Макросы SPF - это эффективная и важная функция Sender Policy Framework, которая используется в тех случаях, когда владельцам доменов требуется более динамичная и масштабируемая запись SPF для проверки подлинности их почтовых доменов. Функция SPF-макросов является частью синтаксис записи SPFопределяя последовательности символов, которые заменяются метаданными отдельных писем, требующих проверки SPF. Это, в свою очередь, позволяет создавать упрощенные SPF-записи, избегая генерации длинных и сложных SPF-записей.
Мы в PowerDMARC разработали наше признанное критиками решение для управления SPF решение PowerSPF, в котором используются технологии SPF Flattening и SPF Macros, обеспечивающие широкую гибкость в отношении SPF-аутентификации и оптимизации записей. За годы работы PowerSPF стал любимцем клиентов благодаря простоте использования и эффективности.
Чтобы узнать больше, вы можете посетить официальный документ IETF.
Макросы SPF с пояснениями
SPF-макросы - это последовательности символов, которые могут быть использованы для упрощения конфигурации SPF-записи путем замены механизмов, определенных в указанной записи SPF DNS TXT, как объясняется в RFC 7208, раздел 7.
SPF-записи в основном просты, и инструкции для серверов-получателей по обработке нелегитимных писем, приходящих с вашего домена, могут быть заложены с помощью механизмов SPF, квалификаторов и модификаторов. Однако бывают ситуации, когда механизмов SPF недостаточно, и приходится прибегать к помощи SPF-макросов.
Макросы SPF обозначаются знаком процента (%) и включают в себя комбинацию из двух или более букв, модификаторов и разделителей. В процессе SPF-аутентификации макросы SPF оцениваются и заменяются соответствующими значениями, как описано в разделе
Например, %s и %d обозначают соответственно адрес отправителя и доменное имя, связанное с проверяемой личностью.
Модификаторы типа r,l или o применяются для извлечения определенных элементов адреса или домена, а разделители типа - или . помогают разделить различные элементы внутри макроса.
Типы макросов SPF
Макросы SPF обозначаются различными одиночными буквами или символами, заключенными в фигурные скобки { } и дополненными знаком процента (%), которые относятся к определенным механизмам в вашей SPF-записи. Вот основные макросы.
- %{s}: The “s” Macro represents the sender’s email address. Example- Mark@domain.com.
- %{l}: It’s used to denote the local part of the sender. Example- Mark.
- %{o}: This highlights the sender’s domain. Example: domain.com.
- %{d}: Similar to “o”, this Macro represents the authoritative sending domain. In most cases it is the same as the sender’s domain however, it may differ in some cases.
- %{i}: It’s used to extract the IP address of the sender of the message, e.g. 192.168.1.100
- %{h}: The hostname specified by the HELO or EHLO command used during the SMTP connection when the message is being sent is referred to by the %{h} macro.
Существует еще множество макросов, которые можно задать в записи, однако мы перечислили некоторые наиболее распространенные из них.
Как работают макросы SPF?
С помощью SPF-макросов владельцы доменов могут указывать ссылки на определенные механизмы в своей SPF-записи, тем самым заменяя эти механизмы. При DNS-запросе со стороны принимающего MTA ссылки используются для извлечения механизмов и расширения записи, что позволяет создавать более управляемые и адаптируемые SPF-записи.
Ниже приведен пример макросов, используемых в SPF-записи.
“v=spf1 include:%{i}_.%{d}._spf.powerdmarc.com ~all”
- Здесь include: механизм содержит макросы SPF.
- Существует два макроса SPF, каждый из которых представлен последовательностью символов, состоящей из знака процента, левой фигурной скобки, буквы макроса и правой фигурной скобки. В приведенном примере %{i} обозначает IP-адрес отправителя, а %{d} - домен отправителя из команды 'MAIL FROM'.
- Если считать IP-адрес 192.168.1.100 IP-адресом домена-отправителя, то при отправке письма с этого IP-адреса сервер-получатель инициирует DNS-запрос для поиска DNS-записи SPF домена
- Когда получатель просматривает SPF-запись домена-отправителя, он сталкивается с SPF-макросами, которые впоследствии подставляются в соответствующие значения.
- Затем эта расширенная SPF-запись рассматривается для определения того, удалось ли письму пройти проверку SPF или оно не прошло ее.
Когда используются макросы в SPF-записи?
Макросы SPF могут использоваться в различных сценариях в зависимости от потребностей владельцев доменов. Они могут пригодиться, если вы хотите упростить сложную инфраструктуру аутентификации электронной почты, используете несколько сторонних служб обработки электронной почты или просто хотите уменьшить размер SPF-записи.
Ниже приведены некоторые типичные случаи, когда SPF-макросы могут оказаться полезными:
Организации с многодоменной инфраструктурой
Наиболее подходящими пользователями макросов SPF являются организации корпоративного уровня, работающие с несколькими доменами, хотя они могут использоваться организациями любого размера. Макросы обеспечивают значительно большую гибкость и эффективную оптимизацию SPF-записей по сравнению с традиционными методами сглаживания, что позволяет обеспечить бесперебойную работу SPF даже в многодоменных средах. Это также избавляет от необходимости создавать несколько SPF-записей.
Крупные инфраструктуры электронной почты
Компаниям со сложной почтовой инфраструктурой может потребоваться включение нескольких механизмов SPF, оптимизировать которые лучше всего с помощью макросов SPF. Эти макросы позволяют определить ссылки на механизмы, гарантируя, что запись не будет слишком длинной и останется в рамках RFC-спецификации 512 октетов.
Услуги третьих лиц
Организации, использующие несколько сторонних поставщиков электронной почты, теперь могут быть уверены, что SPF не нарушится, благодаря включению макросов SPF, которые облегчают оптимизацию сторонних компонентов, а также гарантируют, что ваша запись не превысит допустимых пределов для DNS и поиска пустоты.
Организации решают проблемы SPF с помощью макросов SPF
Вы можете включить в запись несколько SPF-макросов и избавиться от типичных проблем, выявляемых при проверке SPF вручную или с помощью программы SPF-чекер. Вот что можно сделать в этом случае:
1. Предотвращение длинных SPF-записей, вызывающих темперрор
Если ваша SPF-запись содержит несколько include: это позволяет предотвратить слишком длинную запись. Однако это не является постоянным решением. Использование макросов SPF в настройках SPF вашего домена исключает вероятность того, что ваша запись превысит ограничение по длине, установленное RFC для записей DNS TXT (512 символов).
2. Ограничение поиска DNS и пустоты и снижение уровня пермерора
Организации, использующие несколько сторонних источников рассылки и поставщиков электронной почты, склонны к превышению установленных RFC ограничений на поиск в DNS-запросах. Это связано с тем, что каждый поставщик добавляет как минимум один или несколько запросов. Это может привести к нарушению SPF-записи, в результате чего SPF permerror.
Использование SPF-макросов для добавления ссылок на IP-адреса или домены этих внешних поставщиков позволяет ограничить неавторизованные источники, не выходя за рамки ограничений на поиск.
Использование макросов в настройках SPF с помощью PowerSPF
Макросы SPF широко поддерживаются MTA для обеспечения динамичности и масштабируемости в части SPF-аутентификации, создания записей и управления ими. PowerSPF легко интегрирует SPF Macros, чтобы наши клиенты могли генерировать SPF-записи с повышенной гибкостью.
Почему сглаживания SPF-записи недостаточно?
Традиционный метод сглаживания SPF оказывается эффективным в большинстве случаев, когда речь идет о небольших и средних организациях с более простой структурой и меньшим количеством механизмов SPF. Однако при увеличении количества механизмов ситуация может постепенно усложняться, что приводит к следующим неблагоприятным ситуациям:
- Количество DNS-поисков может достигать 10
- Длина последней DNS-записи может превышать 512 символов (максимально допустимый размер для TXT DNS-записи)
- Авторизованные IP-адреса и источники рассылки становятся общедоступными, что вызывает опасения по поводу конфиденциальности
Макросы SPF - лучший подход
Макросы в SPF, созданные с учетом особенностей предприятий со сложной структурой SPF, но одинаково эффективные и для малых и средних организаций, помогают оптимизировать и управлять записями более эффективно по сравнению с обычным плоским подходом. Вот как это делается:
- Макросы в SPF ограничивают поиск DNS и пустоты, чтобы не превышать максимальных пределов в 10 и 2 соответственно
- Он поддерживает длину символов записи, не позволяя ей выйти за пределы ограничения 512 символов
- Авторизованные IP-адреса и источники рассылки заменяются персональными ссылками, скрывая их от посторонних глаз
SPF Flattening против SPF Macros
| Начальная SPF-запись (5 просмотров) | Макросы SPF (1 поиск) | SPF Flatting (2 просмотра) |
| v=spf1 include:_spf.google.com include:zcsend.net -all | v=spf1 exists:%{i}.abcde12345.macrospf.powerspf.com -all | abcde12345.powerspf.com:
v=spf1 ip6:2c0f:fb50:4000::/36 ip6:2a00:1450:4000::/36 ip6:2800:3f0:4000::/36 ip6:2607:f8b0:4000::/36 ip6:2404:6800:4000::/36 ip6:2001:4860:4000::/36 ip4:74.125.0.0/16 ip4:35.191.0.0/16 ip4:173.194.0.0/16 ip4:209.85.128.0/17 ip4:72.14.192.0/18 ip4:64.233.160.0/19 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ip4:172.217.192.0/19 ip4:172.217.128.0/19 ip4:172.217.0.0/19 ip4:108.177.96.0/19 ip4:66.249.80.0/20 ip4:66.102.0.0/20 ip4:172.253.112.0/20 ip4:172.217.32.0/20 include:_s1.abcde12345.powerspf.com -all _s1.abcde12345.powerspf.com: v=spf1 ip4:172.217.160.0/20 ip4:172.253.56.0/21 ip4:108.177.8.0/21 ip4:130.211.0.0/22 ip4:136.143.160.0/23 ip4:135.84.82.0/23 ip4:35.190.247.0/24 ip4:165.173.128.0/24 ip4:135.84.81.0/24 -all |
Попробуйте наши SPF-решения уже сегодня - свяжитесь с нами для получения демонстрации один на один с опытным экспертом по безопасности доменов и электронной почты!
- Исправьте пермеррор SPF: Преодоление ограничения SPF Too Many DNS Lookups Limit - 26 апреля 2024 г.
- Как опубликовать запись DMARC за 3 шага? - 2 апреля 2024 г.
- Почему DMARC не работает? Устранение сбоев DMARC в 2024 году - 2 апреля 2024 г.