Можно ли иметь несколько записей SPF на вашем домене? Ответ может вас удивить! Записи SPF очень важны для проверки подлинности электронной почты, но наличие более одной может навредить вашей доставляемости.
Наличие нескольких записей SPF - одна из самых распространенных ошибок SPF, с которыми сталкиваются владельцы доменов. Она может полностью аннулировать ваш SPF и привести к ошибке SPF PermError. Чтобы понять, почему это происходит, нам нужно знать, как функционирует SPF и почему наличие более одной записи SPF может вызвать проблемы с аутентификацией.
*Pro Tip: Проведите проверка записей домена сегодня, чтобы найти ошибки в конфигурации записи SPF.
Как функционируют записи SPF
Система политики отправителя или SPF это популярный протокол аутентификации электронной почты, который работает путем составления списка всех авторизованных источников отправки, которым разрешено отправлять электронные письма от имени вашего домена.
Во время SPF-проверки принимающие MTA выполняют DNS-запросы, или DNS-поиски, чтобы проверить адрес обратного пути вашего письма, сопоставив его со списком IP-адресов, указанных в вашей SPF-записи. Если совпадение найдено, письмо проходит SPF, в противном случае SPF не проходит.
Следовательно, настройка SPF - это простая публикация записи DNS TXT, которая начинается с синтаксиса "v=spf1".
Миф о нескольких записях SPF
Хотя некоторые сервисы могут предложить добавить отдельные записи SPF, на самом деле домен может иметь только одну запись SPF. Это связано с тем, что стандарт SPF (RFC 4408) строго запрещает иметь несколько.
При проверке SPF встреча нескольких записей приводит к ошибке "PermError", что, по сути, сбивает с толку принимающий сервер.
Когда принимающий MTA начинает выполнять SPF-аутентификацию электронной почты, он проверяет все TXT-записи DNS, которые начинаются с "v=spf1". Если SPF не настроен для домена-отправителя и в DNS не найдено ни одной записи SPF, возвращается результат None. Напротив, если для одного и того же домена обнаружено несколько записей SPF, начинающихся с "v=spf1", будет выдано сообщение SPF PermError возвращается результат PermError.
Проблема с несколькими записями SPF
Использование SPF-записи multiple include или просто наличие нескольких SPF-записей для одного домена может привести к серьезным последствиям, таким как:
- Письма попадают в папки со спамом
- Письма полностью отклоняются
Это очень распространенная проблема. Несколько отчетов по анализу доменов PowerDMARC показали, что одной из самых распространенных ошибок владельцев доменов является наличие более 1 SPF-записи на домен. Эта ошибка способствует одной из основных причин наличия ошибочных конфигураций SPF.
Пример нескольких записей SPF
Ниже приведен пример нескольких отдельных записей SPF, опубликованных для одного и того же домена.
Не в ту сторону:
| ТИП ЗАПИСИ | ИМЯ ДОМЕНА | РЕКОРДНАЯ СТОИМОСТЬ | TTL |
|---|---|---|---|
| TXT | exampledomain.com | v=spf1 include:_spf.zoho.com -all | стандартный |
| TXT | exampledomain.com | v=spf1 include:_spf.google.com -all | стандартный |
В этом примере для домена exampledomain.com в DNS домена были опубликованы 2 отдельные записи SPF DNS TXT. В этом случае SPF-аутентификация не проходит с постоянным результатом ошибки, возвращаемым для вашего домена. Каждая из этих записей рассматривается как отдельная, что приводит к появлению нескольких SPF-записей на одном домене.
Правильный путь:
| ТИП ЗАПИСИ | ИМЯ ДОМЕНА | РЕКОРДНАЯ СТОИМОСТЬ | TTL |
|---|---|---|---|
| TXT | exampledomain.com | v=spf1 include:_spf.zoho.com include:_spf.google.com -all | стандартный |
В этом примере домен exampledomain.com имеет только одну запись SPF DNS TXT вместо нескольких записей SPF. Это достигается путем добавления механизмов SPF multiple include в одну запись. Запись действительна, и SPF не вернет результат PermError в этом случае.
*Pro Tip: Узнайте, как оптимизировать SPF записи правильным образом, чтобы избежать ошибок SPF-записей в будущем.
Как решить проблему с несколькими записями SPF?
Исправить ошибку с несколькими записями SPF легко с помощью PowerDMARC! Выполните следующие шаги, чтобы правильно настроить SPF multiple includes для вашего домена:
Шаг 1: Подтверждение ошибки SPF Multiple Records
Первый шаг - проверка наличия множественных записей SPF. Зарегистрируйтесь на PowerDMARC бесплатно и используйте наш инструмент генератора SPF-записей, чтобы подтвердить наличие этой ошибки.
Кроме того, вы можете вручную найти свою запись в DNS. Если вы используете хостинг-провайдера DNS, например Cloudflare, CloudDNS, DNS Made Easy, Namecheap или других, процесс не будет одинаковым для каждого провайдера. Тем не менее, как правило, все шаги сводятся к тому, чтобы войти в консоль управления DNS, открыть редактор зон DNS и нажать на Manage Domains (Управление доменами). Вы сможете найти записи DNS для SPF в зоне DNS вашего домена.
Шаг 2: Удаление нескольких записей SPF для одного домена
Если ваш домен содержит несколько записей SPF, самое время отредактировать записи DNS и удалить все записи, кроме одной. Убедитесь, что для каждого домена осталась одна запись SPF.
Шаг 3: Объединение записей SPF
Наконец, отредактируйте оставшуюся одну запись SPF, чтобы объединить несколько записей. Это простой способ исправить ошибку и одновременно включить несколько записей SPF в одну запись.
- Введите консоль управления DNS
- Нажмите кнопку Редактировать запись SPF
- В синтаксисе используйте механизм SPF "include", чтобы включить несколько доменов, которые вы хотите авторизовать. Ниже приведен пример объединения SPF-записей в одну:
Вы можете продолжать добавлять дополнительные "includes" в ту же запись SPF для авторизации всех ваших сторонних сервисов. После этого обязательно сохраните запись в DNS.
Примечание: Вместо политики внедрения (-all) вы можете настроить (~all) для более мягкого и гибкого подхода при сбое SPF.
Шаги по добавлению нескольких записей SPF
Если вы используете несколько поставщиков электронной почты для одного домена, настройка нескольких отдельных SPF-записей - это неправильный способ настроить SPF для них. Вместо этого нужно сделать вот что:
1. PowerDMARC поможет вам легко добавить несколько SPF-записей для вашего домена. Используйте наш инструмент генератора SPF-записей для создания бесплатной записи.
2. В поле "Авторизация доменов или сторонних служб, отправляющих электронную почту от имени этого домена" введите всех сторонних поставщиков. которых вы хотите авторизовать. Это важный шаг для объединения записей SPF.
3. Скопируйте и вставьте в DNS одну сгенерированную SPF-запись, содержащую несколько SPF-записей для ваших авторизованных отправителей. Сохраните запись.
Проблема с SPF-записью с несколькими включениями
Включать SPF несколько раз - не всегда правильный подход. Хотя объединение записей SPF таким образом помогает избавиться от ошибки SPF multiple records, это может привести к другим ошибкам. Каждый поставщик услуг электронной почты добавляет поиск DNS во время проверки подлинности SPF. Наличие нескольких включений в SPF-записи равнозначно количеству поисков. Однако в RFC указано, что максимальное число просмотров для SPF составляет 10.
Превышение предела поиска SPF 10 может также вернуть SPF ошибку и прерывание SPF.
Чтобы не превышать лимит в 10 DNS-поисков для SPF:
- Вы можете вручную сгладить запись SPF. Однако ручное выравнивание с перебором всех IP-адресов за вашим механизмом включения может привести к длинной записи, которая может превысить ограничение на строку символов для SPF.
- Или вы можете выбрать Макросы SPF. Макросы помогут вам не превысить ограничения на длину поиска и символов.
Чтобы избежать многочисленных SPF-записей и других распространенных ошибок, используйте решение PowerDMARC для хостинга SPF. Мы интегрируем макросы в ваши SPF-записи, чтобы гарантировать вам безошибочный SPF, оптимизированный и обновленный.
Кроме того, вы можете настроить наш DMARC Analyzer для настройки DMARC для ваших доменов. DMARC помогает защититься от фишинговых атак, подмены и злоупотребления доменами.
Заключительные слова
Наличие одной правильно настроенной записи SPF необходимо для оптимальной доставки электронной почты. В этом блоге мы рассказали, как можно объединить записи SPF в одну для безошибочной настройки SPF. Хотя SPF - это отличный первый шаг, рассмотрите другие методы аутентификации электронной почты, такие как DKIM и DMARC, для еще более надежной защиты.
Чтобы узнать больше о подобных решениях по обеспечению безопасности доменов и упрощению защиты вашей электронной почты, - свяжитесь с нами уже сегодня!
- Как найти лучшего поставщика решений DMARC для вашего бизнеса? - 25 апреля 2024 г.
- PowerDMARC и Zendata заключили партнерство для повышения безопасности доменов - 25 апреля 2024 г.
- PowerDMARC сотрудничает с CNS для развития практики безопасности электронной почты на Ближнем Востоке - 24 апреля 2024 г.