Ошибка при согласовании SPF: причины, способы устранения и обеспечение соответствия требованиям DMARC
Последнее обновление:
8 Время чтения: 8 минут
Ключевые выводы
- Сбои при сопоставлении SPF часто возникают из-за того, что строгий режим сопоставления не соответствует доменам в заголовках электронных писем, что особенно сказывается на организациях со сложной структурой субдоменов.
- Переход с строгого режима выравнивания SPF на упрощённый позволяет устранить большинство проблем с выравниванием, сохранив при этом безопасность критически важных почтовых систем.
- DMARC требует настройки как SPF, так и DKIM для повышения безопасности электронной почты и улучшения показателей доставки, что особенно важно для отраслей, подпадающих под регулирование и требующих соблюдения нормативных требований.
- Подделка домена может привести к несоответствию SPF, поскольку поддельные электронные письма не будут соответствовать легитимному домену, что создает угрозу безопасности для организаций.
- Использование инструментов отчетности DMARC может помочь обеспечить соответствие требованиям и предотвратить сбои в настройке, вызванные неправильной конфигурацией, что имеет решающее значение для MSP, управляющих множеством клиентских доменов.
Настройка SPF — это одна из тех вещей, которые тихо работают в фоновом режиме, пока не возникают проблемы.
Когда не удается обеспечить соответствие SPF, легитимные письма попадают в спам, сразу отклоняются или не проходят проверку DMARC, причем причина этого не всегда очевидна.
В этом руководстве рассказывается обо всем, что нужно знать о согласовании SPF: что это такое, почему возникают сбои, как их устранить и как обеспечить его правильную работу для всех ваших доменов-отправителей.
Мнение экспертаЯ более 15 лет работаю в сфере кибербезопасности и не раз был свидетелем того, как несоответствие настроек SPF приводило к серьезным сбоям в работе компаний. В PowerDMARC мы регулярно сталкиваемся с организациями, которые теряют важную корреспонденцию с клиентами из-за проблем, которых можно было бы избежать. По моему опыту, главное — понимать, что правильная настройка SPF имеет решающее значение для поддержания доверия и соблюдения нормативных требований. |
Что такое выравнивание SPF?
SPF, или Sender Policy Framework, представляет собой протокол аутентификации электронной почты, который проверяет, было ли письмо отправлено с IP-адреса, авторизованного доменом отправителя. Однако одного прохождения проверки SPF недостаточно для соответствия стандарту DMARC, поскольку домен также должен быть согласован, и именно в этом помогает согласование SPF.
Под выравниванием SPF понимается процесс обеспечения соответствия домена, используемого в заголовке MAIL FROM электронного письма (также называемого доменом конверта или обратным путем), домену, указанному в видимом поле «От кого».
Если эти два заголовка относятся к одному и тому же домену, проверка соответствия SPF проходит успешно. Если же это не так, проверка соответствия SPF завершается с ошибкой, даже если сама проверка SPF проходит успешно.
Почему это различие имеет значение
Технически письмо может пройти проверку SPF, но при этом не соответствовать требованиям SPF. Это происходит потому, что SPF проверяет домен конверта, а не адрес «От», который фактически видят получатели
Если сторонний поставщик услуг электронной почты отправляет письма от вашего имени, используя свой собственный домен обратного пути, проверка SPF может пройти для его домена, но она не будет совпадать с вашим. DMARC (Domain-based Message Authentication, Reporting, and Conformance) требует соответствия, а это означает, что в данном сценарии все равно произойдет сбой DMARC.
Таким образом, проверка SPF является важнейшим элементом вашей настройке аутентификации электронной почты . Оно гарантирует, что домен, с которого отправляется письмо, совпадает с доменом, который видят ваши получатели, что делает его ключевым признаком легитимности и прямым фактором, определяющим, попадут ли ваши письма в папку «Входящие».
Строгое и гибкое согласование SPF: основные различия
Когда настройке DMARC, вы можете установить режим согласования SPF как «строгий», так и «смягченный». Выбранный вами режим определяет, насколько точно домен конверта и домен «От» должны совпадать, чтобы проверка согласования прошла успешно.
| Строгое соответствие SPF | Нестрогое выравнивание SPF | |
|---|---|---|
| Тег DMARC | aspf=s | aspf=r |
| Соответствовать требованиям | Точное совпадение домена конверта и домена отправителя | Домен конверта и домен отправителя должны относиться к одному и тому же организационному домену |
| Поддержка субдоменов | Нет, субдомены не будут выровнены | Да, субдомены основного домена будут проходить |
| Пример (пройден) | От: yourdomain.com / Return-path: yourdomain.com | От: yourdomain.com / Return-path: mail.yourdomain.com |
| Пример (неудачный) | От: yourdomain.com / Return-path: mail.yourdomain.com | От: yourdomain.com / Return-path: thirddomain.com |
| Лучше всего подходит для | Организации, полностью контролирующие свою инфраструктуру отправки сообщений | Организации, осуществляющие отправку через несколько субдоменов или сторонние платформы |
| Защита от подделки | Выше | Умеренный |
| Настройки по умолчанию в DMARC | Нет | Да |
Как работает согласование SPF в рамках DMARC
SPF, DKIM и DMARC работают вместе как многоуровневая система аутентификации электронной почты. Понимание того, как вписывается в эту картину согласование SPF, имеет решающее значение для правильной диагностики и устранения сбоев.
Согласно стандарту DMARC, для прохождения проверки электронного письма необходимо, чтобы было выполнено хотя бы одно из двух следующих условий:
- SPF-проверка прошла успешно, и домен в поле «Envelope» совпадает с доменом в поле «From»
- DKIM проходит проверку, и домен подписи DKIM совпадает с доменом «От»
Это означает, что согласование SPF — не единственный способ обеспечить соответствие требованиям DMARC.
Если проверка соответствия SPF завершилась неудачно, но имеется действительная, соответствующая подпись DKIM , письмо все равно может пройти проверку DMARC. Это важный резервный вариант, который необходимо понимать, особенно при работе со сценариями пересылки писем, где согласование SPF почти всегда нарушается.
Роль обратного канала
Обратный адрес, также называемый адресом отправителя конверта или адресом MAIL FROM, — это адрес, на который отправляются уведомления об отклонении, когда электронное письмо не может быть доставлено. Он функционирует независимо от видимого адреса «От кого» и представляет собой домен, который фактически проверяется с помощью SPF.
Если сторонний отправитель использует свой собственный домен в обратном пути, проверка SPF пройдет для его домена, но не будет соответствовать вашему, поскольку эти два домена не совпадают.
Строгое и мягкое согласование в DMARC
При настройке DMARC вы можете указать режим согласования SPF с помощью тега aspf в записи DMARC. Установка значения aspf=s обеспечивает строгое согласование, а aspf=r — упрощенное согласование.
Если тег не указан, DMARC по умолчанию работает в режиме «relaxed».
| Совет от профессионалов: Наша команда часто сталкивается с проблемами синхронизации в средах со сложными субдоменами. Внимательно проверьте настройки, чтобы избежать типичных ошибок. Для организаций, управляющих несколькими доменами или клиентами, внедрение автоматического мониторинга может предотвратить эти проблемы, прежде чем они повлияют на доставку электронной почты. |
Почему выравнивание SPF не работает
Прежде чем приступать к устранению несоответствия SPF, полезно сначала понять, почему оно возникает. В большинстве случаев проблема связана с типичными ошибками в настройках или в процессе передачи электронной почты. Такие факторы, как использование сторонних почтовых сервисов, переадресация, ограничения DNS или простые ошибки в настройках записей, могут привести к нарушению соответствия SPF.
Ниже приведены наиболее распространённые причины сбоев при выравнивании SPF, а также объяснение того, что на самом деле происходит «за кулисами».
Сторонние поставщики услуг электронной почты, использующие собственный обратный канал
Это наиболее распространённая причина сбоев при выравнивании SPF.
Когда вы отправляете электронные письма через стороннюю платформу, такую как CRM-система, маркетинговый инструмент или сервис массовой рассылки, эта платформа по умолчанию часто вставляет в обратный адрес свой собственный домен. SPF-запись будет проверяться успешно для этого домена, но она не будет совпадать с вашим доменом отправителя, что приведет к сбою DMARC при проверке SPF.
Переадресация электронной почты
При пересылке электронного письма исходная запись SPF не распространяется на IP-адрес сервера пересылки. В процессе пересылки изменяется обратный путь, что почти всегда приводит к нарушению соответствия SPF. Это известное ограничение SPF и одна из основных причин согласования DKIM рекомендуется в качестве дополнительного механизма.
Неправильно настроенные записи SPF
Если ваш запись SPF настроена неверно, это может привести как к сбоям аутентификации SPF, так и к проблемам с выравниванием. К распространенным ошибкам настройки относятся:
- Превышение десяти ограничения , что приводит к возврату SPF постоянной ошибки
- Опечатки в синтаксисе записи
- Отсутствующие или устаревшие IP-адреса серверов, отправляющих сообщения от вашего имени
- В том числе механизмы, которые противоречат друг другу
Несоответствия субдоменов
Если вы отправляете письма с субдомена, но для DMARC установлен режим строгой проверки (strict), субдомен не будет сопоставляться с доменом организации. Такая проблема часто возникает у организаций, которые используют разные субдомены для транзакционных и маркетинговых писем, не настроив соответствующим образом режим проверки.
Задержки распространения DNS
После внесения изменений в запись SPF распространение DNS-настроек может занять от нескольких минут до 48 часов.
В течение этого периода некоторые принимающие серверы могут по-прежнему обращаться к вашей старой записи, что может привести к временным сбоям в синхронизации, которые устраняются самостоятельно после завершения распространения изменений.
Примеры выравнивания SPF
Иногда легче понять принцип согласования SPF, рассмотрев несколько простых примеров. В зависимости от того, настроен ли DMARC на строгое или мягкое согласование, совпадение может быть точным или просто находиться в пределах одного организационного домена.
Приведенные ниже примеры показывают, как выравнивание выполняется или не выполняется в различных ситуациях.
| Сценарий | Из заголовка | Обратный канал | Строгий режим | Расслабленный режим |
|---|---|---|---|---|
| Точное совпадение | [email protected] | [email protected] | ✓ УСПЕХ | ✓ УСПЕХ |
| поддомен | [email protected] | [email protected] | ✗ НЕУДАЧА | ✓ УСПЕХ |
| Другой домен | [email protected] | [email protected] | ✗ НЕУДАЧА | ✗ НЕУДАЧА |
Как устранить ошибки выравнивания SPF
Если вы обнаруживаете ошибки в соответствии SPF в ваших отчетах DMARC, хорошая новость заключается в том, что их обычно легко исправить, как только вы определите причину. Большинство проблем сводится к ошибкам в настройках вашей записи SPF, сторонних отправителей или параметров согласования.
Ниже приведены инструкции по устранению наиболее распространённых неполадок.
Шаг 1: Проверьте свою запись SPF
Для начала проверьте свой домен отправителя с помощью проверку записи SPF , чтобы точно узнать, что там указано.
Убедитесь, что в списке указаны все IP-адреса и сторонние сервисы, которые в настоящее время отправляют сообщения от вашего имени, что синтаксис указан правильно и что вы не превышаете ограничение в десять запросов DNS.
Шаг 2: Настройте своего поставщика услуг электронной почты
Если проблема с сопоставлением адресов вызвана тем, что сторонний отправитель использует собственный домен обратного пути, обратитесь к своему поставщику услуг электронной почты и настройте использование настраиваемого обратного пути под вашим доменом.
Большинство крупных платформ поддерживают эту функцию, и для этого необходимо добавить запись записи CNAME в ваш DNS, которая указывает на серверы провайдера, сохраняя при этом ваш домен в обратном пути.
Шаг 3: Установите режим согласования DMARC
Проверьте свою запись DMARC и убедитесь, что для тега aspf установлено значение «strict» или «relaxed».
Если вы отправляете данные через субдомены или сторонние платформы, переход на менее строгий режим проверки позволит субдоменам проходить проверку соответствия без необходимости точного совпадения.
Вы можете проверить и обновить свою запись DMARC с помощью проверку записей DMARC.
Шаг 4: Рассмотрение сценариев переадресации электронной почты
Поскольку при пересылке согласованность SPF почти всегда нарушается, согласованность DKIM становится вашим основным резервным вариантом.
Убедитесь, что DKIM настроен правильно и сопоставлен с вашим доменом «От», чтобы пересылаемые письма по-прежнему проходили проверку DMARC через DKIM, даже если сопоставление SPF не удалось.
Шаг 5: Обновите запись SPF для всех источников отправки
Регулярно проверяйте и обновляйте запись SPF, чтобы она отражала все актуальные источники отправки.
Каждый раз, когда вы добавляете новую стороннюю платформу или меняете инфраструктуру рассылки, необходимо обновлять запись SPF, чтобы отразить эти изменения. Если этого не сделать, при отправке писем с неизвестных IP-адресов будут возникать ошибки проверки SPF.
Шаг 6: Дождитесь обновления DNS
После внесения каких-либо изменений в запись SPF или записи DMARC, до тестирования подождите достаточное время для распространения изменений в DNS.
Воспользуйтесь онлайн-инструментом инструмент проверки SPF , чтобы убедиться, что обновленная запись активна и правильно разрешается, прежде чем делать выводы на основе отчетов DMARC.
Как выравнивание SPF влияет на доставляемость электронной почты
Соответствие SPF напрямую влияет на то, попадают ли ваши письма в папку «Входящие» или отфильтровываются. Если SPF не совпадает с доменом отправителя, DMARC может расценить сообщение как неаутентифицированное, что повлияет на то, как с ним будут обращаться серверы-получатели. Рассмотрим это подробнее.
Размещение и отклонение спама
Письма, в которых не соблюдаются требования SPF, с большей вероятностью будут помечены как спам или отклонены серверами-получателями. Если проверка DMARC завершается с ошибкой из-за несоответствия ни SPF, ни DKIM, сервер-получатель применяет политику, указанную в вашей записи DMARC, будь то «без действий», «карантин» или «отклонение».
Письма, попадающие в папку «Спам», демонстрируют значительно более низкий показатель открываемости, снижение вовлечённости и, со временем, ухудшение репутации вашего домена как отправителя.
Ущерб репутации отправителя
Постоянные сбои при проверке соответствия SPF сигнализируют почтовым провайдерам о том, что в настройках отправки почты что-то не так.
Со временем это подрывает вашу репутацию отправителя, что сказывается как на письмах, которые не доходят до адресатов, так и на всех будущих письмах, отправляемых с вашего домена. Поврежденную репутацию отправителя восстановить сложно, и на это могут уйти недели или месяцы постоянной отправки писем с аутентификацией.
Показатель отказов растет
Когда электронные письма сразу отклоняются из-за ошибок в формате, они приводят к появлению уведомлений об отклонении.
Высокий показатель отказов усугубляет проблему доставки, еще больше ухудшая репутацию отправителя и повышая вероятность того, что будущие письма с вашего домена будут восприниматься серверами-получателями с подозрением.
Раз и навсегда решите проблемы с согласованием SPF с помощью PowerDMARC
Нарушения согласованности SPF редко устраняются самостоятельно. Если их не устранять, они незаметно наносят ущерб репутации отправителя, приводят к попаданию легитимных писем в спам и вызывают сбои DMARC, которые со временем усугубляются.
Проблема заключается в том, что для выявления проблем с согласованностью данных необходимо иметь полную картину всех источников, отправляющих информацию от вашего имени, а этого невозможно добиться с помощью разовой проверки записей.
PowerDMARC обеспечивает постоянный мониторинг соответствия SPF для всех доменов-отправителей, а также предоставляет сводные отчеты DMARC, которые преобразуют необработанные данные аутентификации в понятные и полезные аналитические выводы.
Вы сможете точно определить, какие источники не соответствуют требованиям, работает ли ваша строгая или упрощённая конфигурация так, как задумано, и где необходимо обновить запись SPF. В сочетании с инструментами PowerDMARC для управления SPF, DKIM и DMARC у вас будет всё необходимое, чтобы обеспечить правильное соответствие требованиям и поддерживать его на постоянной основе.
Начните бесплатную 15-дневную пробную версию сегодня.
Вопросы и ответы
1. Как устранить ошибку SPF?
Для начала проверьте свою запись SPF с помощью инструмента проверки записей SPF, чтобы выявить проблему. К наиболее распространённым способам устранения неполадок относятся добавление в запись отсутствующих IP-адресов или сторонних источников отправки, исправление синтаксических ошибок, а также проверка того, что вы не превышаете ограничение в десять запросов DNS.
2. Что означает сбой SPF?
Ошибка SPF означает, что принимающий почтовый сервер определил, что отправляющий сервер не уполномочен отправлять письма от имени вашего домена. Это может привести к отклонению писем, их помещению в папку «Спам» или неудачной аутентификации по протоколу DMARC, что может нарушить деловую переписку.
3. Важно ли выравнивание SPF?
Да, настройка SPF имеет решающее значение для безопасности и доставки электронной почты. Она помогает предотвратить подделку домена, гарантирует, что легитимные письма дойдут до адресатов, и поддерживает репутацию отправителя. Кроме того, она часто является обязательным требованием для соблюдения нормативных требований в таких отраслях, как финансы и здравоохранение.
4. По каким причинам может произойти сбой SPF?
Нарушения правил SPF обычно вызваны следующими причинами: отсутствие записей SPF, синтаксические ошибки, неавторизованные сторонние отправители, превышение лимитов на количество запросов DNS, наличие нескольких записей SPF, задержки в распространении DNS, а также использование строгого выравнивания в тех случаях, когда для вашей почтовой инфраструктуры было бы более целесообразно применить более мягкие настройки.
Эксперт по кибербезопасности, генеральный директор PowerDMARC
Майтем - технологический предприниматель, эксперт по кибербезопасности, генеральный директор и основатель PowerDMARC с 15-летним опытом работы в отрасли. Майтем получил степень Global MBA в Манчестерском университете и различные профессиональные сертификаты, включая CISSP, CISM, CRISC и ISC2 CCSP.
Последние сообщения Maitham Al Lawati (см. все)
- Статистика фишинга и DMARC: тенденции в области безопасности электронной почты на 2026 год — 6 января 2026 г.
- Как исправить ошибку «SPF-запись не найдена» в 2026 году — 3 января 2026 года
- SPF Permerror: как исправить слишком много DNS-запросов — 24 декабря 2025 г.
