, które muszą być zawarte w składni rekordu. Należy również upewnić się, że nie dodaje się dodatkowych spacji, średników ani innych znaków specjalnych, które nie są obsługiwane przez SPF. 

Dla firm SaaS: Podczas integracji wielu usług poczty elektronicznej (automatyzacja marketingu, e-maile transakcyjne, systemy wsparcia) należy upewnić się, że wymagania SPF każdej usługi są odpowiednio uwzględnione, nie przekraczając limitów wyszukiwania.

2. Ograniczenie wyszukiwania DNS

Aby zapobiec błędom walidacji SPF i błędom trwałym, kluczowe znaczenie ma ograniczenie wyszukiwania DNS do maksymalnie 10. Chociaż istnieją tradycyjne metody spłaszczania, które pozwalają to osiągnąć, bardziej nowoczesnym i skutecznym sposobem rozwiązania tego problemu jest użycie makr SPF. Makra pomagają utrzymać się poniżej limitów wyszukiwań DNS i długości. 

3. Konsolidacja rekordów SPF

Aby zapobiec publikowaniu wielu rekordów SPF, które mogą prowadzić do błędów walidacji, scalać rekordy SPF za pomocą mechanizmu include:. SPF "includes" może pomóc skonsolidować kilka rekordów w jeden, poprzez proste dodanie autoryzowanej domeny jeden po drugim, jak pokazano poniżej:

v=spf1 include:spf.domain.com include:spf.example.com include:spf.company.com ~all

4. Uwzględnienie regulacji mechanizmu

Przeoczenie zewnętrznych źródeł wysyłania i dostawców poczty e-mail, takich jak Google, Microsoft Office 365, Zoho Mail itp. może prowadzić do błędów walidacji. Dostosuj mechanizm SPF "include", aby autoryzować wszystkich dostawców zewnętrznych, zapewniając bezbłędną konfigurację. 

Więcej informacji o konfiguracja źródła dostawcy.

Przejmij kontrolę nad bezpieczeństwem swojej domeny

Uwierzytelnianie SPF jest wymagane w celu zapewnienia integralności wiadomości e-mail i zapobiegania spamowi. A fałszywy email może łatwo dostać się do skrzynki pocztowej odbiorcy z powodu błędu walidacji SPF. Może to zaszkodzić reputacji prawowitego właściciela domeny poprzez spamowanie lub phishing odbiorcy.

Chociaż metoda uwierzytelniania SPF ma na celu zapobieganie niechcianych wiadomości e-mail przeładowania skrzynki odbiorczej, prawdziwe wiadomości e-mail mogą czasami zostać zarejestrowane jako błąd uwierzytelniania z powodu błędu konfiguracji lub wadliwego rekordu SPF. W rezultacie administrator poczty elektronicznej musi zrozumieć, co powoduje błędy SPF i co może zrobić, aby poprawić dostarczalność wiadomości e-mail. 

W PowerDMARC rozumiemy, jak ważne jest bezpieczeństwo poczty elektronicznej dla firm każdej wielkości. Niezależnie od tego, czy chronisz rozwijającą się platformę SaaS, zarządzasz zgodnością z przepisami w branży podlegającej regulacjom, czy nadzorujesz bezpieczeństwo poczty elektronicznej dla wielu klientów jako dostawca usług zarządzanych (MSP), jesteśmy tutaj, aby pomóc Ci osiągnąć sukces.

Kolejne kroki

Chcesz wyeliminować błędy walidacji SPF i zabezpieczyć swoją infrastrukturę poczty elektronicznej? Oto, co możesz zrobić:

Najczęściej zadawane pytania

1. Co powoduje awarię SPF?

Błędy SPF są zazwyczaj spowodowane nieprawidłowymi rekordami DNS, błędami składniowymi, przekroczeniem limitu 10 wyszukiwań DNS, wieloma rekordami SPF dla tej samej domeny lub użyciem przestarzałych typów rekordów SPF. Tymczasowe problemy z DNS mogą również powodować błędy SPF.

2. Jak naprawić błędy walidacji SPF?

Aby naprawić błędy walidacji SPF: 1) Sprawdź i popraw składnię rekordu SPF, 2) Upewnij się, że dla każdej domeny istnieje tylko jeden rekord SPF, 3) Ogranicz liczbę wyszukiwań DNS do 10 lub mniej, 4) Uwzględnij wszystkie autoryzowane źródła poczty e-mail oraz 5) Użyj typu rekordu TXT zamiast przestarzałego typu rekordu SPF.

3. Co oznacza komunikat „odrzucono z powodu walidacji SPF”?

„Odrzucono z powodu weryfikacji SPF” oznacza, że serwer poczty elektronicznej odbiorcy sprawdził rekord SPF Twojej domeny i stwierdził, że serwer wysyłający nie jest upoważniony do wysyłania wiadomości e-mail w imieniu Twojej domeny. W rezultacie wiadomość e-mail została odrzucona lub oznaczona jako spam.

4. Jak długo trwa wprowadzenie zmian w rekordzie SPF?

Zmiany w rekordzie SPF zazwyczaj wchodzą w życie w ciągu kilku minut do 48 godzin, w zależności od ustawień TTL (Time To Live) dostawcy usług DNS. Większość zmian rozprzestrzenia się globalnie w ciągu 1-4 godzin.

5. Czy mogę mieć wiele rekordów SPF dla subdomen?

Tak, można mieć oddzielne rekordy SPF dla różnych subdomen, ale każda domena lub subdomena powinna mieć tylko jeden rekord SPF. Na przykład można mieć jeden rekord SPF dla example.com i inny dla mail.example.com.

Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)
Ostatnia aktualizacja:
Jak rozpoznać fałszywy e-mail uniwersyteckiFałszywe e-maile uniwersyteckieLuka w zabezpieczeniach DKIMCzym jest podatność DKIM? Wyjaśnienie ograniczenia tagu DKIM l=