Sender Policy Framework, czyli SPF, jest jednym z protokołów uwierzytelniania poczty elektronicznej, które organizacje od lat stosują w swoich systemach poczty elektronicznej w celu ograniczenia spamu i autoryzacji źródeł wysyłania. Powszechne jest jednak napotykanie różnych błędów, które skutkują niepowodzeniem SPF. W tym poście omawiamy, co może powodować niepowodzenie SPF i jak to naprawić.
Oto kilka typowych przyczyn prowadzących do niepowodzeń SPF:
- Błędy składni rekordów SPF
- Błędy konfiguracji rekordów SPF
- Przekroczenie limitów wyszukiwania DNS dla SPF
- Przekazywanie wiadomości e-mail
- Niekompletna autoryzacja źródła wysyłania
Kluczowe wnioski
- Błędy SPF mogą wynikać z takich kwestii jak nieprawidłowa składnia, przekroczenie limitów wyszukiwania DNS i wiele rekordów SPF dla tej samej domeny.
- Mechanizm SPF może zwracać różne wyniki, w tym Pass, Fail, Softfail, Neutral i Temporary Error, z których każdy wskazuje inny poziom powodzenia uwierzytelniania.
- Łączenie wielu rekordów SPF w jeden za pomocą mechanizmu "include" jest niezbędne, aby uniknąć unieważnienia implementacji SPF.
- Regularne monitorowanie raportów DMARC może pomóc w identyfikacji przyczyn niepowodzeń SPF i ułatwić terminowe rozwiązywanie problemów.
- Wdrożenie najlepszych praktyk SPF ma kluczowe znaczenie dla ochrony dostarczalności wiadomości e-mail i zmniejszenia prawdopodobieństwa niepowodzenia uwierzytelniania.
Dlaczego zdarzają się awarie SPF?
Awarie SPF mogą wystąpić z następujących powodów:
- Odbierający MTA nie może znaleźć rekordu SPF opublikowanego w DNS.
- Skonfigurowano więcej niż jeden rekord SPF dla tej samej domeny.
- Dostawcy usług e-mail zmodyfikowali lub dodali nowe adresy IP, które nie zostały uwzględnione w rekordzie SPF.
- Przekroczyłeś limit 10 wyszukiwań DNS dla SPF.
- Przekroczono maksymalną liczbę dozwolonych wyszukiwań void wynoszącą 2.
- Długość spłaszczonego rekordu SPF przekracza limit 255 znaków SPF.
Gdy SPF nie powiedzie się dla Twojej wiadomości e-mail, Twoim następnym krokiem powinno być zidentyfikowanie przyczyny tego błędu, abyś mógł go rozwiązać. Jest to możliwe dzięki regularnemu monitorowaniu raportów DMARC. PowerDMARC pomaga w łatwym odczytywaniu raportów o błędach uwierzytelniania SPF dzięki naszemu Analizator DMARC.
Powstrzymaj awarie SPF dzięki PowerDMARC!
Rodzaje awarii SPF
Poniżej przedstawiono rodzaje SPF fail z których każdy jest dodawany jako prefiks przed mechanizmem SPF:
"+" "Pass"
"-" "Fail"
"~" "Softfail"
"?" "Neutralny"
Jakie to ma znaczenie? Wsytuacji, gdy wiadomość e-mail zostanie odrzucona, możesz wybrać, jak rygorystycznie chcesz, aby odbiorcy sobie z tym poradzili. Możesz określić kwalifikator, aby "przepuszczać" wiadomości które otrzymały SPF "Fail", lub przyjąć punkt widzenia "Neutralny" (nic nie robić).
1. SPF Brak Zwrócony wynik
W pierwszym przypadku, jeśli odbierający serwer e-mail wykonuje wyszukiwanie DNS i nie jest w stanie znaleźć nazwy domeny w DNS, zwracany jest wynik none. Brak jest również zwracany w przypadku, gdy nie znaleziono rekordu SP F w DNS nadawcy, co oznacza, że nadawca nie ma skonfigurowanego uwierzytelniania SPF dla tej domeny. W takim przypadku uwierzytelnianie SPF dla wiadomości e-mail nie powiedzie się, co jest oznaczone przez "-all".
Wygeneruj swój bezbłędny rekord SPF już teraz z naszym darmowy generator rekordów SPF aby tego uniknąć.
2. Zwrócono wynik neutralny SPF
Podczas konfigurowania SPF dla swojej domeny, jeśli umieściłeś mechanizm "?all" w swoim rekordzie SPF, oznacza to, że bez względu na to, co zakończy się kontrola uwierzytelniania SPF dla wychodzących wiadomości e-mail, odbierający MTA zwróci neutralny wynik. Dzieje się tak, ponieważ gdy masz SPF w trybie neutralnym, nie określasz adresów IP, które są upoważnione do wysyłania wiadomości e-mail w Twoim imieniu i zezwalasz na wysyłanie ich również przez nieautoryzowane adresy IP.
3. Zwrócony wynik SPF Softfail
Podobnie jak SPF neutralny, SPF softfail jest identyfikowany przez mechanizm ~all, co oznacza, że MTA odbierający pocztę przyjmie ją i dostarczy do skrzynki odbiorcy, ale zostanie ona oznaczona jako spam, w przypadku gdy adres IP nie jest wymieniony w rekordzie SPF w DNS, co może być powodem niepowodzenia uwierzytelnienia SPF dla Twojej poczty. Poniżej podany jest przykład niepowodzenia SPF softfail:
v=spf1 include:spf.google.com ~all
4. Zwrócono wynik SPF Hardfail
SPF hardfail jest wtedy, gdy odbierające MTA odrzucają wiadomości e-mail pochodzące z dowolnego źródła wysyłania, które nie jest wymienione w rekordzie SPF. Zalecamy skonfigurowanie SPF hardfail w rekordzie SPF, jeśli chcesz uzyskać ochronę przed podszywaniem się pod domenę i spoofingiem wiadomości e-mail.
Przykład: v=spf1 include:spf.google.com -all
Poznaj szczegółową różnicę między SPF softfail vs hardfail
5. SPF Temperror (tymczasowy błąd SPF)
Jednym z powszechnych i często nieszkodliwych powodów niepowodzenia uwierzytelniania SPF jest SPF Temperror (błąd tymczasowy). Jest to spowodowane błędem DNS, takim jak przekroczenie limitu czasu DNS. Jest to zatem, jak sama nazwa wskazuje, błąd tymczasowy zwracający kod statusu 4xx, który może spowodować tymczasowe niepowodzenie SPF. Przy późniejszej próbie da on wynik pozytywny SPF.
6. SPF Permerror (stały błąd SPF)
Innym częstym błędem napotykanym przez domeny jest SPF Permerror. Dzieje się tak, gdy występuje awaria z trwałym błędem. Dzieje się tak, gdy rekord SPF zostaje unieważniony przez odbierający MTA. Istnieje wiele powodów, dla których SPF może zostać uszkodzony i unieważniony przez MTA podczas wykonywania wyszukiwania DNS:
- Przekroczenie limitu 10 wyszukiwań SPF
- Nieprawidłowa składnia rekordu SPF
- Więcej niż jeden rekord SPF dla tej samej domeny
- Przekroczenie limitu długości rekordu SPF wynoszącego 255 znaków
- Jeśli Twój rekord SPF nie jest aktualny w stosunku do zmian wprowadzonych przez Twoje ESP
Uwaga: Gdy MTA wykonuje SPF na wiadomości e-mail, wysyła zapytanie do DNS lub przeprowadza wyszukiwanie DNS w celu sprawdzenia autentyczności źródła wiadomości e-mail. Idealnie, w SPF dozwolone jest maksymalnie 10 wyszukiwań DNS, których przekroczenie spowoduje przerwanie SPF i zwrócenie wyniku Permerror. Jest to bardzo częsty problem prowadzący do niepowodzenia SPF.
Jak naprawić błąd SPF dla wiadomości e-mail
Aby zapewnić płynną dostarczalność, ważne jest, aby upewnić się, że SPF nie zawodzi w przypadku wiadomości e-mail. Aby naprawić błędy SPF, możesz postępować zgodnie z poniższymi najlepszymi praktykami:
1. Nie przekraczaj limitów SPF
Jeśli uwierzytelnianie nie powiedzie się z powodu wyszukiwania DNS przekraczającego limity określone w RFC, należy starać się utrzymać w granicach limitu, aby zapobiec niepowodzeniu. PowerDMARC pomaga klientom zoptymalizować ich rekordy SPF, aby utrzymać się poniżej tych twardych limitów za pomocą makr. Często są one kilka razy bardziej skuteczne niż spłaszczanie SPF. Jeśli jednak zdecydujesz się użyć spłaszczania SPF, Narzędzia do spłaszczania SPF mogą uprościć proces, choć nadal wymagają ręcznych aktualizacji za każdym razem, gdy dostawca usług poczty elektronicznej modyfikuje swoją infrastrukturę. Makra w rekordzie SPF DNS pomagają uniknąć przekroczenia limitów pustych adresów DNS i limitów wyszukiwania przez cały czas.
2. Unikanie błędów składni i konfiguracji
Ręczne wdrażanie rekordów SPF często prowadzi do błędów składni i powoduje ich niepowodzenie. Aby upewnić się, że używasz właściwej składni dla SPF, wygeneruj swój rekord za pomocą automatycznego Generator rekordów SPF narzędzie.
Podczas konfigurowania SPF w DNS, zawsze używaj typu zasobu "TXT". Jeśli skonfigurujesz niewłaściwy typ zasobu, taki jak "CNAME" lub nawet "SPF", doprowadzi to do błędów konfiguracji i niepowodzenia SPF.
3. Autoryzacja wszystkich źródeł wysyłania
Upewnij się, że prawidłowo autoryzujesz wszystkie źródła wysyłania, w tym dostawców zewnętrznych, w rekordzie SPF. Twoi dostawcy często zmieniają lub dodają do swojej listy wysyłające adresy IP. Musisz upewnić się, że jesteś na bieżąco z takimi zmianami i zaimplementować je we własnym rekordzie SPF. Pominięcie autoryzowanych źródeł wysyłania często prowadzi do nieuzasadnionych błędów SPF.
4. Łączenie wielu rekordów SPF
Więcej niż jeden rekord SPF dla tej samej domeny może unieważnić implementację SPF i doprowadzić do niepowodzenia SPF. W takich przypadkach lepiej jest połączyć wiele rekordów w jeden rekord za pomocą mechanizmu "include".
Najlepsze praktyki SPF
Właściciele domen przestrzegający wyżej wymienionych najlepszych praktyk SPF mogą znacznie zmniejszyć szanse na nieuzasadnione niepowodzenie SPF. Oto kilka dodatkowych dobrych praktyk, które firmy mogą stosować, aby jeszcze bardziej wzmocnić swoje bezpieczeństwo poczty elektronicznej:
- Użyj DKIM, aby uniknąć niepowodzenia SPF dla przekazywanych wiadomości e-mail
- Używaj DMARC i DKIM, aby nawet jeśli SPF zawiedzie, a DKIM przejdzie, DMARC przejdzie.
- Włącz raportowanie DMARC w celu monitorowania błędów SPF i ich przyczyn.
Awarie uwierzytelniania poczty e-mail nigdy nie są dobrą wiadomością dla reputacji i wiarygodności domeny. Aby upewnić się, że nie wpłynie to na dostarczalność, musisz podjąć działania już teraz, aby zapobiec niepowodzeniu SPF. Chcesz sprawdzić, czy masz poprawnie skonfigurowany SPF dla swojej domeny? Wypróbuj nasz darmowy SPF checker już dziś!
- Jak utworzyć i opublikować rekord DMARC - 3 marca 2025 r.
- Jak naprawić "Nie znaleziono rekordu SPF" w 2025 roku - 21 stycznia 2025 r.
- Jak czytać raport DMARC - 19 stycznia 2025 r.