Rekord SPF: czym jest, jak działa i jak go skonfigurować

Oszustwa e-mailowe kosztują organizacje miliardy dolarów rocznie — a większość z nich zaczyna się od sfałszowanego adresu nadawcy. Sender Policy Framework (SPF) to jeden z trzech podstawowych protokołów uwierzytelniania wiadomości e-mail, obok DKIM i DMARC, który uniemożliwia nieuprawnionym nadawcom wysyłanie wiadomości e-mail z wykorzystaniem Twojej domeny.

Kluczowe wnioski

  • SPF jest jednym z trzech podstawowych protokołów uwierzytelniania poczty elektronicznej, obok DKIM i DMARC. Jest to rekord DNS typu TXT, w którym wymienione są wszystkie adresy IP i serwery pocztowe uprawnione do wysyłania wiadomości w imieniu Twojej domeny — bez niego każdy serwer w Internecie może podszywać się pod Twoją domenę.
  • Protokół SPF weryfikuje jedynie domenę w polu Return-Path (koperty), a nie widoczny adres „From:”, więc sam w sobie nie jest w stanie zapobiec sfałszowaniu nazwy wyświetlanej. Aby zapewnić pełną ochronę domeny, należy go zintegrować z protokołem DMARC.
  • Opcja zamykająca kwalifikator określa sposób egzekwowania: -all (hard fail) odrzuca wszystkich nadawców nieznajdujących się na liście, natomiast ~all (soft fail) jedynie ich oznacza. Przejdź na opcję -all dopiero po przeprowadzeniu audytu wszystkich legalnych źródeł wysyłki.
  • Każdy mechanizm typu „include”, „a”, „mx”, „redirect” i „exists” wlicza się do limitu 10 zapytań DNS w ramach SPF — przekroczenie tego limitu spowoduje, że cały rekord zwróci błąd PermError. Należy dbać o zwięzłość rekordu (lub skorzystać z automatycznego spłaszczania), aby nie przekroczyć limitu.

Centrum zasobów PowerDMARC

W tym przewodniku omówiono wszystkie kwestie: czym jest SPF, jak dokładnie działa, jak utworzyć i zweryfikować rekord, co oznaczają poszczególne mechanizmy i kwalifikatory, jak naprawić najczęstsze błędy oraz jak SPF wpisuje się w kompleksową strategię DMARC. Dodaj tę stronę do zakładek — na pewno będziesz do niej wracać.

Przewodniki krok po kroku dotyczące konfiguracji SPF

Kompletne instrukcje wdrożeniowe

Rozwiązywanie problemów związanych z błędami

Poprawianie wyszukiwań, błędów typu „softfail” i wyrównania

Dostosowanie SPF i DMARC

Uwzględnij wskaźnik SPF w ocenie zgodności z DMARC

Darmowe narzędzia do obliczania SPF

Sprawdzanie, generowanie i weryfikacja rekordów

Co to jest SPF?

SPF (Sender Policy Framework) to jeden z trzech podstawowych protokołów uwierzytelniania poczty elektronicznej – obok DKIM i DMARC – który zapobiega wysyłaniu wiadomości e-mail z wykorzystaniem Twojej domeny przez nieautoryzowane serwery. Rekord SPF to rekord DNS typu TXT, w którym wymienione są wszystkie adresy IP i serwery pocztowe uprawnione do wysyłania wiadomości w Twoim imieniu. Bez tego rekordu dowolny serwer w Internecie może podszywać się pod Twoją domenę, a serwery odbiorcze nie mają możliwości odróżnienia prawdziwej wiadomości od fałszywej.

Jak działa SPF

Gdy serwer pocztowy odbierający otrzymuje wiadomość e-mail, wyodrębnia domenę z pola „Return-Path” (nadawca koperty), wysyła zapytanie do serwera DNS o rekord TXT zaczynający się od „v=spf1” i sprawdza, czy adres IP serwera wysyłającego znajduje się na liście autoryzowanych adresów. Jeśli tak, test SPF kończy się wynikiem pozytywnym. W przeciwnym razie wynik to „fail”, „softfail” lub „error”, a dalszy przebieg zależy od polityki DMARC.

SPF weryfikuje domenę Return-Path (techniczny adres koperty), a nie widoczny adres w polu „Od:”. Oznacza to, że sam SPF nie jest w stanie zapobiec sfałszowaniu nazwy wyświetlanej. Właśnie dlatego wprowadzono zgodność z DMARC, aby wypełnić tę lukę.

Wynik SPFCo to oznacza
PassWysyłanie adresu IP jest dozwolone.
Niepowodzenie (-wszystkie)Brak uprawnień. Należy to odrzucić.
SoftFail (~wszystkie)Prawdopodobnie nieautoryzowane. Zaakceptuj, ale oznacz.
Błąd stałyPobito rekord (błąd składniowy, zbyt wiele operacji wyszukiwania). Traktowane jako niepowodzenie.

Składnia rekordów SPF: mechanizmy i kwalifikatory

Rekord SPF zaczyna się od v=spf1, zawiera listę autoryzowanych nadawców przy użyciu takich mechanizmów jak ip4:, ip6:i obejmują:, a na końcu znajduje się klauzula określająca, jak odbiorcy mają postępować w przypadku nadawców, których nie ma na liście. Oto przykład:

v=spf1 ip4:192.168.1.1 include:_spf.google.com include:sendgrid.net -all

-all i ~all oznaczają różne poziomy egzekwowania zasad w SPF. Opcja -all (hard fail) informuje serwery odbiorcze, że tylko wymienieni nadawcy są autoryzowani, a wszystkie pozostałe wiadomości powinny zostać odrzucone. Opcja ~all (soft fail) jest bardziej łagodna i oznacza wszystkich nieautoryzowanych nadawców jako podejrzanych, ale nadal je akceptuje. Użyj opcji -all dopiero po przeprowadzeniu pełnego audytu nadawców.

Każdy include:, a, mx, przekierowanie=i exists: mechanizm ten wlicza się do Limit 10 wyszukiwań DNS. Przekroczenie tej wartości powoduje wygenerowanie błędu PermError, który całkowicie uniemożliwia uwierzytelnienie. ptr: mechanizm ten jest przestarzały, należy unikać stosowania.

Jak utworzyć rekord SPF

Zacznij od sporządzenia listy wszystkich usług, które wysyłają wiadomości e-mail z Twojej domeny, na przykład:

  • Twój główny serwer pocztowy
  • Google Workspace lub Microsoft 365
  • Narzędzia marketingowe (Mailchimp, HubSpot, Klaviyo)
  • Usługi transakcyjne (SendGrid, Mailgun, Amazon SES) oraz wszelkie systemy CRM lub platformy obsługi klienta, które wysyłają wiadomości w Twoim imieniu.

Każdy dostawca publikuje include: wartość w ich dokumentacji. Utwórz jeden rekord łączący wszystkich nadawców (można mieć tylko jeden rekord SPF na domenę), opublikuj go jako rekord TXT w swoim Dostawca usług DNS, a następnie zweryfikować to za pomocą Narzędzie do sprawdzania SPF. Rozprzestrzenianie się DNS zazwyczaj trwa to kilka godzin, ale może potrwać nawet do 48 godzin.

Instrukcje konfiguracji dla poszczególnych dostawców

Jak sprawdzić i zweryfikować swój rekord SPF

Skorzystaj z narzędzia do sprawdzania SPF, aby upewnić się, że Twój rekord jest poprawny pod względem składniowym, mieści się w limicie 10 zapytań i prowadzi do właściwych adresów IP. Narzędzie SPF Lookup firmy PowerDMARC natychmiast przeprowadza wszystkie te kontrole.

Co powinno obejmować prawidłowa kontrola SPF:

  • Nagranie zaczyna się od v=spf1
  • Dla tej domeny istnieje tylko jeden rekord SPF
  • Łączna liczba zapytań DNS wynosi 10 lub mniej
  • Brak błędów składniowych ani nierozwiązywalnych include: domeny
  • The all czy kwalifikator występuje i jest właściwy
  • Brak przestarzałych mechanizmów (np. ptr:)

Sprawdzanie z wiersza poleceń (Linux/Mac):

dig TXT yourdomain.com +short | grep "v=spf1"

Korzystanie z funkcji sprawdzania SPF w PowerDMARC: Wpisz swoją domenę w narzędziu PowerDMARC SPF Checker, aby uzyskać natychmiastowy raport diagnostyczny zawierający liczbę sprawdzeń, podział według mechanizmów oraz ewentualne błędy.

Typowe błędy związane z SPF i sposoby ich naprawiania

Większość awarii serwera SPF wynika ze zmian w konfiguracji, a nie z samego protokołu. Oto najczęściej spotykane błędy oraz wskazówki, gdzie należy je naprawić:

BłądCo się dziejePoradnik naprawy
PermError: Zbyt wiele operacji wyszukiwania DNSRekord przekracza limit 10 wyszukiwańNapraw błąd SPF PermError
Wiele rekordów SPFDwa wpisy typu v=spf1 w tej samej domeniePopraw wiele rekordów SPF
SPF przeszedł pomyślnie, ale DMARC nie przeszedłPole „Return-Path” nie zgadza się z polem „From:”Popraw wyrównanie SPF
SoftFail. Domena nie określa nadawcyAdres IP nadawcy nie figuruje w rekordzie SPFNapraw błąd SPF SoftFail
Sprawdzenie SPF 550 zakończyło się niepowodzeniemOdrzucenie przez serwer odbierającyNapraw błąd 550 SPF
Nie znaleziono rekordu SPFBrakujący lub niepublikowany wpisNapraw brak rekordu SPF
Funkcja SPF nie działa w przypadku przekazanych wiadomości e-mailAdres IP serwera przekaźnikowego nie jest autoryzowanyPrzewodnik po przekazywaniu wiadomości e-mail
Błąd walidacji SPFProblem ze składnią lub formatowaniemNapraw błędy związane z weryfikacją SPF
Wiadomość e-mail została odrzucona zgodnie z zasadami SPFSerwer odbiorczy stosujący rygorystyczne zasady SPFNapraw błąd odrzucenia SPF
Wpis SPF przekracza limit znakówWpis jest zbyt długi, by zmieścić się w jednym wpisie TXT w DNSNapraw limit znaków w polu SPF

SPF i DMARC: zrozumienie zgodności

SPF może przejść pomyślnie, podczas gdy DMARC nadal kończy się niepowodzeniem. Dzieje się tak, ponieważ SPF weryfikuje domenę Return-Path, ale DMARC wymaga, aby domena ta była zgodna z widocznym adresem „From:”. Gdy wysyłasz wiadomość za pośrednictwem serwisu zewnętrznego, który korzysta z własnej domeny Return-Path, SPF uwierzytelnia się względem tej domeny, a nie Twojej, w wyniku czego DMARC nie przechodzi kontroli zgodności.

Rozwiązaniem jest albo skonfigurowanie niestandardowego pola Return-Path w swojej domenie u każdego dostawcy, albo skorzystanie zamiast tego z dopasowania DKIM (podpisy DKIM zachowują ważność po przekazaniu wiadomości i nie są powiązane z adresem IP nadawcy). Tryb dopasowania należy ustawić za pomocą tagu aspf= w rekordzie DMARC: aspf=r (łagodny, dopuszczalne poddomeny) lub aspf=s (ścisły, dokładne dopasowanie).

SPF, DKIM i DMARC: jak te rozwiązania współdziałają

Te trzy protokoły wzajemnie się uzupełniają, ale nie są zamienne. SPF weryfikuje serwer wysyłający, natomiast DKIM weryfikuje integralność wiadomości za pomocą podpisu kryptograficznego. DMARC łączy oba te protokoły, egzekwuje politykę (brak / kwarantanna / odrzucenie) oraz generuje raporty zbiorcze i analityczne. Wiadomość e-mail przechodzi test DMARC, jeśli spełnia wymagania zgodności z protokołem SPF lub DKIM; należy skonfigurować oba protokoły, aby jeden mógł zrekompensować awarię drugiego (np. gdy SPF nie działa w przypadku wiadomości przekazywanych dalej, ale DKIM nadal działa).

SPF w modelu hostowanym: rozwiązanie problemu skalowalności

Każde narzędzie SaaS dodane do rekordu SPF generuje zapytania DNS. Po osiągnięciu limitu 10 zapytań cały rekord przestaje działać, a wszystkie sprawdzania SPF zwracają błąd PermError. Ręczne upraszczanie rekordu SPF (zastępowanie elementów „include” surowymi adresami IP) sprawdza się w perspektywie krótkoterminowej, ale traci aktualność, gdy dostawcy zmieniają swoje zakresy adresów IP — a robią to bez ostrzeżenia.

PowerDMARC automatyczne spłaszczanie SPF rozwiązuje ten problem poprzez dynamiczne rozpoznawanie include: przekształcanie łańcuchów w zoptymalizowane wpisy, monitorowanie zmian adresów IP dostawców oraz utrzymywanie liczby wpisów poniżej limitu wyszukiwań bez konieczności ręcznej edycji DNS. Dla organizacji korzystających z Makra SPF lub zarządzanie Współczynnik SPF dla wielu domen i subdomen, a hosting z obsługą SPF całkowicie eliminuje nakłady związane z konserwacją.

Lista kontrolna najlepszych praktyk dotyczących SPF

Błąd typu „hard fail” stanowi jasny sygnał. Błąd typu „soft fail” jest niejednoznaczny.
Nie przekraczaj 8 wyszukiwań
Pozostawia pewien margines bezpieczeństwa. Dokładnie 10 to tykająca bomba zegarowa.
Atakujący podszywają się pod zaparkowane domeny właśnie dlatego, że nie mają one rekordów SPF.
Opublikuj rekord SPF dla każdej subdomeny
Usługa SPF w domenie yourdomain.com nie obejmuje domeny mail.yourdomain.com.
Dostawcy zarządzają swoimi zakresami adresów IP; obejmuje to: aktualizację na bieżąco.
Nigdy nie używaj ptr:
Metoda ta została wycofana zgodnie z RFC 7208. Działa wolno, jest zawodna i marnuje operację wyszukiwania.
Monitorowanie za pomocą raportów DMARC
Raporty RUA ujawniają nadawców, o których nie wiedziałeś. Zobacz także: RUA a RUF.
Audyt kwartalny
Wyklucz dostawców, z których usług już nie korzystasz, zanim staną się dla Ciebie obciążeniem.
W połączeniu z DKIM i DMARC
Sam SPF niczego nie wymusza. DKIM obejmuje przekazywanie wiadomości. DMARC zapewnia egzekwowanie.

Jak prawidłowo skonfigurować SPF

Jeśli konfigurujesz SPF po raz pierwszy, zacznij od powyższych instrukcji dla poszczególnych dostawców i zweryfikuj swój rekord za pomocą bezpłatnego narzędzia do sprawdzania SPF firmy PowerDMARC. Jeśli korzystasz już z SPF i napotykasz limity zapytań lub błędy PermError, automatyczne spłaszczanie SPF eliminuje nakłady związane z utrzymaniem. A jeśli jeszcze nie skonfigurowałeś DMARC, jest to najważniejszy kolejny krok — SPF bez DMARC to zamek bez drzwi.

Bezpłatne narzędzia PowerDMARC

Zadbaj o uwierzytelnianie wiadomości e-mail dzięki bezpłatnym narzędziom SPF firmy PowerDMARC. Natychmiast sprawdź swoją domenę, wygeneruj nowe rekordy lub zapoznaj się z pełną funkcjonalnością platformy. Nie trzeba się rejestrować.

SPF Record Checker

Natychmiast sprawdź rekord SPF swojej domeny, rozwiń pełny łańcuch wyszukiwania i zidentyfikuj ewentualne problemy z konfiguracją.

Kluczowe cechy:

  • Natychmiastowe rozszerzenie łańcucha wyszukiwania: zobacz wszystkie adresy IP i adresy, do których rozdziela się Twój wpis.
  • Licznik wyszukiwań: sygnalizuje osiągnięcie limitu 10 wyszukiwań DNS, po przekroczeniu którego wysyłanie wiadomości przestaje działać.
  • Wykrywanie błędów: wykrywa wyjątki typu PermError i TempError oraz błędy składniowe.
  • Bez ograniczeń i za darmo: przeprowadzaj nieograniczoną liczbę sprawdzeń bez konieczności rejestracji.
Skorzystaj z narzędzia SPF Checker

Generator rekordów SPF

Wygeneruj poprawny rekord SPF dostosowany do nadawców z Twojej domeny bez konieczności ręcznego wpisywania składni.

Kluczowe cechy:

  • Kreator z przewodnikiem: dodaj nadawców i mechanizmy w kilku prostych krokach.
  • Wynik w postaci pojedynczego zapisu: łączy wszystkie dane ze wszystkich źródeł w jeden zapis zgodny z wymogami.
  • Bezbłędny wynik: za każdym razem generuje poprawnie sformatowany plik SPF.
  • Przyjazny dla początkujących: prosty interfejs zaprojektowany z myślą o szybkiej i bezproblemowej konfiguracji.
Skorzystaj z generatora SPF

Zestaw narzędzi PowerDMARC

Kompleksowa platforma służąca do monitorowania, egzekwowania i analizowania uwierzytelniania wiadomości e-mail w wielu domenach.

Kluczowe cechy:

  • Kompleksowe narzędzie do sprawdzania: sprawdź rekordy SPF, DKIM, DMARC, BIMI, MTA-STS, TLS-RPT, MX i NS z poziomu jednego pulpitu nawigacyjnego.
  • Analiza reputacji: przeglądaj dane WHOIS, status na listach blokujących, rekordy PTR i FCrDNS, aby zidentyfikować zagrożenia dla dostarczalności.
Odkryj zestaw narzędzi

Chroń i monitoruj swoją domenę

Twórz rekordy uwierzytelniające, sprawdzaj konfigurację DNS i monitoruj aktywność pocztową swojej domeny z poziomu jednej platformy. Zapobiegaj fałszowaniu adresów, popraw dostarczalność wiadomości i uzyskaj pełny wgląd w to, kto wysyła wiadomości e-mail w Twoim imieniu.

Ponad 10 tys.Chronione organizacje
32Dostępne bezpłatne narzędzia
4,9/5Ocena na G2
Lider G2Oprogramowanie DMARC

Cieszy się zaufaniem przedsiębiorstw, dostawców usług zarządzanych (MSP) oraz zespołów ds. bezpieczeństwa odpowiedzialnych za utrzymanie reputacji domeny i zapobieganie spoofingowi.

SOC 2 HIPAA PCI-DSS RODO ISO 27001

„PowerDMARC to bardzo potężne i kompleksowe narzędzie, które znacznie upraszcza codzienną pracę związaną z monitorowaniem uwierzytelniania wiadomości e-mail i funkcji bezpieczeństwa. Zapewnia przejrzystość i jasność, które w innym przypadku byłyby trudne do osiągnięcia. Szczerze polecam PowerDMARC wszystkim, którzy chcą wzmocnić bezpieczeństwo swojej poczty elektronicznej!”

— Yves P., inżynier systemowy

Najczęściej zadawane pytania

Mój rekord SPF jest prawidłowy, ale wiadomości e-mail nadal trafiają do folderu ze spamem. Dlaczego?

SPF to tylko jeden z wielu czynników. Dostarczalność wiadomości e-mail zależy również od reputacji domeny, reputacji adresu IP, jakości treści, historii interakcji oraz tego, czy skonfigurowano protokoły DKIM i DMARC. Pozytywny wynik sprawdzania SPF nie gwarantuje, że wiadomość trafi do skrzynki odbiorczej. Dlaczego wiadomości trafiają do folderu spam i jak temu zaradzić →

Czy potrzebuję SPF, skoro mam już DKIM?

Tak. Obejmują one różne rodzaje awarii. DKIM zachowuje poprawność po przekazaniu wiadomości, ale nie weryfikuje serwera wysyłającego. SPF weryfikuje serwer, ale przestaje działać w przypadku przekazania wiadomości. DMARC wymaga, aby co najmniej jeden z tych mechanizmów przeszedł weryfikację z zachowaniem zgodności; posiadanie obu oznacza, że jeśli jeden z nich zawiedzie, drugi nadal może uwierzytelnić wiadomość. Czy można korzystać z DMARC bez DKIM? →

Czy zmiana z ~all na -all spowoduje, że mój e-mail przestanie działać?

Tylko jeśli masz legalnych nadawców, którzy nie figurują jeszcze w Twoim rekordzie. Przed zmianą przez co najmniej 2–4 tygodnie monitoruj zbiorcze raporty DMARC, aby zidentyfikować wszystkie usługi wysyłające. Gdy upewnisz się, że rekord obejmuje wszystkie legalne źródła, opcja -all jest właściwym wyborem. SPF – softfail a hardfail: kiedy zmienić ustawienie →

Jak często należy aktualizować rekordy SPF?

Za każdym razem, gdy dodajesz lub usuwasz usługę wysyłania wiadomości e-mail. W praktyce należy przeprowadzać audyt co kwartał. Dostawcy zmieniają adresy IP, zespoły dodają narzędzia bez informowania działu IT, a ponadto zdarzają się sytuacje, w których domeny przestają działać. Hostowana usługa SPF radzi sobie z tym automatycznie; rekordy wprowadzane ręcznie wymagają regularnych przeglądów.

Czy osoby atakujące mogą obejść mechanizm SPF?

SPF ma pewne znane ograniczenia. Usługi korzystające ze wspólnych adresów IP (takie jak Mailchimp) sprawiają, że każdy klient z tego samego zakresu adresów IP przechodzi pomyślnie weryfikację SPF. Fałszowanie nazwy wyświetlanej całkowicie omija mechanizm SPF, ponieważ nie ma wpływu na pole Return-Path. Atak typu „BreakSPF” pokazał natomiast, w jaki sposób można wykorzystać zbyt liberalne rekordy zawierające szerokie zakresy adresów IP. Protokół DMARC z rygorystycznym dopasowaniem pozwala ograniczyć te zagrożenia.

Jaka jest różnica między delegowaniem SPF a przekierowaniem SPF?

Delegowanie SPF pozwala zarządzać rekordem SPF dla subdomeny z innej strefy DNS. Modyfikator „redirect=” nakazuje odbiorcom korzystać wyłącznie z rekordu SPF innej domeny. Zastępuje on twój rekord, a nie uzupełnia go. Użyj modyfikatora „redirect”, gdy polityka SPF jednej domeny ma obowiązywać w identyczny sposób dla innej domeny.

Po jakim czasie zaczynają działać filtry SPF?

Propagacja DNS zależy od wartości TTL istniejącego wpisu oraz od buforowania przez pośrednie serwery rozpoznające nazwy. Zazwyczaj propagacja trwa od 1 do 4 godzin. W najgorszym przypadku może to potrwać 48 godzin. Przed wprowadzeniem zmian należy zmniejszyć wartość TTL do 300 sekund, a po potwierdzeniu propagacji przywrócić ją do poprzedniego poziomu.