Czy kiedykolwiek widziałeś email, który nie przeszedł SPF? Jeśli tak, to powiem Ci dokładnie dlaczego uwierzytelnianie SPF kończy się niepowodzeniem. Sender Policy Framework, lub SPF, jest jednym ze standardów weryfikacji emaili, którego wszyscy używamy od lat aby zatrzymać spam. Nawet jeśli nie byłeś tego świadomy, założę się, że gdybym sprawdził ustawienia Twojego konta logowania na Facebooku, prawdopodobnie pokazałby on, że "opt-in" to "email only from friends". To jest skutecznie to samo, co SPF.

Co to jest SPF Authentication?

SPF to protokół uwierzytelniania wiadomości e-mail, który służy do weryfikacji zgodności nadawcy wiadomości e-mail z jego nazwą domeny w polu From: wiadomości. Wysyłający MTA użyje DNS do zapytania wstępnie skonfigurowanej listy serwerów SPF, aby sprawdzić, czy wysyłający adres IP jest autoryzowany do wysyłania wiadomości e-mail dla tej domeny. Mogą istnieć niespójności w sposobie konfigurowania rekordów SPF, co ma kluczowe znaczenie dla zrozumienia, dlaczego wiadomości e-mail mogą nie przejść weryfikacji SPF i jaką rolę możesz odegrać, aby upewnić się, że problemy nie wystąpią we własnych działaniach marketingowych e-mail lub podczas wysyłania e-maili marketingowych w celu pozyskania klientów.

Dlaczego uwierzytelnianie SPF kończy się niepowodzeniem : Brak, Neutralny, Hardfail, Softfail, TempError i PermError

Niepowodzenia uwierzytelniania SPF mogą wystąpić z następujących powodów:

• Odbierający MTA nie może znaleźć rekordu SPF opublikowanego w DNS.
• Masz wiele rekordów SPF opublikowanych w DNS dla tej samej domeny
• Twoje ESP zmieniło lub dodało do swoich adresów IP, które nie zostały zaktualizowane w rekordzie SPF
• Jeśli przekroczysz limit 10 odwołań do DNS dla SPF
• W przypadku przekroczenia maksymalnej liczby dozwolonych void lookupów wynoszącej 2
• Długość Twojego spłaszczonego rekordu SPF przekracza limit 255 znaków SPF

Powyżej przedstawiono różne scenariusze, dlaczego uwierzytelnianie SPF kończy się niepowodzeniem. Możesz monitorować swoje domeny za pomocą naszego analizatora DMARC, aby otrzymywać raporty o błędach uwierzytelniania SPF. Po włączeniu raportowania DMARC, odbierający MTA zwraca jeden z następujących wyników niepowodzenia uwierzytelniania SPF dla wiadomości e-mail, w zależności od przyczyny niepowodzenia SPF. Poznajmy je lepiej:

Rodzaje kwalifikatorów SPF Fail

Poniżej przedstawiono typy kwalifikatorów SPF Fail, z których każdy jest dodawany jako prefiks przed mechanizmem SPF fail:

"+" "Pass"
"-" "Fail"
"~" "Softfail"
"?" "Neutral"

Jakie to ma znaczenie? Cóż, w sytuacji gdy Twój email nie przejdzie SPF, możesz wybrać jak rygorystycznie odbiorcy mają go traktować. Możesz określić kwalifikator, aby "przepuścić" wiadomości, które nie przeszły kontroli (dostarczyć je), "odrzucić" dostawę lub przyjąć neutralne stanowisko (nie robić nic).

Przypadek 1: Zwracany jest wynik SPF Brak

W pierwszym przypadku, - jeśli odbierający serwer email wykonuje DNS lookup i nie jest w stanie znaleźć nazwy domeny w DNS, zwracany jest wynik none. Brak jest również zwracany w przypadku, gdy żaden rekord SPF nie został znaleziony w DNS nadawcy, co oznacza, że nadawca nie ma skonfigurowanego uwierzytelniania SPF dla tej domeny. W tym przypadku uwierzytelnianie SPF dla Twoich emaili nie powiedzie się.

Wygeneruj swój bezbłędny rekord SPF teraz z naszym darmowym narzędziem generatora rekordów SPF, aby tego uniknąć.

Przypadek 2: Zwracany jest wynik SPF Neutralny

Podczas konfigurowania SPF dla Twojej domeny, jeśli ustawiłeś mechanizm ?all do Twojego rekordu SPF, oznacza to, że bez względu na to, co zawiera kontrola uwierzytelniania SPF dla Twoich wychodzących emaili, odbierający MTA zwraca neutralny wynik. Dzieje się tak, ponieważ kiedy masz SPF w trybie neutralnym, nie określasz adresów IP, które są autoryzowane do wysyłania emaili w Twoim imieniu i pozwalasz nieautoryzowanym adresom IP również je wysyłać.

Przypadek 3: SPF Softfail Wynik

Podobnie jak SPF neutralny, SPF softfail jest identyfikowany przez mechanizm ~all, co oznacza, że MTA odbierający pocztę przyjmie ją i dostarczy do skrzynki odbiorcy, ale zostanie ona oznaczona jako spam, w przypadku gdy adres IP nie jest wymieniony w rekordzie SPF w DNS, co może być powodem niepowodzenia uwierzytelnienia SPF dla Twojej poczty. Poniżej podany jest przykład niepowodzenia SPF softfail:

 v=spf1 include:spf.google.com ~all

Przypadek 4: SPF Wynik niepowodzenia

SPF hardfail, znany również jako SPF fail jest wtedy, gdy odbierające MTA odrzuciłyby emaile pochodzące z dowolnego źródła, które nie jest wymienione w twoim rekordzie SPF. Zalecamy skonfigurowanie SPF hardfail w rekordzie SPF, jeśli chcesz zyskać ochronę przed podszywaniem się pod domeny i spoofingiem emaili. Poniżej podany jest przykład SPF hardfail:

v=spf1 include:spf.google.com -all

Przypadek 5: SPF TempError (tymczasowy błąd SPF)

Jednym z bardzo powszechnych i często nieszkodliwych powodów niepowodzenia uwierzytelniania SPF jest SPF TempError (błąd tymczasowy), który jest spowodowany błędem DNS, takim jak DNS timeout, podczas gdy sprawdzanie uwierzytelniania SPF jest wykonywane przez odbierające MTA. Jest to więc, tak jak sugeruje nazwa, zwykle tymczasowy błąd zwracający kod statusu 4xx, który może spowodować tymczasowe niepowodzenie SPF, jednak dający wynik pozytywny SPF przy ponownej próbie później.

Przypadek 6: SPF PermError (SPF Permanent Error)

Innym częstym wynikiem, z którym spotykają się błędy domeny jest SPF PermError. To dlatego uwierzytelnianie SPF kończy się niepowodzeniem w większości scenariuszy. Dzieje się tak, gdy Twój rekord SPF zostaje unieważniony przez odbierające MTA. Istnieje wiele powodów, dla których SPF może się zepsuć i zostać unieważniony przez MTA podczas wykonywania wyszukiwania DNS:

• Przekroczenie limitu 10 SPF lookup
• Nieprawidłowa składnia rekordu SPF
• Więcej niż jeden rekord SPF dla tej samej domeny
• Przekroczenie limitu długości rekordu SPF wynoszącego 255 znaków
• Jeśli Twój rekord SPF nie jest aktualny w stosunku do zmian wprowadzonych przez Twoje ESP

Uwaga: Gdy MTA wykonuje sprawdzenie SPF dla wiadomości e-mail, wysyła zapytanie do DNS lub przeprowadza wyszukiwanie DNS w celu sprawdzenia autentyczności źródła wiadomości e-mail. Idealnie, w SPF dozwolone jest maksymalnie 10 wyszukiwań DNS, których przekroczenie spowoduje niepowodzenie SPF i zwrócenie wyniku PermError.

Jak dynamiczne SPF Flattening może rozwiązać SPF PermError?

W przeciwieństwie do innych błędów SPF, SPF PermError jest znacznie bardziej podchwytliwy i skomplikowany do rozwiązania. PowerSPF pomaga go łatwo złagodzić za pomocą automatycznego spłaszczania SPF. Pomaga to:

• Nie przekraczaj limitu SPF
• Błyskawicznie zoptymalizuj swój rekord SPF
• Spłaszcz swój zapis do pojedynczej deklaracji include
• Upewnij się, że Twój rekord SPF jest zawsze zaktualizowany o zmiany wprowadzone przez Twój ESP.

Chcesz sprawdzić, czy masz poprawnie skonfigurowany SPF dla swojej domeny? Wypróbuj nasze darmowe narzędzie do sprawdzania SPF już dziś!

• O
• Latest Posts

Maitham Al Lawati

Maitham jest przedsiębiorcą technologicznym, ekspertem ds. cyberbezpieczeństwa, dyrektorem generalnym i założycielem PowerDMARC z ponad 15-letnim doświadczeniem w branży. Maitham posiada tytuł Global MBA Uniwersytetu w Manchesterze oraz różne certyfikaty zawodowe, w tym CISSP, CISM, CRISC i ISC2 CCSP.

Najnowsze posty autorstwa Maitham Al Lawati (zobacz wszystkie)

• Napraw błąd SPF: Pokonaj limit zbyt wielu wyszukiwań DNS SPF - 26 kwietnia 2024 r.
• Jak opublikować rekord DMARC w 3 krokach? - 2 kwietnia 2024 r.
• Dlaczego DMARC zawodzi? Naprawa błędów DMARC w 2024 roku - 2 kwietnia 2024 r.