dlaczego uwierzytelnianie SPF kończy się niepowodzeniem

Czy kiedykolwiek widziałeś email, który nie przeszedł SPF? Jeśli tak, to powiem Ci dokładnie dlaczego uwierzytelnianie SPF kończy się niepowodzeniem. Sender Policy Framework, lub SPF, jest jednym ze standardów weryfikacji emaili, którego wszyscy używamy od lat aby zatrzymać spam. Nawet jeśli nie byłeś tego świadomy, założę się, że gdybym sprawdził ustawienia Twojego konta logowania na Facebooku, prawdopodobnie pokazałby on, że "opt-in" to "email only from friends". To jest skutecznie to samo, co SPF.

SPF jest protokołem uwierzytelniania emaili, który jest używany do weryfikacji, czy nadawca emaila zgadza się z nazwą swojej domeny w polu Od: wiadomości. Wysyłający MTA użyje DNS do zapytania wstępnie skonfigurowanej listy serwerów SPF, aby sprawdzić czy wysyłający IP jest autoryzowany do wysyłania emaili dla tej domeny. Mogą istnieć niespójności w sposobie konfiguracji rekordów SPF, co jest kluczowe dla zrozumienia, dlaczego e-maile mogą nie przejść weryfikacji SPF i jaką rolę możesz odegrać, aby upewnić się, że problemy nie wystąpią w Twoich własnych działaniach email marketingowych.

Dlaczego uwierzytelnianie SPF kończy się niepowodzeniem : Brak, Neutralny, Hardfail, Softfail, TempError i PermError

Niepowodzenia uwierzytelniania SPF mogą wystąpić z następujących powodów:

  • Odbierający MTA nie może znaleźć rekordu SPF opublikowanego w DNS.
  • Masz wiele rekordów SPF opublikowanych w DNS dla tej samej domeny
  • Twoje ESP zmieniło lub dodało do swoich adresów IP, które nie zostały zaktualizowane w rekordzie SPF
  • Jeśli przekroczysz limit 10 odwołań do DNS dla SPF
  • W przypadku przekroczenia maksymalnej liczby dozwolonych void lookupów wynoszącej 2
  • Długość Twojego spłaszczonego rekordu SPF przekracza limit 255 znaków SPF

Powyżej przedstawiono różne scenariusze, dlaczego uwierzytelnianie SPF kończy się niepowodzeniem. Możesz monitorować swoje domeny za pomocą naszego analizatora DMARC, aby uzyskać raporty o niepowodzeniach uwierzytelniania SPF. Kiedy masz włączone raportowanie DMARC, odbierający MTA zwraca jeden z następujących wyników niepowodzenia uwierzytelniania SPF dla emaila, w zależności od powodu, dla którego Twój email nie przeszedł SPF. Zapoznajmy się z nimi lepiej:

Przypadek 1: Zwracany jest wynik SPF Brak

W pierwszym przypadku, - jeśli odbierający serwer email wykonuje DNS lookup i nie jest w stanie znaleźć nazwy domeny w DNS, zwracany jest wynik none. Brak jest również zwracany w przypadku, gdy żaden rekord SPF nie został znaleziony w DNS nadawcy, co oznacza, że nadawca nie ma skonfigurowanego uwierzytelniania SPF dla tej domeny. W tym przypadku uwierzytelnianie SPF dla Twoich emaili nie powiedzie się.

Wygeneruj swój bezbłędny rekord SPF teraz z naszym darmowym narzędziem generatora rekordów SPF, aby tego uniknąć.

Przypadek 2: Zwracany jest wynik SPF Neutralny

Podczas konfigurowania SPF dla Twojej domeny, jeśli ustawiłeś mechanizm ?all do Twojego rekordu SPF, oznacza to, że bez względu na to, co zawiera kontrola uwierzytelniania SPF dla Twoich wychodzących emaili, odbierający MTA zwraca neutralny wynik. Dzieje się tak, ponieważ kiedy masz SPF w trybie neutralnym, nie określasz adresów IP, które są autoryzowane do wysyłania emaili w Twoim imieniu i pozwalasz nieautoryzowanym adresom IP również je wysyłać.

Przypadek 3: SPF Softfail Wynik

Podobnie jak SPF neutralny, SPF softfail jest identyfikowany przez mechanizm ~all, co oznacza, że MTA odbierający pocztę przyjmie ją i dostarczy do skrzynki odbiorcy, ale zostanie ona oznaczona jako spam, w przypadku gdy adres IP nie jest wymieniony w rekordzie SPF w DNS, co może być powodem niepowodzenia uwierzytelnienia SPF dla Twojej poczty. Poniżej podany jest przykład niepowodzenia SPF softfail:

 v=spf1 include:spf.google.com ~all

Przypadek 4: SPF Wynik niepowodzenia

SPF hardfail, znany również jako SPF fail jest wtedy, gdy odbierające MTA odrzuciłyby emaile pochodzące z dowolnego źródła, które nie jest wymienione w twoim rekordzie SPF. Zalecamy skonfigurowanie SPF hardfail w rekordzie SPF, jeśli chcesz zyskać ochronę przed podszywaniem się pod domeny i spoofingiem emaili. Poniżej podany jest przykład SPF hardfail:

v=spf1 include:spf.google.com -all

Przypadek 5: SPF TempError (tymczasowy błąd SPF)

Jednym z bardzo powszechnych i często nieszkodliwych powodów niepowodzenia uwierzytelniania SPF jest SPF TempError (błąd tymczasowy), który jest spowodowany błędem DNS, takim jak DNS timeout, podczas gdy sprawdzanie uwierzytelniania SPF jest wykonywane przez odbierające MTA. Jest to zatem, tak jak sugeruje nazwa, zwykle błąd tymczasowy zwracający kod statusu 4xx, który może spowodować tymczasowe niepowodzenie SPF, jednak dający wynik pozytywny SPF przy ponownej próbie później.

Przypadek 6: SPF PermError (SPF Permanent Error)

Innym częstym wynikiem, z którym spotykają się błędy domeny jest SPF PermError. To dlatego uwierzytelnianie SPF kończy się niepowodzeniem w większości scenariuszy. Dzieje się tak, gdy Twój rekord SPF zostaje unieważniony przez odbierające MTA. Istnieje wiele powodów, dla których SPF może się zepsuć i zostać unieważniony przez MTA podczas wykonywania wyszukiwania DNS:

  • Przekroczenie limitu 10 SPF lookup
  • Nieprawidłowa składnia rekordu SPF
  • Więcej niż jeden rekord SPF dla tej samej domeny
  • Przekroczenie limitu długości rekordu SPF wynoszącego 255 znaków
  • Jeśli Twój rekord SPF nie jest aktualny w stosunku do zmian wprowadzonych przez Twoje ESP

Uwaga: Kiedy MTA przeprowadza sprawdzanie SPF na emailu, odpytuje DNS lub przeprowadza DNS lookup, aby sprawdzić autentyczność źródła emaila. Idealnie, w SPF dozwolone jest maksymalnie 10 zapytań DNS, których przekroczenie spowoduje niepowodzenie SPF i zwróci wynik PermError.

Jak dynamiczne SPF Flattening może rozwiązać SPF PermError?

W przeciwieństwie do innych błędów SPF, SPF PermError jest znacznie bardziej podchwytliwy i skomplikowany do rozwiązania. PowerSPF pomaga go łatwo złagodzić za pomocą automatycznego spłaszczania SPF. Pomaga to:

  • Nie przekraczaj limitu SPF
  • Błyskawicznie zoptymalizuj swój rekord SPF
  • Spłaszcz swój zapis do pojedynczej deklaracji include
  • Upewnij się, że Twój rekord SPF jest zawsze zaktualizowany o zmiany wprowadzone przez Twój ESP.

Chcesz sprawdzić, czy masz SPF skonfigurowany poprawnie dla swojej domeny? Wypróbuj nasze darmowe narzędzie SPF record lookup już dziś!