Czym jest v=spf1? Do czego służy?

Oto wpis DNS, który zaczyna się od v=spf1i wiesz, że ma to znaczenie, ale zmiana tego bez pełnego zrozumienia może zakłócić dostarczanie wiadomości e-mail w całej Twojej domenie.

Wystarczy jeden brakujący znak „include:”, jedno zbędne wyszukiwanie lub jeden błąd składniowy, aby wiadomości e-mail nie przeszły uwierzytelnienia, trafiły do folderu ze spamem lub zostały od razu odrzucone

SPF (Sender Policy Framework) stanowi podstawowy element uwierzytelniania wiadomości e-mail. Informuje serwery odbiorcze, które źródła są uprawnione do wysyłania wiadomości e-mail w Twoim imieniu. v=spf1 aktywuje tę politykę, ale wszystko, co następuje po nim, decyduje o tym, czy Twoje wiadomości e-mail są uznawane za zaufane, czy blokowane.

Wyzwaniem jest to, że SPF na pierwszy rzut oka wydaje się prosty, ale staje się skomplikowany w miarę dodawania kolejnych źródeł wysyłki, narzędzi marketingowych i elementów infrastruktury. Ograniczenia dotyczące wyszukiwania, zagnieżdżone wpisy oraz problemy z synchronizacją powodują powstawanie punktów awarii, które nie zawsze są widoczne, dopóki nie spadnie skuteczność dostarczania wiadomości.

W tym przewodniku dokładnie wyjaśniono, co oznacza oznacza v=spf1 , jak zbudowane są rekordy SPF, jak przebiega ich ocena oraz jak stworzyć i utrzymywać rekord, który nie zawiedzie w rzeczywistych warunkach.

Jak przebiega ocena SPF

Weryfikacja SPF to wieloetapowy proces sprawdzania poprawności, który odbywa się przy każdym otrzymaniu wiadomości e-mail. Pozwala on ustalić, czy serwer wysyłający jest uprawniony do wysyłania wiadomości w imieniu domeny podanej w polu Return-Path.

Oto jak to wygląda w praktyce:

• Otrzymano wiadomość e-mail rzekomo pochodzącą z Twojej domeny: Wiadomość dociera na serwer pocztowy odbiorcy wraz z widocznymi nagłówkami (From) oraz ukrytymi danymi routingu (Return-Path).
• Serwer odbierający wyodrębnia domenę z pola Return-Path: To jest domena, którą faktycznie sprawdza SPF. Reprezentuje ona nadawcę użytego podczas transmisji wiadomości e-mail.
• Serwer wysyła zapytanie do serwera DNS o rekord SPF (v=spf1): Wyszukuje rekord TXT opublikowany w tej domenie. Jeśli nie istnieje żaden rekord SPF, wynikiem jest Brak (brak uwierzytelnienia).
• Adres IP serwera wysyłającego jest porównywany z rekordem SPF: Serwer przetwarza rekord SPF od lewej do prawej:
  • Sprawdza każdy mechanizm (ip4, dołącz, a, itp.)
  • Wykonuje wszelkie niezbędne zapytania DNS
  • Zatrzymuje się przy pierwszej pasującej regule
• Wynik jest generowany na podstawie dopasowania: Możliwe wyniki to:
  • Przejdź → Nadawca jest uprawniony
  • Błąd / Błąd tymczasowy → Nadawca nie jest autoryzowany (obsługa ścisła vs. łagodna)
  • Neutralny / Brak → Brak jasnej polityki lub brak rekordu SPF
  • Błąd stały / Błąd tymczasowy → Nie można było obliczyć SPF z powodu błędów
• Wynik jest łączony z DKIM i DMARC: Sam współczynnik SPF nie decyduje o dostarczeniu wiadomości. Serwer odbiorczy uwzględnia go wraz z:
  • DKIM (integralność wiadomości)
  • DMARC (spójność + zasady)
    w celu podjęcia decyzji o przyjęciu, przefiltrowaniu lub odrzuceniu wiadomości

Czym jest rekord SPF?

Rekord SPF to rekord DNS typu TXT, który określa wszystkie serwery i usługi uprawnione do wysyłania wiadomości e-mail w imieniu Twojej domeny. Po otrzymaniu wiadomości e-mail serwer odbiorczy sprawdza ten rekord, aby zweryfikować, czy nadawca jest uprawniony.

Co oznacza v=spf1?

W v=spf1 jest identyfikatorem, który informuje serwery pocztowe odbierające, że ten rekord DNS typu TXT jest polityką SPF. Sygnalizuje on, że rekord powinien zostać przeanalizowany i oceniony przy użyciu reguł SPF zdefiniowanych w RFC 7208.

Bez tego tagu rekord nie jest w ogóle traktowany jako SPF, nie następuje żadna weryfikacja, a domena w praktyce nie ma ochrony SPF.

Gdy serwer docelowy sprawdza Twoją domenę:

• Przeszukuje rekordy TXT w poszukiwaniu takiego, który zaczyna się od v=spf1
• W ocenie SPF brany jest pod uwagę wyłącznie ten rekord
• Wszystko, co następuje poniżej, traktuje się jako reguły autoryzacji (mechanizmy, kwalifikatory, modyfikatory)

Aby SPF działał poprawnie, v=spf1 musi spełniać ścisłe wymagania:

• Musi znajdować się na samym początku zapisu
• Należy wpisać dokładnie tak, jak v=spf1 (bez literówek, bez zbędnych spacji)
• W każdej domenie może istnieć tylko jeden rekord SPF

Jeśli tag wersji jest w jakikolwiek sposób nieprawidłowy, cały rekord nie zostanie zatwierdzony:

• Brak danych → Wyniki SPF Brak (nie znaleziono żadnego wpisu)
• Błąd ortograficzny (v=spf 1, v=spf2, v=SPF1) → Nieprawidłowa składnia → PermError
• Umieszczone po innej wartości → Rekord jest ignorowany jako nieprawidłowy

Serwery odbierające nie potrafią zinterpretować Twojej polityki SPF, w związku z czym uwierzytelnianie wszystkich wiadomości e-mail kończy się niepowodzeniem.

Budowa rekordu SPF: szczegółowy opis składni

Każdy rekord SPF ma spójną strukturę i składa się z zestawu reguł, które są wykonywane po kolei. Zrozumienie, w jaki sposób każda część wpływa na tę ocenę, pozwala uniknąć błędów w konfiguracji.

Rekord SPF zawsze zaczyna się od znacznika wersji (v=spf1), po którym następuje szereg mechanizmów definiujących autoryzowanych nadawców. Mechanizmy te można łączyć z kwalifikatorami, które kontrolują sposób traktowania dopasowań, a czasami także z modyfikatorami, które dostosowują sposób oceny rekordu. Wszystko to mieści się w jednym wierszu tekstu, ale każdy element ma bezpośredni wpływ na to, jak serwery odbiorcze interpretują wiadomości e-mail z Twojej domeny.

Przykładowy wpis

v=spf1 ip4:192.0.2.0/24 include:_spf.google.com include:spf.protection.outlook.com -all 

ip4:192.0.2.0/24 (gdzie /24 oznacza zakres 256 adresów IP przy użyciu notacji CIDR (Classless Inter-Domain Routing))

Do czego służy każda część

• v=spf1 oznacza ten rekord jako politykę SPF i umożliwia jego ocenę
• ip4:192.0.2.0/24 wyraźnie zezwala na znany zakres adresów IP, zazwyczaj własną infrastrukturę
• dołącz:_spf.google.com autoryzuje Google Workspace poprzez odwołanie się do jego rekordu SPF
• dodaj:spf.protection.outlook.com to samo dotyczy usługi Microsoft 365
• -all określa domyślną zasadę: każdy nadawca, który nie został wcześniej dopasowany, nie jest dopuszczony

Takie połączenie tworzy kompletny model autoryzacji, w którym dopuszczalne są wyłącznie określone źródła, a wszystko inne jest blokowane.

Jak naprawdę przebiega proces oceny

SPF jest przetwarzany w ściśle określony i przewidywalny sposób:

• Serwer odbierający odczytuje rekord od lewej do prawej
• Każdy mechanizm jest kolejno sprawdzany względem adresu IP serwera wysyłającego
• Gdy tylko zostanie znalezione dopasowanie, ocena zostaje natychmiast przerwana
• Warunek dołączony do tego mechanizmu decyduje o wyniku

Jeśli żaden mechanizm nie pasuje:

• W mechanizm mechanizm działa jako decyzja awaryjna

Oznacza to, że SPF nie jest systemem typu „sprawdź wszystko i podejmij decyzję”. Jest to system, w którym wygrywa pierwsze trafienie.

Wyjaśnienie mechanizmów działania filtrów SPF

Mechanizmy stanowią podstawę rekordu SPF. Określają one, które źródła wysyłające są autoryzowane, i tworzą logikę, na podstawie której serwer odbierający weryfikuje adres IP nadawcy. Każdy mechanizm dodaje jedną regułę, a wszystkie razem tworzą listę dozwolonych adresów dla Twojej domeny.

W praktyce liczy się nie tylko to, do czego służy dany mechanizm, ale także to, jak zachowuje się on podczas oceny oraz jaki ma wpływ na ograniczenia i niezawodność.

Mechanizmy są sprawdzane po kolei, a wynik zależy od pierwszego z nich, który pasuje do adresu IP nadawcy. Oznacza to, że każdy dodany mechanizm wpływa zarówno na zakres autoryzacji, jak i na złożoność procesu sprawdzania.

Niektóre mechanizmy bezpośrednio kojarzą adresy IP, podczas gdy inne wymagają wyszukiwania w systemie DNS w celu uzyskania dodatkowych danych. 

Jak działają różne mechanizmy

Wśród obejmują: jest najczęściej stosowany i najczęściej powoduje problemy z limitem wyszukiwania z powodu zagnieżdżonych zapytań DNS.

SPF dopuszcza maksymalnie 10 zapytań DNS na jedną ocenę. Mechanizmy wliczane do tego limitu:

• obejmują:
• a
• mx
• istnieje:
• przekierowanie=
• ptr

Mechanizmy, które nie:

• ip4:
• ip6:

Prowadzi to do praktycznego kompromisu:

• Wygoda (obejmuje:) → wyższy koszt wyszukiwania
• Kontrola (IPv4/IPv6) → niższy koszt wyszukiwania, ale większe nakłady na utrzymanie

Wyjaśnienie kwalifikacji do SPF

Kwalifikatory określają, jakie działanie należy podjąć, gdy mechanizm wykryje dopasowanie. Podczas gdy mechanizmy odpowiadają na pytanie „kto ma uprawnienia”, kwalifikatory odpowiadają na pytanie „co powinno się stać dalej”. Razem decydują one o tym, jak rygorystycznie egzekwowana jest polityka SPF.

Przed każdym mechanizmem można umieścić kwalifikator. Jeśli nie podano żadnego kwalifikatora, domyślnym ustawieniem jest „pass” (+). Kwalifikator ma bezpośredni wpływ na to, jak serwer odbiorczy interpretuje dopasowanie oraz na to, w jakim stopniu ufa wiadomości lub ją odrzuca.

Jak zachowują się kwalifikatory podczas oceny

Gdy mechanizm pasuje:

• Dołączony do niego kwalifikator natychmiast określa wynik
• Ocena SPF kończy się w tym momencie
• Wynik ten jest następnie wykorzystywany (wraz z DKIM i DMARC) do podjęcia decyzji o sposobie obsługi wiadomości

Oznacza to, że wyniki kwalifikacji są są sygnałami ostatecznej decyzji w procesie SPF.

Jakie funkcje pełnią poszczególne kwalifikatory (w kontekście)

W większości rekordów SPF kwalifikatory są stosowane do wszystkich na końcu, aby zdefiniować domyślną politykę.

Jak zazwyczaj stosuje się kwalifikatory w rekordach SPF

Większość rekordów SPF opiera się na kwalifikatorach umieszczonych w jednym miejscu: w all na końcu.

• ~wszystkie → Domyślnie stosować łagodne egzekwowanie (faza monitorowania)
• -wszystkie → Domyślnie ścisłe egzekwowanie (polityka gotowa do wdrożenia w środowisku produkcyjnym)

Ta ostatnia reguła określa sposób postępowania z nadawcami, którzy nie zostali wcześniej jednoznacznie zidentyfikowani.

Praktyczne wskazówki

• Zacznij od ~wszystkimi podczas konfiguracji: Pozwala to obserwować wyniki SPF bez blokowania legalnych nadawców, których mogłeś przeoczyć.
• Przejdź do -wszystkie po uzupełnieniu wszystkich rekordów: Po upewnieniu się, że uwzględniono wszystkie prawidłowe źródła, przełącz się na tryb hardfail w celu pełnego egzekwowania.
• Unikaj ?all :Nie zapewnia to znaczącej ochrony ani wskazówek dla serwerów odbierających.
• Nigdy nie używaj +all:  Pozwala to każdemu nadawcy na przejście przez SPF, co w praktyce wyłącza uwierzytelnianie dla Twojej domeny.

Wyjaśnienie (precyzja) dotyczące modyfikatorów SPF

Modyfikatory stanowią niewielką, ale istotną część składni SPF. W przeciwieństwie do mechanizmów nie określają one, kto ma prawo wysyłać wiadomości. Zamiast tego zmieniają sposób przeprowadzania oceny SPF w trakcie przetwarzania rekordu.

Są one opcjonalne i stosuje się je w konkretnych sytuacjach, w których standardowe reguły oparte na mechanizmach nie są wystarczające.

Jak modyfikatory zachowują się podczas oceny

Modyfikatory są rozpatrywane po przetworzeniu mechanizmów i mają wpływ na sposób ustalania lub przedstawiania ogólnego wyniku.

• Nie zgadzają się z adresami IP nadawców
• Nie zatwierdzają ani nie odrzucają nadawców bezpośrednio
• Regulują one przepływ lub wynik oceny SPF

Z tego powodu modyfikatory są zazwyczaj stosowane wyłącznie w zaawansowanych lub ustrukturyzowanych konfiguracjach, a nie w podstawowych rekordach SPF.

redirect= – pełne przekazanie oceny SPF

Adres redirect= przekazuje ocenę SPF do innej domeny.

• Informuje to serwer odbierający: „Zignoruj pozostałą część tego rekordu i sprawdź zgodność z SPF na podstawie zasad zdefiniowanych dla innej domeny”.
• W przeciwieństwie do obejmują::
  • zawiera: dodaje kolejną politykę do oceny
  • redirect= całkowicie zastępuje twoją ocenę

Przykład:

v=spf1 redirect=_spf.example.com

W tym przypadku:

• Twoja domena nie posiada własnych reguł SPF
• Wszelkie sprawdzanie autoryzacji odbywa się za pośrednictwem _spf.example.com

Kiedy używać:

• Zarządzanie wieloma domenami przy użyciu scentralizowaną polityką SPF
• Zapewnienie spójności między domenami bez powielania rekordów

exp= – niestandardowe wyjaśnienie przyczyn niepowodzeń

Wartość modifikator exp= zapewnia zrozumiałe dla człowieka wyjaśnienie w przypadku niepowodzenia SPF.

• Wskazuje na rekord DNS zawierający wiadomość tekstową
• W przypadku niepowodzenia komunikat ten może zostać zwrócony do serwera wysyłającego

Przykład:

v=spf1 -all exp=explain._spf.example.com

Dzięki temu możesz wprowadzić własny opis, na przykład:

• Dlaczego wysłanie wiadomości nie powiodło się
• Co nadawca powinien zrobić dalej

Jak utworzyć rekord SPF

Tworzenie rekordu SPF jest kontrolowanym procesem, który przebiega krok po kroku. Celem jest dokładne wymienienie wszystkich legalnych źródeł wysyłania, przy jednoczesnym zachowaniu ważności, skuteczności i egzekwowalności rekordu.

Każdy krok ma znaczenie, ponieważ kod SPF jest analizowany dokładnie tak, jak został napisany. Pominięcie nadawcy lub dodanie nieprawidłowej logiki może bezpośrednio wpłynąć na dostarczalność.

• Zacznij od v=spf1: Spowoduje to aktywację SPF dla Twojej domeny. Bez tego wpis zostanie zignorowany i nie nastąpi uwierzytelnienie.
• Dodaj własną infrastrukturę wysyłkową (ip4: / ip6:): Uwzględnij wszystkie serwery, które kontrolujesz bezpośrednio, takie jak serwery poczty transakcyjnej lub systemy wewnętrzne. Są to najbardziej niezawodne wpisy, ponieważ nie zależą od zewnętrznych wyszukiwań DNS.
• Dodaj swojego głównego dostawcę usług pocztowych (uwzględnij:): Jeśli korzystasz z platformy takiej jak Google Workspace lub Microsoft 365, musisz dołączyć ich rekord SPF. Dzięki temu cała infrastruktura wysyłkowa tych platform będzie autoryzowana w Twoim imieniu.

Każdy obejmuje: dodaje co najmniej jedno wyszukiwanie DNS i może powodować dodatkowe wyszukiwania zagnieżdżone w zależności od struktury SPF dostawcy.

• Dodaj wszystkich zewnętrznych nadawców: Obejmuje to narzędzia marketingowe, systemy CRM, platformy wsparcia oraz wszelkie usługi wysyłające wiadomości e-mail przy użyciu Twojej domeny. Każda z nich musi zostać wyraźnie autoryzowana, ponieważ SPF nie ufa automatycznie usługom zewnętrznym.
• Na koniec przedstaw swoją politykę (~wszystkie lub -all): Określa to, jak należy postępować w przypadku nadawców niewymienionych powyżej:
  • ~wszystkie → zaakceptuj, ale traktuj jako podejrzane (używane podczas konfiguracji)
  • -wszystkie → odrzucaj nieautoryzowanych nadawców (używane po pełnej weryfikacji)
• Opublikuj jako pojedynczy rekord DNS typu TXT: SPF zezwala na tylko jeden rekord na domenę. Wszystkie mechanizmy muszą być połączone w tym jednym wpisie.
• Sprawdź poprawność przed i po opublikowaniu: Sprawdź, czy nie ma błędów składniowych, limitów wyszukiwania i brakujących źródeł. Sprawdź również aktualny rekord DNS, a nie tylko to, co zostało wprowadzone.

Ręczne zarządzanie listą SPF staje się trudne wraz ze wzrostem liczby źródeł wysyłających. Każde z nich zwiększa złożoność procesu sprawdzania, a dostawcy mogą zmieniać adresy IP bez uprzedzenia.

Narzędzia takie jak PowerSPF (Hosted SPF) firmy PowerDMARC automatyzują ten proces poprzez:

• Nie przekraczaj limitu 10 wyszukiwań
• Automatyczna aktualizacja zmian adresów IP od dostawców
• Ograniczenie błędów wynikających z ręcznej obsługi oraz konserwacji

Dzięki temu rekord SPF pozostaje ważny, a dostarczalność wiadomości nie ulega pogorszeniu z upływem czasu.

Przykładowy wpis

v=spf1 ip4:203.0.113.5 include:_spf.google.com include:servers.mcsv.net -all

Czym tak naprawdę zajmuje się ta płyta

• Upoważnia serwer dedykowany (ip4:203.0.113.5)
• Upoważnia Google Workspace (w tym:_spf.google.com)
• Upoważnia Mailchimp (include:servers.mcsv.net)
• Odrzuca wszystkich nadawców, którzy nie zostali wyraźnie wymienieni (-all)

W ten sposób powstaje spójna i egzekwowalna polityka: wysyłać mogą wyłącznie znane źródła, a wszystko inne jest blokowane.

Limit 10 wyszukiwań

Następujące mechanizmy powodują wyszukiwanie adresów DNS:

• obejmują:
• a
• mx
• istnieje:
• przekierowanie=
• ptr (przestarzałe, ale nadal liczy się, jeśli jest używane)

Mechanizmy te wymagają, aby serwer odbierający wysłał zapytanie do serwera DNS w celu uzyskania dodatkowych danych przed kontynuowaniem analizy.

Co się NIE liczy

Są one oceniane bezpośrednio i nie powodują wysyłania zapytań DNS:

• ip4:
• ip6:
• wszystkie
• v=spf1

Problem polega na tym, że problemy związane z SPF nie zawsze są widoczne na pierwszy rzut oka. Zagnieżdżone wkluczenia, nieaktywni nadawcy i ukryte zakresy adresów IP mogą spowodować przekroczenie limitu bez żadnych widocznych oznak.

Jak rośnie liczba wyszukiwań

Nawet niewielki rekord SPF może przekroczyć limity z powodu zagnieżdżonych włączeń. Oto, jak w praktyce rośnie liczba wyszukiwań:

Chociaż są to tylko cztery obejmują: mechanizmów, całkowita liczba wyszukiwań może przekroczyć limit 10 wyszukiwań po ocenie rekordów zagnieżdżonych.

Limit wyszukiwania w pustych zestawach (często pomijany)

SPF nakłada nie tylko ograniczenie do 10 wyszukiwań DNS, ale także limit dwóch nieudanych wyszukiwań.

Wyszukiwanie bez wyników ma miejsce, gdy zapytanie DNS nie zwraca żadnego wyniku, na przykład gdy otrzymana zostaje odpowiedź o nieistniejącej domenie (NXDOMAIN) lub pusta odpowiedź DNS.

Wyszukiwanie bez wyników ma miejsce, gdy zapytanie DNS nie zwraca żadnego wyniku, np. gdy otrzymana zostaje odpowiedź o nieistniejącej domenie (NXDOMAIN) lub pusta odpowiedź DNS.

Najczęstsze przyczyny:

• Nieprawidłowe lub nieaktualne obejmują: domeny
• Błędy typograficzne w mechanizmach SPF
• Odwołania do domen, które już nie istnieją

Jeśli podczas oceny SPF wystąpią więcej niż dwa nieudane wyszukiwania:

• SPF zwraca błąd PermError
• Cała weryfikacja SPF zakończyła się niepowodzeniem
• Prawdziwe wiadomości e-mail mogą stracić uwierzytelnienie

W przeciwieństwie do problemów związanych z liczbą zapytań, zapytania bez wyników są często trudniejsze do wykrycia, ponieważ wynikają one z nieprawidłowych lub nieaktualnych odwołań DNS, a nie z widocznej złożoności.

Nie wiesz, ile zapytań DNS generuje Twój rekord SPF? 

Rozwiązania takie jak SPF Analytics i Reporting firmy PowerDMARC zapewniają:

• Wgląd we wszystkie źródła wysyłania i adresy IP (nawet te zagnieżdżone)
• Wykrywanie problemów związanych z limitami wyszukiwania oraz błędów konfiguracji
• Przejrzysta diagnostyka wraz z praktycznymi rozwiązaniami

Dzięki temu łatwiej zrozumieć, jak faktycznie działa Twój rekord SPF i w jakich obszarach wymaga on optymalizacji.

Wniosek

SPF to warstwa kontrolna, która określa, kto może wysyłać wiadomości e-mail przy użyciu Twojej domeny. v=spf1 rozpoczyna ten proces, ale niezawodność Twojej konfiguracji zależy od tego, jak dobrze rekord jest zbudowany, utrzymywany i utrzymywany w granicach.

Większość problemów związanych z SPF nie wynika z nieprawidłowej konfiguracji, lecz z dryftu, dodania nowych narzędzi bez aktualizacji, pozostawionych nieużywanych plików include lub przekroczenia limitów wyszukiwania w miarę upływu czasu. Awarie te często przebiegają bez żadnych sygnałów ostrzegawczych, dopóki nie zaczną wpływać na dostarczanie wiadomości.

Aby filtr SPF działał zgodnie z przeznaczeniem:

• Dbaj o to, by Twoje zapisy były dokładne i zwięzłe
• Regularnie sprawdzaj źródła wysyłki
• Nie przekraczaj limitów wyszukiwania
• Sprawdź poprawność zmian przed i po opublikowaniu

SPF działa najlepiej, gdy traktuje się go jako aktywną konfigurację, a nie jednorazową operację. Przy odpowiedniej konserwacji zapewnia serwerom odbiorczym jasny i spójny sygnał, któremu mogą zaufać, a który bezpośrednio wspiera dostarczalność i uwierzytelnianie w całym systemie poczty elektronicznej.

Nie czekaj, aż błędy SPF zakłócą dostarczanie Twoich wiadomości e-mail.

Zyskaj pełny wgląd w swój rekord SPF, usuń problemy z wyszukiwaniem i dbaj o poprawność konfiguracji w miarę rozwoju infrastruktury wysyłkowej. 

Zobacz, jak możesz łatwo monitorować i zarządzać SPF za pomocą PowerDMARC.

Najczęściej zadawane pytania

1. Co się stanie, jeśli mój rekord SPF nie istnieje lub nie jest poprawnie skonfigurowany?

Jeśli nie ma rekordu SPF, serwery odbierające zwracają None . Oznacza to, że Twoja domena nie posiada uwierzytelniania opartego na SPF, a odbiorcy polegają na innych sygnałach, takich jak DKIM lub filtry antyspamowe. W praktyce zwiększa to ryzyko spoofingu i może negatywnie wpłynąć na dostarczalność.

2. Czy w mojej domenie może znajdować się więcej niż jeden rekord SPF?

Nie. Domena musi mieć dokładnie jeden rekord SPF. Jeśli wiele rekordów TXT zaczyna się od v=spf1, ocena SPF zwraca błąd PermError, a uwierzytelnianie wszystkich wiadomości e-mail kończy się niepowodzeniem. Zawsze należy łączyć wszystkie źródła wysyłania w jeden rekord.

3. Skąd mam wiedzieć, czy mój rekord SPF jest poprawny?

Musisz sprawdzić trzy rzeczy:

• Składnia jest poprawna (nie ma literówek ani błędów formatowania)
• Uwzględniono wszystkie legalne źródła wysyłające
• Liczba zapytań DNS mieści się w limicie 10 zapytań

Skorzystaj z narzędzia do sprawdzania współczynnika SPF i przeanalizuj rzeczywiste wyniki na podstawie raportów DMARC, aby upewnić się, że wszystko działa zgodnie z oczekiwaniami.

4. Jaka jest różnica między wynikami SPF „Pass”, „Fail” i „PermError”?

• Przejdź → Serwer wysyłający jest autoryzowany
• Błąd / Błąd tymczasowy → Nadawca nie jest autoryzowany (obsługa ścisła vs. łagodna)
• PermError → SPF nie działa prawidłowo z powodu nieprawidłowej konfiguracji (np. zbyt wiele wyszukiwań, nieprawidłowa składnia)

Błąd „PermError” jest najpoważniejszy, ponieważ oznacza, że nie można w ogóle przeprowadzić oceny SPF.

5. Czy potrzebuję SPF, skoro mam już DKIM i DMARC?

Tak. SPF jest jednym z podstawowych sygnałów uwierzytelniających wykorzystywanych przez DMARC. Chociaż DKIM może działać samodzielnie, połączenie SPF i DKIM zwiększa niezawodność i zasięg. Wielu odbiorców oczekuje, że wszystkie trzy elementy będą prawidłowo skonfigurowane.

6. Czy SPF chroni przed fałszowaniem adresów e-mail?

Nie wystarczy to samo w sobie. SPF sprawdza jedynie domenę w polu „Return-Path”, a nie widoczny adres nadawcy. Atakujący nadal może sfałszować nagłówek „From” i przejść weryfikację SPF, korzystając z własnej domeny. Aby zapewnić zgodność i zapobiec takim sytuacjom, konieczne jest wdrożenie protokołu DMARC.

• O
• Latest Posts

Ahona Rudra

Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC

Ahona jest Marketing Managerem w PowerDMARC, z ponad 5-letnim doświadczeniem w pisaniu na tematy związane z cyberbezpieczeństwem, specjalizującym się w bezpieczeństwie domen i poczty elektronicznej. Ahona posiada dyplom ukończenia studiów podyplomowych w zakresie dziennikarstwa i komunikacji, umacniając swoją karierę w sektorze bezpieczeństwa od 2019 roku.

Latest posts by Ahona Rudra (zobacz wszystkie)

• Czym jest v=spf1? Do czego służy? - 5 maja 2026 r.
• Studium przypadku DMARC dla dostawców usług zarządzanych (MSP): Jak firma Digital Infinity IT Group usprawniła zarządzanie protokołami DMARC i DKIM dla klientów dzięki PowerDMARC - 21 kwietnia 2026 r.
• Czym jest DANE? Wyjaśnienie uwierzytelniania nazwanych podmiotów w oparciu o DNS (2026) - 20 kwietnia 2026 r.