Mechanizm SPF Include przechowuje odniesienia lub warunki - wewnątrz rekordu SPF - które muszą być spełnione dla każdego danego serwera, aby poprawić dostarczalność wiadomości e-mail. Jeśli przypadkowo pominiesz dodanie instrukcji Include dla swoich zewnętrznych dostawców w rekordzie SPF, może to prowadzić do problemów dla odbiorców, takich jak odrzucone wiadomości e-mail, a ogólny współczynnik odrzuceń może wzrosnąć.
Dowiedz się, czym jest mechanizm "Include" w Rekordach SPF i jak możesz zoptymalizować oświadczenia SPF Include dla swoich potrzeb.
Co oznacza SPF Include?
W składni rekordu SPF mechanizm "include" wskazuje rekordy, które mają przekazać serwerowi poczty e-mail, aby sprawdził rekordy pasujące do domeny określonej w wierszu "include".
SPF "include" wskazuje na domenę, której rekordy SPF będą sprawdzane podczas sprawdzania, czy wysyłający adres IP jest dozwolony, czy nie. Jeśli wysyłający adres IP znajduje się na liście "include" zdefiniowanej przez SPF, spowoduje to dopasowanie i SPF przejdzie pomyślnie.
Znaczenie mechanizmu wielokrotnego dołączania SPF
Filtr SPF jest ważny, ponieważ:
➜ Określa, że chcesz być chroniony przez rekordy SPF dla każdej domeny wymienionej w twoim bloku "include".
➜ Dodaje reguły, które są specyficzne dla domeny.
➜ Możesz użyć mechanizmu SPF Include, aby dodatkowo włączyć ogólne reguły filtrowania, które dotyczą wszystkich domen w ramach tej samej klasy. Oznacza to, że jeśli Twoja aplikacja obsługuje wiele klas adresów e-mail, możesz użyć deklaracji include, aby umożliwić bardziej złożone filtrowanie na podstawie klasy adresu odbiorcy.
Jak działa filtr SPF?
Mechanizm SPF include umożliwia właścicielowi domeny delegowanie odpowiedzialności za wysyłanie wiadomości e-mail do innej domeny. Jest on powszechnie stosowany, gdy właściciel domeny chce upoważnić usługę lub dostawcę zewnętrznego do wysyłania wiadomości e-mail w jego imieniu.
Oto jak działa mechanizm SPF include:
- Właściciel domeny publikuje rekord SPF
- Mechanizm Include w rekordzie SPF określa inną domenę lub adres IP, który jest upoważniony do wysyłania wiadomości e-mail w ich imieniu.
- Podczas procesu wyszukiwania rekord SPF jest pobierany z DNS domeny nadawcy.
- Odbierający serwer poczty elektronicznej ocenia rekord SPF w celu ustalenia, czy serwer wysyłający jest upoważniony do wysyłania wiadomości e-mail dla tej domeny. Jeśli rekord SPF zawiera mechanizm "include", serwer odbierający kontynuuje sprawdzanie rekordu SPF dołączonej domeny.
- Serwer odbierający wykonuje rekurencyjne wyszukiwanie poprzez zapytanie DNS o rekord SPF dołączonej domeny. Proces ten jest kontynuowany, jeśli istnieje wiele warstw mechanizmów dołączania.
Przykład SPF Include
Na przykład: Jeśli masz "include:_spf.google.com" w rekordzie SPF, a wiadomości e-mail są wysyłane z adresu IP Google, zostanie on uznany za autoryzowanego nadawcę wiadomości e-mail, ponieważ pochodzący adres IP znajduje się w mechanizmie "include" rekordu SPF tej domeny. W rezultacie wiadomość e-mail pomyślnie przejdzie przez serwer, zanim dotrze do zamierzonego odbiorcy.
Aby autoryzować Google jako zweryfikowane źródło wysyłania, powinna to być składnia rekordu SPF:
v=spf1 include:_spf.google.com ~all
Dlaczego wielokrotne włączanie SPF nie jest zalecane?
Wiele rekordów SPF dezorientuje serwer odbiorcy co do tego, który rekord TXT należy wziąć pod uwagę podczas wyszukiwania, a zbyt wiele rekordów SPF dodaje wiele wyszukiwań DNS, które szybko przekroczą limit 10 wyszukiwań.
Rekordy SPF to rekordy typu TXT rozpoczynające się od ciągu v=spf1. Informują one serwery pocztowe, jakimi regułami powinny się kierować przy określaniu, czy dany e-mail jest spamem, czy nie. Do reguł tych należą:
Dlatego, jeśli masz dwa oddzielne wpisy SPF TXT na swoim serwerze, twoje emaile nie przejdą uwierzytelnienia SPF i zwrócą PermError. Dzieje się tak dlatego, że otrzymujący serwer pocztowy nie będzie wiedział, którą zasadę zastosować - po prostu zignoruje oba te rekordy TXT.
Jak uwzględnić wiele domen, hostów lub adresów IP w rekordzie SPF?
Jeśli chcesz dołączyć więcej niż 1 rekord SPF, możesz napotkać problemy z dostarczaniem wiadomości e-mail (takie jak e-maile odrzucane jako spam). Rozwiązaniem jest usunięcie naruszających rekordów SPF i połączenie wpisów domen lub hostów w jeden rekord lub linię poprzez SPF include.
Rozważmy przykład rekordu SPF z licznymi hostami i adresami ip4 używanego przez jednego ze znanych na świecie producentów elektroniki użytkowej - Lenovo.com.
Podczas wykonywania SPF Record Lookup dla Lenovo.com, odkryliśmy, że połączyła ona 4 domeny:
- spf.messagelabs.com
- _netblocks.eloqua.com
- spf.protection.outlook.com
- spf.pfpool.lenovo.com
oraz 5 adresów IP4:
- 72.32.45.225
- 40.65.201.146
- 138.108.60.125
- 138.108.24.107
- 52.247.21.11
do pojedynczego rekordu w ten sposób:
v=spf1 include:spf.messagelabs.com include:_netblocks.eloqua.com include:spf.protection.outlook.com include:spf.pfpool.lenovo.com ip4:72.32.45.225 ip4:40.65.201.146 ip4:138.108.60.125 ip4:138.108.24.107 ip4:52.247.21.11 ~all
Zrozumienie semantyki rekordu SPF
Biorąc pod uwagę powyższy przykład, dowiedzieliśmy się, że przy łączeniu wielu hostów lub adresów IP4 w jeden rekord SPF obowiązuje następująca zasada.
Rekord SPF powinien mieć 3 sekcje, aby mógł być uznany za ważny: deklarację (początek), mechanizm include dla domen i tag IP4 dla adresów IP (środek) oraz regułę egzekwowania (koniec).
➜ Deklaracja: Zapis powinien zaczynać się od. v=spf1 (nie używaj tego ciągu ponownie w regule)
➜ Dozwolone domeny.: Dodaj include: dla każdej domeny (musisz użyć mechanizmu SPF Include, ponieważ include: z każdą domeną dodajesz w rekordzie SPF)
➜ Allowed IPs: Dodaj. IP4 dla każdego adresu IP (musisz użyć tagu IP4 przed każdym adresem IP, który dodajesz do rekordu SPF)
➜ Przepis wykonawczy.: Zakończ zapis jednym ~all (użyj tego ciągu na końcu i tylko raz)
Ważna uwaga dotycząca SPF Uwzględniać
Ważne jest, aby włączyć mechanizm "include" do swojego rekordu SPF, ponieważ pozwala on na włączenie innych domen i hostów do rekordu SPF, co może być przydatne do weryfikacji autentyczności Twoich wiadomości.
Jednakże, następująca zasada ma zastosowanie do używania liczby lookups na rekord SPF (jak wspomniano w sekcji 10.1 RFC 4408):
"Implementacje SPF MUSZĄ ograniczyć liczbę mechanizmów i modyfikatorów do co najwyżej 10 na sprawdzenie SPF, w tym wszelkie wyszukiwania spowodowane użyciem mechanizmu "include" lub modyfikatora "redirect"."
Jeśli twoja implementacja SPF nie ogranicza liczby mechanizmów i modyfikatorów, będzie ona spać na sprawdzaniu nieosiągalnych hostów. Ponieważ te hosty nigdy nie będą uwzględnione w twoich kontrolach, nigdy nie otrzymają poczty od klientów. Może to spowodować poważne problemy z dostarczaniem poczty.
Difference Between SPF include: and a:
Mechanizm SPF "include" jest używany do dołączania rekordów SPF z innej domeny do rekordu SPF bieżącej domeny, podczas gdy mechanizm SPF "a" jest używany do określania indywidualnych adresów IP lub nazw hostów (rekordy A), które są autoryzowane do wysyłania wiadomości e-mail dla domeny.
SPF zawiera vs a
Powody, dla których warto korzystać z a:
- Jest bardziej praktyczny i mniej skomplikowany
- Ponieważ nie włączyłeś SPF na odpowiednich domenach
- Ponieważ SPF nie jest skonfigurowany poprawnie lub błędnie dopuszcza inne serwery, które nie są w jego rekordach A
Do powodów stosowania należą:
- Ufasz, że nazwa domeny witryny ma ważny rekord SPF
- Ponieważ chcesz mieć jedno źródło prawdy z powodów typu "nie powtarzaj się", a domena SPF jest skomplikowana
- Możesz chcieć wprowadzić zmiany do swoich rekordów SPF bez konieczności edytowania DNS dla wszystkich domen, które zawierają Twoją
Automatyczna optymalizacja SPF Include: dla wielu domen i adresów IP
Rekord SPF dla wielu hostów i wielu adresów IP nie jest niczym nowym. Jednak sposób budowania tego rodzaju rekordu wymaga odpowiedniej wiedzy, aby uniknąć Niepowodzenia uwierzytelnienia SPF lub PermError.
Aby zbudować rekord SPF, który działa, należy poprawnie użyć mechanizmu include:. Aby polityka SPF była skuteczna, musi być prawidłowo wdrożona na wielu hostach i adresach IP.
Podczas korzystania z PowerDMARC SPF Flattening wygenerujemy dla Ciebie prawidłowy rekord SPF ze wszystkimi Twoimi hostami i adresami IP zawartymi w jednej linii tekstu. Możesz dodać dowolną liczbę domen i adresów IP - po prostu oddziel je spacjami. Połączymy to w jeden rekord SPF include, aby abyś nigdy nie przekroczył limitu wyszukiwania ani nie napotkał problemów z dostarczaniem wiadomości e-mail i awariami.
- PowerDMARC integruje się z ConnectWise - 31 października 2024 r.
- Czym jest Datagram Transport Layer Security (DTLS): Korzyści i wyzwania - 29 października 2024 r.
- DMARC i FedRAMP: poprawa bezpieczeństwa poczty elektronicznej - 28 października 2024 r.