Być może natknąłeś się na znak ostrzegawczy rekordu SPF mówiący, że rekord DNS typu 99 (SPF) został przestarzały. Wynika to z faktu, że został on wycofany w 2014 roku. Na blogu omówimy więcej na ten temat.
Kluczowe wnioski
- Rekord DNS typu 99 dla SPF jest przestarzały od 2014 roku, a wszystkie istniejące rekordy SPF powinny być teraz publikowane jako rekordy DNS TXT.
- Odejście od używania rekordów DNS typu 99 było w dużej mierze spowodowane problemami z dostosowaniem serwerów DNS i systemów udostępniania.
- DKIM i DMARC służą jako istotne alternatywy dla SPF do uwierzytelniania wiadomości e-mail, usprawniając weryfikację legalności nadawcy.
- Właściwa konfiguracja zasad DMARC może pomóc w zarządzaniu sposobem, w jaki serwery odbierające obsługują wiadomości e-mail, które nie przeszły kontroli SPF lub DKIM.
- Regularne aktualizowanie i monitorowanie rekordów SPF ma kluczowe znaczenie dla utrzymania bezpieczeństwa poczty e-mail i zapobiegania nieautoryzowanemu wysyłaniu wiadomości e-mail z domeny.
Ogłoszenie o deprecjacji rekordu DNS typu 99 (SPF)
W początkowych dniach zespół rozwijający SPF narzucił bardziej restrykcyjne zasady. Doprowadziło to do powstania rekordu DNS typu 99 (SPF). Jednak ten rekord SPF został zdeprecjonowany w kwietniu 2014 roku zgodnie z RFC7208.
Obecnie, wszystkie rekordy SPF powinny być publikowane tylko jako DNS TXT (typ 16) Resource Record.
The Reasons Behind "SPF Record Deprecated"
Zgodnie z RFC7208 sekcja 3.1, przepisy dotyczące przydzielania nowych typów DNS RR były bardziej rygorystyczne podczas wczesnej fazy rozwoju w porównaniu do obecnego scenariusza. Jednak serwery DNS i systemy provisioningowe nie dostosowały się dobrze do wdrażania tych typów DNS RR, co doprowadziło do ich obsoletacji.
Programiści dowiedzieli się, że bardziej opłacalne jest przejście na typ TXT RR dla implikacji SPF. Od tego czasu rekord DNS typu 99 (SPF) został zdeprecjonowany.
Uprość rekordy DNS dzięki PowerDMARC!
Wpływ deprecjacji na istniejące implementacje SPF
Alternatywy dla SPF dla uwierzytelniania wiadomości e-mail
Sender Policy Framework pomaga dostawcom poczty elektronicznej sprawdzić, czy serwer pocztowy jest upoważniony do wysyłania wiadomości z danej domeny. Jego alternatywą są DKIM i DMARC, jednak usługi monitorowania czasu pracy również są pomocne.
- DKIM uwierzytelnia wiadomości e-mail za pomocą kryptografii, w ramach której dodawane są podpisy cyfrowe w celu zweryfikowania autentyczności nadawcy. Działa to poprzez dodanie podpisu do nagłówka, który jest zabezpieczony szyfrowaniem. Wszystkie podpisy DKIM zawierają informacje wykorzystywane przez serwer odbiorcy do przeprowadzenia kontroli weryfikacyjnych.
Serwer pocztowy nadawcy posiada prywatny klucz DKIM, który jest dopasowywany do drugiej połowy pary kluczy, zwanej publicznym kluczem DKIM. Selektor DKIM określa, gdzie należy szukać klucza, a po jego znalezieniu służy on do odszyfrowania podpisu DKIM.
Wartości są porównywane. Jeśli się zgadzają, DKIM jest ważny.
- DMARC określa, w jaki sposób serwer odbiorcy ma postępować z wiadomościami e-mail, które nie przeszły weryfikacji SPF i/lub DKIM. Można ustawić politykę DMARC na „none” (wobec wiadomości, które nie przeszły weryfikacji, nie są podejmowane żadne działania), „quarantine” (wiadomości, które nie przeszły weryfikacji, są oznaczane jako spam) lub „reject” (wiadomości, które nie przeszły weryfikacji, w ogóle nie trafiają do skrzynki odbiorczej).
Po prawidłowym skonfigurowaniu DMARC dla swojej domeny zaczniesz otrzymywać raporty, które należy monitorować w celu wykrywania podejrzanych działań.
- Monitorowanie czasu sprawności jest zautomatyzowaną metodą informowania zainteresowanego zespołu, gdy strona internetowa zejdzie podczas awarii. Używa tej samej koncepcji dla uwierzytelniania poczty elektronicznej, jak również sprawdzając twój rekord w 1-minutowych odstępach 24/7. Uptime rekordu uwierzytelniania odnosi się do czasu, w którym rekord jest prawidłowo skonfigurowany i zaktualizowany. Monitor uptime weryfikuje poprawność rekordów uwierzytelniania poczty elektronicznej. Powiadamia odpowiedni zespół, jeśli wykryje jakiekolwiek problemy lub rozbieżności.
Aktualizacja konfiguracji SPF w celu dostosowania do deprecjacji typu rekordu DNS 99
Jeśli widzisz także ostrzeżenie DNS record type 99 (SPF) has been deprecated ostrzeżenie, to otwórz konsolę i wybierz domenę rekordu SPF. Skopiuj wartości i utwórz rekord wybierając TXT jako typ rekordu.
Jak stworzyć i opublikować rekord SPF TXT?
Zabezpiecz swoją reputację biznesową poprzez wykonanie następujących czynności kroków, aby stworzyć i opublikować rekord SPF TXT:
Krok 1: Zrób listę
Pierwszym krokiem wdrożenia SPF jest spisanie wszystkich adresów IP dozwolonych do wysyłania e-maili przy użyciu Twojej domeny. Obejmuje to adresy IP sieci lokalnych i urządzeń należących do członków Twojego zespołu, członków zarządu i dostawców zewnętrznych, którym wolno wysyłać e-maile w Twoim imieniu. Rozważ również dodanie ESP i serwerów pocztowych w biurze.
Krok 2: Utwórz rekord SPF
Gdy już zbierzesz listę, stwórz swój rekord SPF. Oto co musisz zrobić w następnej kolejności.
- Określ wersję używając tagu v. Obecnie istnieje tylko jedna wersja, więc powinieneś zacząć od v=spf1.
- Po tym muszą nastąpić wszystkie adresy IP dodane do utworzonej na początku listy. Przykład: v=spf1 ip4:123.23.456
- Po wdrożeniu wszystkich znaczniki include i adresów IP, zakończ swój rekord za pomocą ~all, -all, lub ?all tag. Znacznik -all oznacza awarię twardą, natomiast znacznik ~all oznacza awarię miękką.
Krok 3: Opublikuj rekord w DNS
Twój menedżer DNS jest odpowiedzialny za publikację rekordu SPF. Teraz może to być pozycja wewnętrzna lub możesz podnieść prośbę, aby twój dostawca DNS zrobił to dla ciebie.
Po opublikowaniu go, upewnij się używając darmowego SPF record checker przez PowerDMARC, aby mieć wolny od błędów rekord.
- Przewodnik po konfiguracji DKIM, DMARC i SPF – 6 lipca 2026 r.
- NIST SP 800-81r3: Wytyczne dotyczące bezpieczeństwa DNS w poczcie elektronicznej – 25 czerwca 2026 r.
- Jak podzielić rekord DKIM - 5 czerwca 2026 r.

