Общие ошибки, которых следует избегать при настройке параметров SPF
Время чтения: 4 мин
SPF Проверка подлинности важна для повышения коэффициента доставки электронной почты и защиты вашего домена от фишинга и спама атак. Однако настройки SPF довольно сложны, и при их настройке можно ошибиться. Исправление и избежание этих распространенных ошибок гарантирует отсутствие ложных срабатываний и DMARC соблюдения требований DMARC в вашем домене, отправляющем электронную почту.
Ключевые выводы
- Во избежание проблем с доставкой на один домен должна существовать только одна запись SPF.
- Превышение лимита в 10 DNS-поисков может привести к сбоям в проверке SPF.
- Механизм 'all' должен располагаться в конце записи SPF для обеспечения надлежащей функциональности.
- Избегайте использования механизма 'ptr', так как это не рекомендуется и может привести к проблемам с производительностью.
- Записи SPF требуют тщательного изучения и точной информации для обеспечения правильной доставки почты.
7 распространенных ошибок, которых следует избегать при настройке параметров SPF
Некоторые механизмы DNS используются для указания IP-адресов систем, которым разрешено отправлять электронные письма с адресом обратного пути. Однако их некорректное использование приводит к таким ошибкам, как превышение размера SPF-записи, более 10 обращений к DNS, более 2 неразрешенных обращений к DNS и т.д.
Мы перечислили распространенные ошибки SPF, чтобы помочь вам избежать их при настройке параметров SPF.
Ошибка 1: Несколько записей SPF
Для каждого домена должна быть одна запись SPF, иначе принимающие серверы будут отклонять обе записи. Удалите записи SPF, которые в настоящее время не используются, например, устаревшие службы с активными записями SPF.
Эту ошибку настройки SPF можно устранить, объединив две или более записей в одну. Допустим, пользовательский домен имеет запись SPF и включает запись Elastic Email SPF, но не проходит проверку. Возможной причиной этого является наличие двух записей в домене.
v=spf1 a mx include:_sampledomain1.com include:_spf.elasticemail.com ~all
v=spf1 a mx include:_sampledomain2.com ~all
Вы можете решить эту проблему, объединив их в одну запись, например:
v=spf1 a mx include:_sampledomain1.com include:_sampledomain2.com include:_spf.elasticemail.com ~all
Ошибка 2: Слишком много DNS-поисков
Существует ограничение на 10 поисков "include", что означает, что вы не можете создать более 10 ссылок на другие домены. Каждое вхождение параметров "include", "a", "mx", "ptr", "exists" и "redirect" генерирует поиск. Более того, если домен, на который ссылается параметр 'include' содержит другой параметр, он также будет засчитан в лимит 10 поисков. Таким образом, превышение лимита просмотров является одной из наиболее распространенных ошибок, возникающих при настройке параметров SPF.
Вы можете исправить это, удалив 'включает' и ссылки на неактивные домены.
Упростите безопасность с помощью PowerDMARC!
Ошибка 3: вседозволенность все Механизм
Запись SPF интерпретируется слева направо, а 'все будет соответствовать механизму 'все отправители, которые не соответствуют предыдущим механизмам. Предлагается поместить 'all в конец записи SPF и использовать его с префиксом ~ (softfail) или - (fail). Если префикс не задан, по умолчанию используется + (pass).
Ошибка 4: Использование ptr Механизм
SPF 'ptr' используется для обратного DNS-поиска, который возвращает имя хоста соответствующему IP-адресу. Эта информация полезна, в частности, для брендов B2B. Однако этот механизм имеет проблемы с надежностью и создает нагрузку на обратные DNS-серверы и подключенные к ним почтовые системы.
Вот почему RFC7208 не рекомендует использовать 'ptr механизма. В большинстве случаев вы можете заменить его на 'a' механизмом.
Ошибка 5: Использование mx Механизм
Используйте 'mx' с именами доменов, а не с именами почтовых серверов. Указывая mx:mailserver.sample.com считается некорректным, если только вы не требуете, чтобы проверка SPF просматривала все хосты, принимающие почту для домена 'mailserver.sample.com'. В большинстве случаев таких хостов не будет, так как 'mailserver.sample.com' сам по себе является хостом, а не доменом.
Вы не столкнетесь с этим как с синтаксической ошибкой, но это не будет просто соответствовать чему-либо.
Правильный способ проверки на соответствие MX-записи для 'sample.com' следующий mx:sample.com. Когда вам нужно определить имя хоста или IP-адрес определенного почтового сервера, следует использовать a:mailserver.sample.com или ip4:x.x.x.x.
Ошибка 6: Создание SPF-записи без надлежащего исследования
Это особенно касается интернет-провайдеров. Не создавайте записи с половинчатой информацией о домене, его владельце и бренде, которому он принадлежит. Изучите, какой почтовый сервер они используют, иначе вы можете заблокировать путь доставки исходящей почты с их внутреннего почтового сервера.
Ошибка 7: Опечатки
Избегайте распространенных ошибок при настройке параметров SPF, перепроверяя запись SPF на наличие опечаток. Вы можете напечатать 'inlcude' вместо 'include'. Это может сделать всю запись недействительной.
Ошибка 8: Не публикуются записи SPF для имен HELO, используемых вашими почтовыми серверами
Verifying HELO or EHLO names is encouraged by the SPF RFC. HELO or its developed version EHLO is used when Mail from is <> despite the recipient’s failure in doing 100% HELO checking.
Публикация протокола HELO включает создание записи SPF, соответствующей FQDN HELO, используемой вашим почтовым сервером. Например: mailserver.sample1.com
Как правило, это должно быть совершенно отдельное правило SPF от того, которое проверяет адрес From в вашем домене, связанном с 'sample1.com'.
Ошибка 9: содержимое TXT-записи не отображается с двойными кавычками
Содержимое TXT-записи DNS всегда заключено в двойные кавычки ("-"), но они никогда не должны быть частью фактического содержимого DNS-записи. Эти кавычки служат только для отображения, поскольку они помогают разделить начало и конец содержимого TXT-записи.
Запись SPF должна начинаться со слов v=spf1 но если она начинается с "v=spf1то она вообще не будет распознана.
Все еще проблема?
Каждое изменение в настройках SPF требует определенного времени для распространения через Интернет. Это может занять до 72 часов. Но если вы все еще сталкиваетесь с проблемами, воспользуйтесь нашим бесплатным программа проверки SPF-записей или свяжитесь с нашей командой экспертов по адресу [email protected].
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Аона - менеджер по маркетингу в PowerDMARC, имеет более чем 5-летний опыт написания статей на темы кибербезопасности, специализируясь на безопасности доменов и электронной почты. Ахона получила диплом о высшем образовании по специальности "Журналистика и коммуникации", а с 2019 года начала работать в сфере безопасности.
Последние сообщения Ахона Рудра (см. все)
- Microsoft усиливает правила для отправителей электронной почты: Ключевые обновления, которые нельзя пропустить - 3 апреля 2025 г.
- Настройка DKIM: Пошаговое руководство по настройке DKIM для обеспечения безопасности электронной почты (2025) - 31 марта 2025 г.
- PowerDMARC признана лидером в области грид-технологий DMARC в G2 Spring Reports 2025 - 26 марта 2025 г.
