Dlaczego uwierzytelnianie SPF nie powiodło się? Jak naprawić błąd SPF?
Czy kiedykolwiek widziałeś email, który nie przeszedł SPF? Jeśli tak, to powiem Ci dokładnie dlaczego uwierzytelnianie SPF kończy się niepowodzeniem. Sender Policy Framework, lub SPF, jest jednym ze standardów weryfikacji emaili, którego wszyscy używamy od lat aby zatrzymać spam. Nawet jeśli nie byłeś tego świadomy, założę się, że gdybym sprawdził ustawienia Twojego konta logowania na Facebooku, prawdopodobnie pokazałby on, że "opt-in" to "email only from friends". To jest skutecznie to samo, co SPF.
Co to jest SPF Authentication?
SPF jest protokołem uwierzytelniania emaili, który jest używany do weryfikacji, że nadawca emaila pasuje do nazwy swojej domeny w polu From: w wiadomości. Wysyłający MTA użyje DNS, aby zapytać wstępnie skonfigurowaną listę serwerów SPF, aby sprawdzić, czy wysyłający IP jest upoważniony do wysyłania wiadomości e-mail dla tej domeny. Mogą istnieć niespójności w tym, jak skonfigurowane są rekordy SPF, co jest kluczowe dla zrozumienia, dlaczego e-maile mogą nie przejść weryfikacji SPF i jaką rolę możesz odegrać, aby zapewnić, że problemy nie wystąpią w Twoich własnych działaniach email marketingowych lub gdy wysyłasz kupony marketingowe poprzez e-m aile, aby zdobyć klientów.
Dlaczego uwierzytelnianie SPF kończy się niepowodzeniem : Brak, Neutralny, Hardfail, Softfail, TempError i PermError
Niepowodzenia uwierzytelniania SPF mogą wystąpić z następujących powodów:
- Odbierający MTA nie może znaleźć rekordu SPF opublikowanego w DNS.
- Masz wiele rekordów SPF opublikowanych w DNS dla tej samej domeny
- Twoje ESP zmieniło lub dodało do swoich adresów IP, które nie zostały zaktualizowane w rekordzie SPF
- Jeśli przekroczysz limit 10 odwołań do DNS dla SPF
- W przypadku przekroczenia maksymalnej liczby dozwolonych void lookupów wynoszącej 2
- Długość Twojego spłaszczonego rekordu SPF przekracza limit 255 znaków SPF
Powyżej przedstawiono różne scenariusze, dlaczego uwierzytelnianie SPF kończy się niepowodzeniem. Możesz monitorować swoje domeny za pomocą naszego analizatora DMARC, aby uzyskać raporty o niepowodzeniach uwierzytelniania SPF. Kiedy masz włączone raportowanie DMARC, odbierający MTA zwraca jeden z następujących wyników niepowodzenia uwierzytelniania SPF dla emaila, w zależności od powodu, dla którego Twój email nie przeszedł SPF. Zapoznajmy się z nimi lepiej:
Rodzaje kwalifikatorów SPF Fail
Poniżej przedstawiono typy kwalifikatorów SPF Fail, z których każdy jest dodawany jako prefiks przed mechanizmem SPF fail:
"+" "Pass"
"-" "Fail"
"~" "Softfail"
"?" "Neutral"
Jakie to ma znaczenie? Cóż, w sytuacji gdy Twój email nie przejdzie SPF, możesz wybrać jak rygorystycznie odbiorcy mają go traktować. Możesz określić kwalifikator, aby "przepuścić" wiadomości, które nie przeszły kontroli (dostarczyć je), "odrzucić" dostawę lub przyjąć neutralne stanowisko (nie robić nic).
Przypadek 1: Zwracany jest wynik SPF Brak
W pierwszym przypadku, - jeśli odbierający serwer email wykonuje DNS lookup i nie jest w stanie znaleźć nazwy domeny w DNS, zwracany jest wynik none. Brak jest również zwracany w przypadku, gdy żaden rekord SPF nie został znaleziony w DNS nadawcy, co oznacza, że nadawca nie ma skonfigurowanego uwierzytelniania SPF dla tej domeny. W tym przypadku uwierzytelnianie SPF dla Twoich emaili nie powiedzie się.
Wygeneruj swój bezbłędny rekord SPF teraz z naszym darmowym narzędziem generatora rekordów SPF, aby tego uniknąć.
Przypadek 2: Zwracany jest wynik SPF Neutralny
Podczas konfigurowania SPF dla Twojej domeny, jeśli ustawiłeś mechanizm ?all do Twojego rekordu SPF, oznacza to, że bez względu na to, co zawiera kontrola uwierzytelniania SPF dla Twoich wychodzących emaili, odbierający MTA zwraca neutralny wynik. Dzieje się tak, ponieważ kiedy masz SPF w trybie neutralnym, nie określasz adresów IP, które są autoryzowane do wysyłania emaili w Twoim imieniu i pozwalasz nieautoryzowanym adresom IP również je wysyłać.
Przypadek 3: SPF Softfail Wynik
Podobnie jak SPF neutralny, SPF softfail jest identyfikowany przez mechanizm ~all, co oznacza, że MTA odbierający pocztę przyjmie ją i dostarczy do skrzynki odbiorcy, ale zostanie ona oznaczona jako spam, w przypadku gdy adres IP nie jest wymieniony w rekordzie SPF w DNS, co może być powodem niepowodzenia uwierzytelnienia SPF dla Twojej poczty. Poniżej podany jest przykład niepowodzenia SPF softfail:
v=spf1 include:spf.google.com ~all
Przypadek 4: SPF Wynik niepowodzenia
SPF hardfail, znany również jako SPF fail jest wtedy, gdy odbierające MTA odrzuciłyby emaile pochodzące z dowolnego źródła, które nie jest wymienione w twoim rekordzie SPF. Zalecamy skonfigurowanie SPF hardfail w rekordzie SPF, jeśli chcesz zyskać ochronę przed podszywaniem się pod domeny i spoofingiem emaili. Poniżej podany jest przykład SPF hardfail:
v=spf1 include:spf.google.com -all
Przypadek 5: SPF TempError (tymczasowy błąd SPF)
Jednym z bardzo powszechnych i często nieszkodliwych powodów niepowodzenia uwierzytelniania SPF jest SPF TempError (błąd tymczasowy), który jest spowodowany błędem DNS, takim jak DNS timeout, podczas gdy sprawdzanie uwierzytelniania SPF jest wykonywane przez odbierające MTA. Jest to więc, tak jak sugeruje nazwa, zwykle tymczasowy błąd zwracający kod statusu 4xx, który może spowodować tymczasowe niepowodzenie SPF, jednak dający wynik pozytywny SPF przy ponownej próbie później.
Przypadek 6: SPF PermError (SPF Permanent Error)
Innym częstym wynikiem, z którym spotykają się błędy domeny jest SPF PermError. To dlatego uwierzytelnianie SPF kończy się niepowodzeniem w większości scenariuszy. Dzieje się tak, gdy Twój rekord SPF zostaje unieważniony przez odbierające MTA. Istnieje wiele powodów, dla których SPF może się zepsuć i zostać unieważniony przez MTA podczas wykonywania wyszukiwania DNS:
- Przekroczenie limitu 10 SPF lookup
- Nieprawidłowa składnia rekordu SPF
- Więcej niż jeden rekord SPF dla tej samej domeny
- Przekroczenie limitu długości rekordu SPF wynoszącego 255 znaków
- Jeśli Twój rekord SPF nie jest aktualny w stosunku do zmian wprowadzonych przez Twoje ESP
Uwaga: Kiedy MTA przeprowadza sprawdzanie SPF na emailu, odpytuje DNS lub przeprowadza DNS lookup, aby sprawdzić autentyczność źródła emaila. Idealnie, w SPF dozwolone jest maksymalnie 10 zapytań DNS, których przekroczenie spowoduje niepowodzenie SPF i zwróci wynik PermError.
Jak dynamiczne SPF Flattening może rozwiązać SPF PermError?
W przeciwieństwie do innych błędów SPF, SPF PermError jest znacznie bardziej podchwytliwy i skomplikowany do rozwiązania. PowerSPF pomaga go łatwo złagodzić za pomocą automatycznego spłaszczania SPF. Pomaga to:
- Nie przekraczaj limitu SPF
- Błyskawicznie zoptymalizuj swój rekord SPF
- Spłaszcz swój zapis do pojedynczej deklaracji include
- Upewnij się, że Twój rekord SPF jest zawsze zaktualizowany o zmiany wprowadzone przez Twój ESP.
Chcesz sprawdzić, czy masz SPF skonfigurowany poprawnie dla swojej domeny? Wypróbuj nasze darmowe narzędzie SPF record lookup już dziś!
- Jak zaplanować płynne przejście od DMARC None do DMARC Reject? - 26 maja 2023 r.
- Jak sprawdzić kondycję domeny? - 26 maja 2023 r.
- Dlaczego Microsoft powinien przyjąć BIMI? - 25 maja 2023 r.