Ограничения SPF-записей: Понимание ограничений SPF при аутентификации электронной почты

Ваша запись SPF может незаметно снижать доставляемость вашей электронной почты, и вы никогда не узнаете об этом, просто посмотрев на нее.

SPF, или Sender Policy Framework, — это один из основных протоколов аутентификации электронной почты, используемый для предотвращения подделки доменов и фишинговых атак. Но каждый раз, когда вы добавляете нового поставщика услуг электронной почты, маркетинговую платформу или сторонний инструмент, ваша запись SPF увеличивается, а вместе с ней и количество DNS-запросов, необходимых для ее проверки.

В этом руководстве подробно описаны ограничения SPF, о которых вам необходимо знать, объясняется, почему существует ограничение на 10 DNS-запросов, и рассказывается, как обнаруживать, устранять и предотвращать сбои SPF, прежде чем они нанесут ущерб репутации вашего домена.

Что такое SPF и как он работает?

SPF — это протокол аутентификации электронной почты , предназначенный для защиты вашего домена от использования для подделки электронной почты. Он работает путем указания почтовых серверов, которые имеют право отправлять электронные письма от имени вашего домена, и дает принимающим серверам возможность проверить, является ли входящее сообщение легитимным.

Как работает аутентификация SPF

Запись SPF — это запись DNS TXT , используемая для выполнения процесса аутентификации электронной почты.

Когда вы публикуете запись SPF для своего домена, вы фактически сообщаете всему миру, какие IP-адреса и почтовые серверы имеют право отправлять электронные письма с использованием вашего доменного имени. Вот что происходит при отправке электронного письма:

• Получающий сервер проверяет адрес обратного пути отправителя и ищет запись SPF для этого домена.
• Сервер оценивает запись SPF, чтобы определить, соответствует ли IP-адрес отправителя авторизованным IP-адресам, указанным в списке.
• Если IP-адрес отправителя совпадает, электронное письмо проходит проверку SPF.
• Если они не совпадают, электронное письмо не проходит проверку SPF, и принимающий сервер обрабатывает его в соответствии с политикой SPF домена и конфигурации DMARC.

SPF позволяет серверу получателя проверить, действительно ли электронное письмо пришло от источника, за который оно себя выдает. Это делает его важной первой линией защиты от подделки и ключевым компонентом для достижения соответствия DMARC.

Что такое ограничение на поиск DNS SPF 10?

Спецификация SPF устанавливает строгий предел на количество DNS-запросов, которые могут быть выполнены за одну проверку.

Политика SPF не может содержать более 10 терминов, для оценки которых требуется дополнительный поиск DNS. Сюда входят любые поиски, запускаемые механизмами, такими как «include», «a», «mx», «ptr» и модификатор «redirect».

Что учитывается при расчете лимита

Записи SPF используют комбинацию механизмов и модификаторов для определения серверов, уполномоченных отправлять электронную почту для вашего домена.

Некоторые из них требуют от получающего почтового сервера выполнения дополнительных DNS запросов для их разрешения, и каждый запрос учитывается в пределе в 10 DNS-запросов. Механизмы и модификаторы, требующие DNS-запросов, включают:

• include — запускает поиск записи SPF другого домена, а также любых вложенных поисков внутри него
• a — требует DNS-запроса для разрешения записей A или AAAA для указанного домена
• mx — требует DNS-запроса для разрешения записи MX, а затем дополнительных запросов для разрешения IP-адресов каждого из перечисленных почтовых серверов
• ptr — требует DNS-запроса ptr для выполнения обратного поиска и настоятельно не рекомендуется из-за своей ненадежности и возможности вызвать несколько дополнительных поисков.
• перенаправление — запускает поиск записи SPF перенаправленного домена
• существует — требует DNS-запроса для проверки, разрешается ли конкретный домен

Если запись SPF содержит много механизмов, особенно вложенных включений, она может быстро превысить ограничение в 10 DNS-поисков.

Что не учитывается при расчете лимита

Следующие механизмы и элементы не учитываются в пределе 10 запросов:

• ip4 и ip6 — они напрямую указывают авторизованные IP-адреса, не требуя дополнительного разрешения DNS.
• все — механизм catch-all в конце записи не требует поиска
• Первоначальный DNS-запрос для самой записи политики SPF — DNS-запрос для извлечения записи SPF TXT из DNS домена не учитывается при расчете лимита
• v=spf1 — тег версии, который идентифицирует запись как SPF

Использование механизмов ip4 или ip6 в записях SPF не требует дополнительных поисков и может помочь остаться в пределах лимита. Именно поэтому замена механизмов, требующих большого количества поисков, прямыми IP-ссылками является одной из наиболее эффективных стратегий оптимизации.

Почему существует ограничение на поиск SPF 10

Ограничение в 10 запросов DNS может показаться слишком строгим, особенно для организаций, использующих несколько поставщиков услуг электронной почты, но оно существует по важным соображениям безопасности и производительности.

Предотвращение атак типа «отказ в обслуживании»

Ограничение в 10 дополнительных запросов введено для предотвращения необоснованной нагрузки на DNS и атак типа «отказ в обслуживании» (DoS).

Без этого ограничения злоумышленник мог бы создать запись SPF с сотнями вложенных включений, вынуждая каждый почтовый сервер, обрабатывающий электронную почту от этого домена, выполнять огромное количество DNS-запросов. Это могло бы перегрузить DNS-серверы и ухудшить производительность всего Интернета.

Обеспечение своевременной обработки электронной почты

Каждый поиск DNS во время проверки SPF увеличивает задержку в процессе доставки электронной почты. Если бы записям SPF было разрешено неограниченное количество поисков, время, необходимое для проверки SPF, могло бы значительно увеличиться, что привело бы к таймаутам запросов DNS и временным проблемам с DNS-сервером.

Ограничение на 10 запросов гарантирует, что проверки SPF могут выполняться быстро и надежно, не создавая узких мест в доставке электронной почты.

Поддержание стабильности DNS

Инфраструктура DNS является общим ресурсом. Разрешение неограниченных запросов во время аутентификации SPF создаст чрезмерную нагрузку на рекурсивные резолверы и авторитетные серверы имен, особенно для отправителей с большим объемом данных.

Это ограничение защищает более широкую экосистему DNS, позволяя контролировать объем запросов, связанных с SPF.

Что происходит, когда вы превышаете лимит поиска SPF

Превышение лимита поиска SPF приводит не только к незначительному предупреждению. Это вызывает серьезную ошибку, которая может напрямую повлиять на то, дойдут ли ваши электронные письма до почтовых ящиков получателей.

SPF PermError и сбой проверки

Когда реализация SPF на принимающем почтовом сервере обнаруживает более 10 механизмов запроса DNS или модификаторов в записи SPF домена отправителя, она возвращает «SPF PermError: too many DNS lookups» (Ошибка SPF: слишком много запросов DNS).

Согласно спецификации SPF, если при оценке политики SPF получатель превышает лимит поиска DNS, он должен отказать в проверке SPF для этого сообщения с ошибкой permerror.

Это означает, что электронное письмо не просто получает «мягкий» отказ или нейтральный результат. Оно получает постоянную ошибку, которая сообщает принимающему серверу, что запись SPF не может быть оценена вообще.

Влияние на DMARC и доставляемость электронной почты

Если ваша политика DMARC установлена на карантин или отклонение, электронные письма, которые вызывают SPF PermError, могут быть отправлены в спам или полностью заблокированы.

Превышение лимита запросов SPF влияет на доставляемость электронной почты, снижая вероятность попадания писем в основной почтовый ящик адресатов. Со временем повторяющиеся сбои SPF могут также повредить репутации вашего домена, затрудняя доставку даже легитимных писем.

Другие причины SPF PermError

Хотя превышение лимита в 10 DNS-запросов является наиболее распространенной причиной ошибки SPF PermError, это не единственная причина. Ошибка SPF PermError также может возникнуть в следующих случаях:

• Запись запись SPF содержит синтаксические ошибки, которые мешают ее правильной интерпретации
• Для одного домена публикуется несколько записей SPF, что нарушает спецификацию SPF.
• В записи используются устаревшие или неподдерживаемые механизмы.
• Циклический включает создание бесконечного цикла в цепочке поиска

Любая из этих проблем может привести к сбою SPF и недоставке писем, поэтому важно регулярно проверять всю конфигурацию SPF.

Как проверить, не превышает ли ваша запись SPF установленный лимит

Определение того, превышает ли ваша запись SPF лимит в 10 DNS-запросов, является первым шагом к устранению проблем с доставкой. Существует несколько способов проверить запись SPF и подтвердить текущее количество запросов.

Используйте диагностический инструмент SPF

Использование диагностического инструмента SPF может помочь проверить, что запись SPF действительна и функционирует правильно. Эти инструменты анализируют вашу запись SPF, подсчитывают каждый поиск DNS, включая вложенные включения, и отмечают любые ошибки или предупреждения.

Бесплатный инструмент проверки записей SPF от PowerDMARC позволяет мгновенно увидеть общее количество запросов, определить, какие механизмы потребляют больше всего запросов, и обнаружить неправильные настройки, прежде чем они вызовут проблемы с доставкой.

Вручную отслеживайте свою запись SPF

Если вы предпочитаете самостоятельно проверять запись SPF, вы можете вручную подсчитать количество DNS-запросов, проходя по каждому механизму в записи.

Начните с записи SPF TXT вашего домена и подсчитайте все механизмы «include», «a», «mx», «ptr», «redirect» и «exists». Затем для каждого «include» найдите запись SPF указанного домена и подсчитайте механизмы, вызывающие поиск.

Вложенные вложения быстро накапливаются, поэтому организации, которые используют несколько поставщиков услуг электронной почты, часто превышают лимит, не осознавая этого.

Мониторинг проверки SPF с течением времени

Записи SPF не являются статическими. При добавлении или удалении поставщиков услуг электронной почты, изменении хостинговой среды или обновлении инфраструктуры электронной почты записи SPF также изменяются. Рекомендуется проверять записи SPF после внесения изменений, чтобы обеспечить соблюдение ограничения в 10 запросов.

Настройка постоянного мониторинга через платформу PowerDMARC обеспечивает постоянный контроль над конфигурацией SPF и предупреждает вас, когда изменения выводят вашу запись за пределы допустимого диапазона.

Как исправить и оптимизировать запись SPF

Если ваша запись SPF превышает или приближается к пределу в 10 DNS-запросов, вы можете предпринять несколько практических шагов, чтобы уменьшить количество запросов без ущерба для охвата аутентификации электронной почты.

Удалите неиспользуемые или ненужные службы

Самый простой способ оптимизации — проверить запись SPF и удалить все механизмы, которые ссылаются на службы, которые вы больше не используете.

Со временем организации добавляют в свою запись SPF поставщиков услуг электронной почты, маркетинговые платформы и сторонние инструменты, но забывают удалять их, когда они больше не используются.

Чтобы сократить количество необходимых запросов, организациям следует удалить неиспользуемые службы из своих SPF-записей. Это также означает удаление значений SPF по умолчанию, которые были добавлены во время первоначальной настройки, но в настоящее время не используются.

Заменить механизмы, требующие интенсивного поиска, на ip4 или ip6

Каждый механизм «include», «a» и «mx» требует как минимум одного DNS-поиска. По возможности замените их механизмами ip4 или ip6, которые напрямую указывают авторизованные IP-адреса. Использование механизмов ip4 или ip6 в записях SPF не требует дополнительных поисков и может помочь соблюдать ограничение на количество поисков.

Например, если запись SPF поставщика услуг электронной почты разрешается в известный набор статических IP-адресов, вы можете перечислить эти IP-адреса напрямую, а не использовать «include», который запускает несколько DNS-запросов.

Избегайте механизма ptr

Использование механизма ptr настоятельно не рекомендуется, так как это может привести к увеличению количества необходимых поисков, что в свою очередь приведет к проблемам с постоянными ошибками.

Механизм ptr выполняет обратный DNS-поиск для каждого подключающегося IP-адреса, что является медленным и ненадежным. Сама спецификация SPF не рекомендует его использовать. Если ваша запись SPF в настоящее время включает механизм ptr, удалите его и замените прямыми IP-ссылками.

Минимизировать использование механизма mx

Избегание использования механизма mx в записях SPF может помочь остаться в пределах лимита 10 DNS-поисков. Механизм mx сначала разрешает запись MX домена, а затем выполняет дополнительные поиски, чтобы разрешить IP-адрес каждого перечисленного почтового сервера.

Если ваш домен имеет несколько записей MX, один механизм «mx» может потребовать несколько поисков. По возможности замените его записями ip4 или ip6 для ваших почтовых серверов.

Консолидировать включить отчеты

Если в вашей записи SPF есть несколько механизмов «include», указывающих на связанные службы, проверьте, можно ли их объединить.

Некоторые поставщики услуг электронной почты используют совместную инфраструктуру, что означает, что вы можете выполнять избыточные поиски. Просмотрите каждое включение, чтобы определить, по-прежнему ли оно необходимо и можно ли напрямую ссылаться на базовые IP-адреса.

Проверяйте после каждого изменения

Проверка записей SPF после внесения изменений необходима для обеспечения соответствия ограничению в 10 запросов.

Даже небольшое изменение, такое как добавление одного нового «include» для маркетинговой платформы, может привести к превышению лимита вашей записи, если оно вызывает вложенные поиски. После каждого обновления пропускайте свою запись через диагностический инструмент SPF, чтобы убедиться, что она остается действительной.

Сглаживание записей SPF: что это такое и когда его использовать

Уплощение записей SPF — это метод, используемый для оптимизации записей SPF с целью преодоления ограничения в 10 DNS-запросов для SPF. Это одно из наиболее обсуждаемых решений для организаций со сложной инфраструктурой электронной почты, но оно сопряжено с компромиссами, которые важно понимать.

Как работает уплощение записей SPF

Уплощение записей SPF заменяет механизмы, вызывающие поиск в записи SPF, соответствующими IP-адресами или диапазонами CIDR, что сокращает количество DNS-запросов, необходимых для проверки записи SPF.

Вместо того, чтобы включать ссылку типа «include:emailprovider.com», которая запускает один или несколько DNS-поисков, вы преобразуете эту ссылку в базовые IP-адреса и указываете их непосредственно в своей записи, используя механизмы ip4 или ip6.

Например, если «include:emailprovider.com» преобразуется в три IP-адреса, при сглаживании оператор include заменяется этими тремя записями ip4. Проверка SPF теперь возвращает тот же результат без необходимости дополнительных DNS-запросов для этого провайдера.

Когда выравнивание помогает

Упрощение записи SPF может уменьшить количество механизмов и модификаторов DNS-запросов, чтобы их количество было меньше 10. Это особенно полезно в следующих случаях:

• Ваш домен отправляет электронные письма через множество сторонних сервисов, и только количество включений превышает 10.
• Вы уже удалили неиспользуемые службы и по возможности объединили их, но все еще превышаете лимит.
• Вам нужен быстрый способ привести ваши записи в соответствие с требованиями при планировании долгосрочной стратегии оптимизации.

Риски ручного выравнивания

Хотя упрощение записей SPF решает проблему ограничения поиска, оно создает сложности с обслуживанием. Базовые IP-адреса ваших поставщиков услуг электронной почты могут изменяться без предварительного уведомления.

Если провайдер добавляет, удаляет или меняет IP-адреса, а ваша упрощенная запись по-прежнему ссылается на старые адреса, легитимные электронные письма, отправленные с новых IP-адресов, не пройдут проверку SPF.

Ручное обслуживание упрощенной записи SPF требует постоянного мониторинга, чтобы обеспечить актуальность перечисленных IP-адресов. Именно поэтому ручное упрощение, как правило, не рекомендуется в качестве долгосрочного решения для организаций с динамичной инфраструктурой электронной почты.

Другие ограничения записей SPF, о которых следует знать

Ограничение на 10 DNS-запросов является наиболее известным ограничением SPF, но не единственным. Владельцы доменов должны знать об этих дополнительных ограничениях записей SPF, чтобы избежать неожиданных сбоев аутентификации.

Только одна запись SPF на домен

Спецификация SPF требует, чтобы каждый домен публиковал только одну запись SPF TXT.

Если запись SPF содержит несколько записей SPF для одного домена, это может привести к ошибке SPF PermError, и принимающий сервер может отклонить или неправильно обработать электронное письмо. Если вам необходимо авторизовать дополнительных отправителей, добавьте их в существующую запись SPF, а не создавайте вторую.

SPF проверяет обратный путь, а не адрес отправителя.

SPF аутентифицирует домен в адресе обратного пути, а не в поле «От», которое видит получатель. Это означает, что злоумышленник может подделать адрес «От», проходя SPF, используя другой домен обратного пути.

DMARC устраняет этот пробел, требуя совпадения или согласования между доменом поля «От», читаемым человеком, и доменом, аутентифицированным SPF.

Ограничение длины строки в 255 символов

Хотя запись SPF может содержать более 255 символов, одна запись запись DNS TXT ограничена 255 символами. Более длинные записи SPF необходимо разделить на несколько строк в пределах одной записи TXT.

Большинство провайдеров DNS обрабатывают это автоматически, но неправильно настроенные разделения могут вызвать ошибки разбора.

Лимит поиска пустых значений

В дополнение к ограничению в 10 DNS-запросов, спецификация SPF также ограничивает количество «недействительных запросов», то есть DNS-запросов, которые не возвращают никаких записей (либо пустой ответ, либо ответ NXDOMAIN).

Превышение этого предела, который обычно составляет два недействительных запроса, также может вызвать ошибку SPF PermError.

Отсутствие защиты для пересланных электронных писем

При пересылке электронного письма IP-адрес отправителя меняется на IP-адрес сервера пересылки, который вряд ли будет указан в записи SPF исходного отправителя. Это приводит к тому, что пересланное электронное письмо не проходит проверку SPF, даже если оно изначально было легитимным.

Оптимизируйте свои записи SPF с помощью PowerDMARC

SPF необходим для аутентификации электронной почты, но его встроенные ограничения могут незаметно подрывать доставляемость вашей почты, если их не контролировать. Одно дополнительное «include» или упущенный устаревший механизм может вывести вашу запись за пределы лимита в 10 DNS-запросов, что приведет к сбоям SPF и блокированию доставки легитимных писем вашим получателям.

PowerDMARC упрощает управление SPF.

С автоматизированным сглаживанием SPF, мониторингом поиска в реальном времени, мгновенными оповещениями об ошибках и полным набором инструментов для SPF, DKIM, DMARCи BIMI, PowerDMARC помогает вам оставаться в пределах лимита поиска и всегда поддерживать чистую конфигурацию аутентификации.

Не позволяйте ограничениям SPF незаметно повредить доставку ваших писем. Свяжитесь с нами сегодня!

Часто задаваемые вопросы

1. Что произойдет, если моя запись SPF превысит ограничение в 10 DNS-запросов?

Когда ваша запись SPF превышает ограничение в 10 DNS-запросов, принимающий почтовый сервер возвращает результат «Permerror». Это приводит к сбою аутентификации SPF, в результате чего ваши легитимные электронные письма могут быть отклонены, помечены как спам или доставлены с пониженной репутацией.

2. Как я могу проверить, сколько DNS-запросов использует моя запись SPF?

Вы можете использовать онлайн-инструменты проверки SPF, такие как бесплатный SPF-чекер PowerDMARC, для анализа вашей записи и подсчета DNS-запросов. Эти инструменты покажут вам, какие именно механизмы вызывают запросы, и помогут определить возможности для оптимизации. Вы также можете вручную проследить свою запись SPF, подсчитав каждый механизм «include», «a», «mx» и «ptr».

3. Каковы лучшие практики для поддержания записи SPF в пределах лимита поиска?

Лучшие практики включают: регулярную проверку записи SPF для удаления неиспользуемых служб, использование IP-адресов вместо включений, где это возможно, избегание механизмов «a» и «mx», если это не необходимо, объединение нескольких почтовых служб, внедрение упрощения SPF для сложных настроек и мониторинг записи SPF, которая предупреждает вас об изменениях в количестве запросов.

• О сайте
• Последние сообщения

Ахона Рудра

Эксперт по безопасности доменов и электронной почты в PowerDMARC

Аона - менеджер по маркетингу в PowerDMARC, имеет более чем 5-летний опыт написания статей на темы кибербезопасности, специализируясь на безопасности доменов и электронной почты. Ахона получила диплом о высшем образовании по специальности "Журналистика и коммуникации", а с 2019 года начала работать в сфере безопасности.

Последние сообщения Ахона Рудра (см. все)

• Репутация IP-адреса или репутация домена: что поможет вам попасть в папку «Входящие»? - 1 апреля 2026 г.
• Мошенничество со страховыми выплатами начинается в почтовом ящике: как поддельные письма превращают рутинные страховые процедуры в кражу выплат - 25 марта 2026 г.
• Правило FTC о мерах безопасности: нужен ли вашей финансовой компании протокол DMARC? - 23 марта 2026 г.