Oszustwa e-mailowe kosztują organizacje miliardy dolarów rocznie — a większość z nich zaczyna się od sfałszowanego adresu nadawcy. Sender Policy Framework (SPF) to jeden z trzech podstawowych protokołów uwierzytelniania wiadomości e-mail, obok DKIM i DMARC, który uniemożliwia nieuprawnionym nadawcom wysyłanie wiadomości e-mail z wykorzystaniem Twojej domeny. W tym przewodniku omówiono wszystkie kwestie: czym jest SPF, jak dokładnie działa, jak utworzyć i zweryfikować rekord, co oznaczają poszczególne mechanizmy i kwalifikatory, jak naprawić najczęstsze błędy oraz jak SPF wpisuje się w kompleksową strategię DMARC. Dodaj tę stronę do zakładek — na pewno będziesz do niej wracać. Kompletne instrukcje wdrożeniowe Poprawianie wyszukiwań, błędów typu „softfail” i wyrównania Uwzględnij wskaźnik SPF w ocenie zgodności z DMARC Sprawdzanie, generowanie i weryfikacja rekordów SPF (Sender Policy Framework) to jeden z trzech podstawowych protokołów uwierzytelniania poczty elektronicznej – obok DKIM i DMARC – który zapobiega wysyłaniu wiadomości e-mail z wykorzystaniem Twojej domeny przez nieautoryzowane serwery. Rekord SPF to rekord DNS typu TXT, w którym wymienione są wszystkie adresy IP i serwery pocztowe uprawnione do wysyłania wiadomości w Twoim imieniu. Bez tego rekordu dowolny serwer w Internecie może podszywać się pod Twoją domenę, a serwery odbiorcze nie mają możliwości odróżnienia prawdziwej wiadomości od fałszywej. Przejdź do dowolnej sekcji lub przeczytaj całość, aby uzyskać pełny obraz sytuacji: Gdy serwer pocztowy odbierający otrzymuje wiadomość e-mail, wyodrębnia domenę z pola „Return-Path” (nadawca koperty), wysyła zapytanie do serwera DNS o rekord TXT zaczynający się od „v=spf1” i sprawdza, czy adres IP serwera wysyłającego znajduje się na liście autoryzowanych adresów. Jeśli tak, test SPF kończy się wynikiem pozytywnym. W przeciwnym razie wynik to „fail”, „softfail” lub „error”, a dalszy przebieg zależy od polityki DMARC. SPF weryfikuje domenę Return-Path (techniczny adres koperty), a nie widoczny adres w polu „Od:”. Oznacza to, że sam SPF nie jest w stanie zapobiec sfałszowaniu nazwy wyświetlanej. Właśnie dlatego wprowadzono zgodność z DMARC, aby wypełnić tę lukę. Rekord SPF zaczyna się od -all i ~all oznaczają różne poziomy egzekwowania zasad w SPF. Opcja -all (hard fail) informuje serwery odbiorcze, że tylko wymienieni nadawcy są autoryzowani, a wszystkie pozostałe wiadomości powinny zostać odrzucone. Opcja ~all (soft fail) jest bardziej łagodna i oznacza wszystkich nieautoryzowanych nadawców jako podejrzanych, ale nadal je akceptuje. Użyj opcji -all dopiero po przeprowadzeniu pełnego audytu nadawców. Każdy Zacznij od sporządzenia listy wszystkich usług, które wysyłają wiadomości e-mail z Twojej domeny, na przykład: Każdy dostawca publikuje Skorzystaj z narzędzia do sprawdzania SPF, aby upewnić się, że Twój rekord jest poprawny pod względem składniowym, mieści się w limicie 10 zapytań i prowadzi do właściwych adresów IP. Narzędzie SPF Lookup firmy PowerDMARC natychmiast przeprowadza wszystkie te kontrole. Korzystanie z funkcji sprawdzania SPF w PowerDMARC: Wpisz swoją domenę w narzędziu PowerDMARC SPF Checker, aby uzyskać natychmiastowy raport diagnostyczny zawierający liczbę sprawdzeń, podział według mechanizmów oraz ewentualne błędy. Większość awarii serwera SPF wynika ze zmian w konfiguracji, a nie z samego protokołu. Oto najczęściej spotykane błędy oraz wskazówki, gdzie należy je naprawić: SPF może przejść pomyślnie, podczas gdy DMARC nadal kończy się niepowodzeniem. Dzieje się tak, ponieważ SPF weryfikuje domenę Return-Path, ale DMARC wymaga, aby domena ta była zgodna z widocznym adresem „From:”. Gdy wysyłasz wiadomość za pośrednictwem serwisu zewnętrznego, który korzysta z własnej domeny Return-Path, SPF uwierzytelnia się względem tej domeny, a nie Twojej, w wyniku czego DMARC nie przechodzi kontroli zgodności. Rozwiązaniem jest albo skonfigurowanie niestandardowego pola Return-Path w swojej domenie u każdego dostawcy, albo skorzystanie zamiast tego z dopasowania DKIM (podpisy DKIM zachowują ważność po przekazaniu wiadomości i nie są powiązane z adresem IP nadawcy). Tryb dopasowania należy ustawić za pomocą tagu aspf= w rekordzie DMARC: aspf=r (łagodny, dopuszczalne poddomeny) lub aspf=s (ścisły, dokładne dopasowanie). Te trzy protokoły wzajemnie się uzupełniają, ale nie są zamienne. SPF weryfikuje serwer wysyłający, natomiast DKIM weryfikuje integralność wiadomości za pomocą podpisu kryptograficznego. DMARC łączy oba te protokoły, egzekwuje politykę (brak / kwarantanna / odrzucenie) oraz generuje raporty zbiorcze i analityczne. Wiadomość e-mail przechodzi test DMARC, jeśli spełnia wymagania zgodności z protokołem SPF lub DKIM; należy skonfigurować oba protokoły, aby jeden mógł zrekompensować awarię drugiego (np. gdy SPF nie działa w przypadku wiadomości przekazywanych dalej, ale DKIM nadal działa). Każde narzędzie SaaS dodane do rekordu SPF generuje zapytania DNS. Po osiągnięciu limitu 10 zapytań cały rekord przestaje działać, a wszystkie sprawdzania SPF zwracają błąd PermError. Ręczne upraszczanie rekordu SPF (zastępowanie elementów „include” surowymi adresami IP) sprawdza się w perspektywie krótkoterminowej, ale traci aktualność, gdy dostawcy zmieniają swoje zakresy adresów IP — a robią to bez ostrzeżenia. PowerDMARC automatyczne spłaszczanie SPF rozwiązuje ten problem poprzez dynamiczne rozpoznawanie Jeśli konfigurujesz SPF po raz pierwszy, zacznij od powyższych instrukcji dla poszczególnych dostawców i zweryfikuj swój rekord za pomocą bezpłatnego narzędzia do sprawdzania SPF firmy PowerDMARC. Jeśli korzystasz już z SPF i napotykasz limity zapytań lub błędy PermError, automatyczne spłaszczanie SPF eliminuje nakłady związane z utrzymaniem. A jeśli jeszcze nie skonfigurowałeś DMARC, jest to najważniejszy kolejny krok — SPF bez DMARC to zamek bez drzwi. Zadbaj o uwierzytelnianie wiadomości e-mail dzięki bezpłatnym narzędziom SPF firmy PowerDMARC. Natychmiast sprawdź swoją domenę, wygeneruj nowe rekordy lub zapoznaj się z pełną funkcjonalnością platformy. Nie trzeba się rejestrować. Natychmiast sprawdź rekord SPF swojej domeny, rozwiń pełny łańcuch wyszukiwania i zidentyfikuj ewentualne problemy z konfiguracją. Wygeneruj poprawny rekord SPF dostosowany do nadawców z Twojej domeny bez konieczności ręcznego wpisywania składni. Kompleksowa platforma służąca do monitorowania, egzekwowania i analizowania uwierzytelniania wiadomości e-mail w wielu domenach. Twórz rekordy uwierzytelniające, sprawdzaj konfigurację DNS i monitoruj aktywność pocztową swojej domeny z poziomu jednej platformy. Zapobiegaj fałszowaniu adresów, popraw dostarczalność wiadomości i uzyskaj pełny wgląd w to, kto wysyła wiadomości e-mail w Twoim imieniu. Cieszy się zaufaniem przedsiębiorstw, dostawców usług zarządzanych (MSP) oraz zespołów ds. bezpieczeństwa odpowiedzialnych za utrzymanie reputacji domeny i zapobieganie spoofingowi. „PowerDMARC to bardzo potężne i kompleksowe narzędzie, które znacznie upraszcza codzienną pracę związaną z monitorowaniem uwierzytelniania wiadomości e-mail i funkcji bezpieczeństwa. Zapewnia przejrzystość i jasność, które w innym przypadku byłyby trudne do osiągnięcia. Szczerze polecam PowerDMARC wszystkim, którzy chcą wzmocnić bezpieczeństwo swojej poczty elektronicznej!” SPF to tylko jeden z wielu czynników. Dostarczalność wiadomości e-mail zależy również od reputacji domeny, reputacji adresu IP, jakości treści, historii interakcji oraz tego, czy skonfigurowano protokoły DKIM i DMARC. Pozytywny wynik sprawdzania SPF nie gwarantuje, że wiadomość trafi do skrzynki odbiorczej. Dlaczego wiadomości trafiają do folderu spam i jak temu zaradzić → Tak. Obejmują one różne rodzaje awarii. DKIM zachowuje poprawność po przekazaniu wiadomości, ale nie weryfikuje serwera wysyłającego. SPF weryfikuje serwer, ale przestaje działać w przypadku przekazania wiadomości. DMARC wymaga, aby co najmniej jeden z tych mechanizmów przeszedł weryfikację z zachowaniem zgodności; posiadanie obu oznacza, że jeśli jeden z nich zawiedzie, drugi nadal może uwierzytelnić wiadomość. Czy można korzystać z DMARC bez DKIM? → Tylko jeśli masz legalnych nadawców, którzy nie figurują jeszcze w Twoim rekordzie. Przed zmianą przez co najmniej 2–4 tygodnie monitoruj zbiorcze raporty DMARC, aby zidentyfikować wszystkie usługi wysyłające. Gdy upewnisz się, że rekord obejmuje wszystkie legalne źródła, opcja -all jest właściwym wyborem. SPF – softfail a hardfail: kiedy zmienić ustawienie → Za każdym razem, gdy dodajesz lub usuwasz usługę wysyłania wiadomości e-mail. W praktyce należy przeprowadzać audyt co kwartał. Dostawcy zmieniają adresy IP, zespoły dodają narzędzia bez informowania działu IT, a ponadto zdarzają się sytuacje, w których domeny przestają działać. Hostowana usługa SPF radzi sobie z tym automatycznie; rekordy wprowadzane ręcznie wymagają regularnych przeglądów. SPF ma pewne znane ograniczenia. Usługi korzystające ze wspólnych adresów IP (takie jak Mailchimp) sprawiają, że każdy klient z tego samego zakresu adresów IP przechodzi pomyślnie weryfikację SPF. Fałszowanie nazwy wyświetlanej całkowicie omija mechanizm SPF, ponieważ nie ma wpływu na pole Return-Path. Atak typu „BreakSPF” pokazał natomiast, w jaki sposób można wykorzystać zbyt liberalne rekordy zawierające szerokie zakresy adresów IP. Protokół DMARC z rygorystycznym dopasowaniem pozwala ograniczyć te zagrożenia. Delegowanie SPF pozwala zarządzać rekordem SPF dla subdomeny z innej strefy DNS. Modyfikator „redirect=” nakazuje odbiorcom korzystać wyłącznie z rekordu SPF innej domeny. Zastępuje on twój rekord, a nie uzupełnia go. Użyj modyfikatora „redirect”, gdy polityka SPF jednej domeny ma obowiązywać w identyczny sposób dla innej domeny. Propagacja DNS zależy od wartości TTL istniejącego wpisu oraz od buforowania przez pośrednie serwery rozpoznające nazwy. Zazwyczaj propagacja trwa od 1 do 4 godzin. W najgorszym przypadku może to potrwać 48 godzin. Przed wprowadzeniem zmian należy zmniejszyć wartość TTL do 300 sekund, a po potwierdzeniu propagacji przywrócić ją do poprzedniego poziomu.
Rekord SPF: czym jest, jak działa i jak go skonfigurować
Kluczowe wnioski
Centrum zasobów PowerDMARC
Spis treści
Co to jest SPF?
O czym jest ten przewodnik
Jak działa SPF
Wynik SPF Co to oznacza Pass Wysyłanie adresu IP jest dozwolone. Niepowodzenie (-wszystkie) Brak uprawnień. Należy to odrzucić. SoftFail (~wszystkie) Prawdopodobnie nieautoryzowane. Zaakceptuj, ale oznacz. Błąd stały Pobito rekord (błąd składniowy, zbyt wiele operacji wyszukiwania). Traktowane jako niepowodzenie. Składnia rekordów SPF: mechanizmy i kwalifikatory
v=spf1, zawiera listę autoryzowanych nadawców przy użyciu takich mechanizmów jak ip4:, ip6:i obejmują:, a na końcu znajduje się klauzula określająca, jak odbiorcy mają postępować w przypadku nadawców, których nie ma na liście. Oto przykład:v=spf1 ip4:192.168.1.1 include:_spf.google.com include:sendgrid.net -all
include:, a, mx, przekierowanie=i exists: mechanizm ten wlicza się do Limit 10 wyszukiwań DNS. Przekroczenie tej wartości powoduje wygenerowanie błędu PermError, który całkowicie uniemożliwia uwierzytelnienie. ptr: mechanizm ten jest przestarzały, należy unikać stosowania.Jak utworzyć rekord SPF
include: wartość w ich dokumentacji. Utwórz jeden rekord łączący wszystkich nadawców (można mieć tylko jeden rekord SPF na domenę), opublikuj go jako rekord TXT w swoim Dostawca usług DNS, a następnie zweryfikować to za pomocą Narzędzie do sprawdzania SPF. Rozprzestrzenianie się DNS zazwyczaj trwa to kilka godzin, ale może potrwać nawet do 48 godzin.Instrukcje konfiguracji dla poszczególnych dostawców
Jak sprawdzić i zweryfikować swój rekord SPF
Co powinno obejmować prawidłowa kontrola SPF:
v=spf1include: domenyall czy kwalifikator występuje i jest właściwyptr:)Sprawdzanie z wiersza poleceń (Linux/Mac):
dig TXT yourdomain.com +short | grep "v=spf1"
Typowe błędy związane z SPF i sposoby ich naprawiania
Błąd Co się dzieje Poradnik naprawy PermError: Zbyt wiele operacji wyszukiwania DNS Rekord przekracza limit 10 wyszukiwań Napraw błąd SPF PermError Wiele rekordów SPF Dwa wpisy typu v=spf1 w tej samej domenie Popraw wiele rekordów SPF SPF przeszedł pomyślnie, ale DMARC nie przeszedł Pole „Return-Path” nie zgadza się z polem „From:” Popraw wyrównanie SPF SoftFail. Domena nie określa nadawcy Adres IP nadawcy nie figuruje w rekordzie SPF Napraw błąd SPF SoftFail Sprawdzenie SPF 550 zakończyło się niepowodzeniem Odrzucenie przez serwer odbierający Napraw błąd 550 SPF Nie znaleziono rekordu SPF Brakujący lub niepublikowany wpis Napraw brak rekordu SPF Funkcja SPF nie działa w przypadku przekazanych wiadomości e-mail Adres IP serwera przekaźnikowego nie jest autoryzowany Przewodnik po przekazywaniu wiadomości e-mail Błąd walidacji SPF Problem ze składnią lub formatowaniem Napraw błędy związane z weryfikacją SPF Wiadomość e-mail została odrzucona zgodnie z zasadami SPF Serwer odbiorczy stosujący rygorystyczne zasady SPF Napraw błąd odrzucenia SPF Wpis SPF przekracza limit znaków Wpis jest zbyt długi, by zmieścić się w jednym wpisie TXT w DNS Napraw limit znaków w polu SPF SPF i DMARC: zrozumienie zgodności
SPF, DKIM i DMARC: jak te rozwiązania współdziałają
SPF w modelu hostowanym: rozwiązanie problemu skalowalności
include: przekształcanie łańcuchów w zoptymalizowane wpisy, monitorowanie zmian adresów IP dostawców oraz utrzymywanie liczby wpisów poniżej limitu wyszukiwań bez konieczności ręcznej edycji DNS. Dla organizacji korzystających z Makra SPF lub zarządzanie Współczynnik SPF dla wielu domen i subdomen, a hosting z obsługą SPF całkowicie eliminuje nakłady związane z konserwacją.Lista kontrolna najlepszych praktyk dotyczących SPF
Jak prawidłowo skonfigurować SPF
Bezpłatne narzędzia PowerDMARC
SPF Record Checker
Kluczowe cechy:
Generator rekordów SPF
Kluczowe cechy:
Zestaw narzędzi PowerDMARC
Kluczowe cechy:
Chroń i monitoruj swoją domenę
Najczęściej zadawane pytania
Mój rekord SPF jest prawidłowy, ale wiadomości e-mail nadal trafiają do folderu ze spamem. Dlaczego?
Czy potrzebuję SPF, skoro mam już DKIM?
Czy zmiana z ~all na -all spowoduje, że mój e-mail przestanie działać?
Jak często należy aktualizować rekordy SPF?
Czy osoby atakujące mogą obejść mechanizm SPF?
Jaka jest różnica między delegowaniem SPF a przekierowaniem SPF?
Po jakim czasie zaczynają działać filtry SPF?
Czym jest SPF?
Jak działa SPF
Składnia rekordu SPF: mechanizmy i kwalifikatory
Jak utworzyć rekord SPF
Jak sprawdzić i zweryfikować swój rekord SPF
Typowe błędy SPF i sposoby ich naprawiania
SPF i DMARC: zrozumienie współdziałania
SPF a DKIM a DMARC
Hostowany SPF: rozwiązanie problemu skalowalności SPF
Najlepsze praktyki dotyczące SPF
Najczęściej zadawane pytania
Błąd typu „hard fail” stanowi jasny sygnał. Błąd typu „soft fail” jest niejednoznaczny.
Nie przekraczaj 8 wyszukiwań
Pozostawia pewien margines bezpieczeństwa. Dokładnie 10 to tykająca bomba zegarowa.
Opublikuj rekord SPF dla domen, z których nie wysyłane są wiadomości
Atakujący podszywają się pod zaparkowane domeny właśnie dlatego, że nie mają one rekordów SPF.
Opublikuj rekord SPF dla każdej subdomeny
Usługa SPF w domenie yourdomain.com nie obejmuje domeny mail.yourdomain.com.
Użyj instrukcji ` include:` dla podmiotów zewnętrznych
Dostawcy zarządzają swoimi zakresami adresów IP; obejmuje to: aktualizację na bieżąco.
Nigdy nie używaj ptr:
Metoda ta została wycofana zgodnie z RFC 7208. Działa wolno, jest zawodna i marnuje operację wyszukiwania.
Monitorowanie za pomocą raportów DMARC
Raporty RUA ujawniają nadawców, o których nie wiedziałeś. Zobacz także: RUA a RUF.
Audyt kwartalny
Wyklucz dostawców, z których usług już nie korzystasz, zanim staną się dla Ciebie obciążeniem.
Ponad 10 tys.Chronione organizacje
32Dostępne bezpłatne narzędzia
4,9/5Ocena na G2
Lider G2Oprogramowanie DMARC
SOC 2
HIPAA
PCI-DSS
RODO
ISO 27001
