Макросы SPF - все, что нужно знать

Макросы SPF - это последовательности символов, которые могут быть использованы для упрощения записи SPF путем замены механизмов, определенных в данной DNS-записи.

Макросы SPF - это эффективная и важная функция Sender Policy Framework, которая используется в тех случаях, когда владельцам доменов требуется более динамичная и масштабируемая запись SPF для проверки подлинности их почтовых доменов. Функция SPF-макросов является частью синтаксис записи SPFопределяя последовательности символов, которые заменяются метаданными отдельных писем, требующих проверки SPF. Это, в свою очередь, позволяет создавать упрощенные SPF-записи, избегая генерации длинных и сложных SPF-записей.

В отличие от традиционных решений, PowerSPF предлагает автоматическую поддержку макросов, выравнивание SPF в режиме реального времени и специальные рекомендации экспертов, которым доверяют более 2000 организаций по всему миру.

Чтобы узнать больше, вы можете посетить официальный документ IETF.

Что такое макросы SPF?

Макросы SPF — это последовательности символов, которые можно использовать для упрощения настройки записи SPF путем замены механизмов, определенных в указанной записи SPF записи DNS TXT, как объясняется в RFC 7208, раздел 7.

SPF-записи в основном просты, и инструкции для серверов-получателей по обработке нелегитимных писем, приходящих с вашего домена, могут быть заложены с помощью механизмов SPF, квалификаторов и модификаторов. Однако бывают ситуации, когда механизмов SPF недостаточно, и приходится прибегать к помощи SPF-макросов. 

Макросы SPF обозначаются знаком процента (%) и включают в себя комбинацию из двух или более букв, модификаторов и разделителей. В процессе аутентификации SPF макросы SPF оцениваются и заменяются соответствующими значениями.

Например, %s и %d обозначают соответственно адрес отправителя и доменное имя, связанное с проверяемой личностью. 

Модификаторы типа r,l или o применяются для извлечения определенных элементов адреса или домена, а разделители типа - или . помогают разделить различные элементы внутри макроса.

Понимание роли SMTP в макросах SPF

Чтобы полностью понять макросы SPF, необходимо понимать, как они взаимодействуют с SMTP (Simple Mail Transfer Protocol), базовым протоколом для передачи электронной почты.

Переменные SMTP в макросах SPF

• Sender IP Address: Retrieved from the SMTP connection (%{i} macro)
• HELO/EHLO Hostname: Captured during SMTP handshake (%{h} macro)
• Envelope Sender: From the MAIL FROM command (%{s} macro)
• Domain Information: Extracted from various SMTP headers (%{d} macro)

Этот динамический подход позволяет макросам SPF проверять источники отправки в режиме реального времени на основе фактических данных SMTP-транзакций, что делает их особенно ценными для организаций со сложной инфраструктурой электронной почты.

Типы макросов SPF

Макросы SPF обозначаются различными одиночными буквами или символами, заключенными в фигурные скобки { } и дополненными знаком процента (%), которые относятся к определенным механизмам в вашей SPF-записи. Вот основные макросы.

Существует еще множество макросов, которые можно задать в записи, однако мы перечислили некоторые наиболее распространенные из них.

Как работают макросы SPF?

С помощью SPF-макросов владельцы доменов могут указывать ссылки на определенные механизмы в своей SPF-записи, тем самым заменяя эти механизмы. При DNS-запросе со стороны принимающего MTA ссылки используются для извлечения механизмов и расширения записи, что позволяет создавать более управляемые и адаптируемые SPF-записи.

Ниже приведен пример макросов, используемых в SPF-записи.

“v=spf1 include:%{i}_.%{d}._spf.powerdmarc.com ~all”

• Здесь include: механизм содержит макросы SPF.
• Существует два макроса SPF, каждый из которых представлен последовательностью символов, состоящей из знака процента, левой фигурной скобки, буквы макроса и правой фигурной скобки. В приведенном примере %{i} обозначает IP-адрес отправителя, а %{d} - домен отправителя из команды 'MAIL FROM'.
• Если считать IP-адрес 192.168.1.100 IP-адресом домена-отправителя, то при отправке письма с этого IP-адреса сервер-получатель инициирует DNS-запрос для поиска DNS-записи SPF домена
• Когда получатель просматривает SPF-запись домена-отправителя, он сталкивается с SPF-макросами, которые впоследствии подставляются в соответствующие значения.
• Затем эта расширенная SPF-запись рассматривается для определения того, удалось ли письму пройти проверку SPF или оно не прошло ее. 

Когда используются макросы в SPF-записи?

Макросы SPF могут использоваться в различных сценариях в зависимости от потребностей владельцев доменов. Они могут пригодиться, если вы хотите упростить сложную инфраструктуру аутентификации электронной почты, используете несколько сторонних служб обработки электронной почты или просто хотите уменьшить размер SPF-записи.

Ниже приведены некоторые типичные случаи, когда SPF-макросы могут оказаться полезными:

Организации с многодоменной инфраструктурой

Организации корпоративного уровня, управляющие несколькими доменами, являются наиболее подходящими пользователями макросов SPF, хотя они могут использоваться организациями любого размера. Макросы обеспечивают значительно большую гибкость и эффективную оптимизацию записей SPF по сравнению с традиционными методами упрощения, чтобы гарантировать бесперебойную работу SPF даже в многодоменных средах. Это также избавляет вас от необходимости создавать несколько записей SPF.

Для поставщика медицинских услуг, управляющего несколькими доменами для разных клиник, макросы оптимизируют управление SPF во всей сети.

Крупные инфраструктуры электронной почты

Компаниям со сложной почтовой инфраструктурой может потребоваться включение нескольких механизмов SPF, оптимизировать которые лучше всего с помощью макросов SPF. Эти макросы позволяют определить ссылки на механизмы, гарантируя, что запись не будет слишком длинной и останется в рамках RFC-спецификации 512 октетов.

Услуги третьих лиц

Организации, использующие несколько сторонних поставщиков электронной почты, теперь могут быть уверены, что SPF не нарушится, благодаря включению макросов SPF, которые облегчают оптимизацию сторонних компонентов, а также гарантируют, что ваша запись не превысит допустимых пределов для DNS и поиска пустоты.

Организации решают проблемы SPF с помощью макросов SPF

Вы можете включить в запись несколько SPF-макросов и избавиться от типичных проблем, выявляемых при проверке SPF вручную или с помощью программы SPF-чекер. Вот что можно сделать в этом случае:

1. Предотвращение длинных SPF-записей, вызывающих темперрор

Если ваша запись SPF содержит несколько include: , это может предотвратить чрезмерное удлинение вашей записи. Однако это не является постоянным решением. Используя макросы SPF в настройках SPF вашего домена настройке SPFвы исключите вероятность превышения вашей записью предельной длины, указанной в RFC для записей DNS TXT (512 символов).

2. Ограничение поиска DNS и пустоты и снижение уровня пермерора

Организации, использующие несколько сторонних источников отправки и поставщиков электронной почты, склонны превышать ограничения на поиск DNS-запросов, указанные в RFC. Это связано с тем, что каждый поставщик добавляет как минимум 1 или несколько поисков. Это может накапливаться и приводить к нарушению вашей записи SPF, что приводит к ошибке SPF permerror.

Использование SPF-макросов для добавления ссылок на IP-адреса или домены этих внешних поставщиков позволяет ограничить неавторизованные источники, не выходя за рамки ограничений на поиск.

Как тестировать и устранять неполадки макросов SPF

Тестирование макросов SPF имеет решающее значение для обеспечения их правильной работы в вашей почтовой инфраструктуре. Ниже приведен пошаговый подход к проверке и устранению неполадок при внедрении макросов SPF.

Пошаговый контрольный список для тестирования

1. Используйте онлайн-валидаторы SPF: проверьте свою запись SPF с помощью макросинтаксиса, используя такие инструменты, как SPF-проверка PowerDMARC.
2. Тестирование DNS-поиска: используйте инструменты командной строки, такие как nslookup или dig, для проверки расширения макросов.
3. Отправка тестовых писем: отправляйте письма из разных источников и проверяйте заголовки аутентификации.
4. Мониторинг отчетов DMARC: просмотр отчетов об ошибках аутентификации SPF
5. Проверьте заголовки электронных писем: изучите заголовки Authentication-Results для результатов SPF.

Распространенные проблемы и их устранение

1. Синтаксические ошибки: неверное форматирование макроса или отсутствующие фигурные скобки
2. Разрешение DNS: расширение макросов, приводящее к несуществующим доменам
3. Ограничения поиска: превышение лимита в 10 DNS-запросов даже с макросами
4. Ограничения по количеству символов: расширенные макросы, создающие чрезмерно длинные записи DNS

Рекомендуемые инструменты для тестирования

• PowerDMARC SPF Checker – комплексная проверка SPF
• Инструменты командной строки: dig, nslookup, host
• Анализаторы заголовков электронных писем для проверки результатов аутентификации

Использование макросов в настройках SPF с помощью PowerSPF

Макросы SPF широко поддерживаются MTA, что обеспечивает динамичность и масштабируемость в плане аутентификации SPF, создания записей и управления. PowerSPF легко интегрирует макросы SPF, чтобы наши клиенты могли создавать записи SPF с большей гибкостью. 

Почему сглаживания SPF-записи недостаточно?

Традиционное метод упрощения SPF оказывается эффективным в большинстве случаев, когда речь идет о небольших и средних организациях с более простыми настройками и меньшим количеством механизмов SPF. Однако ситуация может постепенно усложняться по мере увеличения количества механизмов, что приводит к следующим неблагоприятным ситуациям: 

• Количество DNS-поисков может достигать 10
• Длина последней DNS-записи может превышать 512 символов (максимально допустимый размер для TXT DNS-записи)
• Авторизованные IP-адреса и источники рассылки становятся общедоступными, что вызывает опасения по поводу конфиденциальности

Макросы SPF - лучший подход

Макросы в SPF, созданные с учетом особенностей предприятий со сложной структурой SPF, но одинаково эффективные и для малых и средних организаций, помогают оптимизировать и управлять записями более эффективно по сравнению с обычным плоским подходом. Вот как это делается: 

• Макросы в SPF ограничивают поиск DNS и пустоты, чтобы не превышать максимальных пределов в 10 и 2 соответственно 
• Он сохраняет длину символов вашей записи, гарантируя, что она не превысит предел в 512 символов.
• Авторизованные IP-адреса и источники рассылки заменяются персональными ссылками, скрывая их от посторонних глаз 

SPF Flattening против SPF Macros

Когда использовать макросы SPF, а когда — сглаживание SPF

• Используйте макросы SPF в следующих случаях: у вас сложная динамичная инфраструктура электронной почты или вам требуется конфиденциальность для авторизованных источников.
• Используйте SPF Flattening, если: у вас простая конфигурация со статическими диапазонами IP-адресов и небольшим количеством сторонних сервисов.
• Гибридный подход: объедините оба метода для достижения оптимальных результатов в корпоративных средах.

Резюме и дальнейшие шаги

Макросы SPF предоставляют мощное решение для организаций со сложной инфраструктурой электронной почты, предлагая динамическую аутентификацию, которая масштабируется в соответствии с потребностями вашего бизнеса.

Основные меры:

• Оцените текущую настройку SPF на предмет сложности и ограничений поиска
• Проверьте свои записи SPF с помощью инструментов проверки PowerDMARC
• Рассмотрите возможность внедрения макросов SPF для многодоменных сред.
• Мониторинг отчетов DMARC для отслеживания эффективности аутентификации SPF
• Начните бесплатную пробную версию, чтобы оценить преимущества автоматизированного управления макросами SPF.

Оцените преимущества PowerDMARC — свяжитесь с нами, чтобы получить индивидуальную демонстрацию от опытного эксперта по безопасности доменов и электронной почты! 

Часто задаваемые вопросы

1. Что такое макрос SPF?

Макро SPF — это последовательность символов в записи SPF, которая динамически заменяется фактическими значениями во время аутентификации электронной почты. Макросы используют переменные, такие как %{i} для IP-адреса или %{d} для домена, чтобы создавать гибкие и масштабируемые записи SPF, которые адаптируются к различным сценариям отправки.

2. TXT и SPF — это одно и то же?

Нет, TXT — это тип записи DNS, а SPF — протокол аутентификации электронной почты. Записи SPF публикуются в DNS как записи TXT, но не все записи TXT содержат информацию SPF. Записи SPF всегда начинаются с «v=spf1», чтобы их можно было идентифицировать как политики SPF.

3. Как проверить, работают ли макросы SPF?

Вы можете протестировать макросы SPF с помощью онлайн-валидаторов SPF, отправляя тестовые электронные письма и проверяя заголовки аутентификации, отслеживая отчеты DMARC для результатов SPF и используя инструменты поиска DNS для проверки расширения макросов. Инструмент проверки SPF от PowerDMARC может проверить синтаксис и функциональность макросов.

• О сайте
• Последние сообщения

Майтхам аль-Лоуати

Эксперт по кибербезопасности, генеральный директор PowerDMARC

Майтем - технологический предприниматель, эксперт по кибербезопасности, генеральный директор и основатель PowerDMARC с 15-летним опытом работы в отрасли. Майтем получил степень Global MBA в Манчестерском университете и различные профессиональные сертификаты, включая CISSP, CISM, CRISC и ISC2 CCSP.

Последние сообщения Maitham Al Lawati (см. все)

• Статистика фишинга и DMARC: тенденции в области безопасности электронной почты на 2026 год — 6 января 2026 г.
• Как исправить ошибку «SPF-запись не найдена» в 2026 году — 3 января 2026 года
• SPF Permerror: как исправить слишком много DNS-запросов — 24 декабря 2025 г.