Если ваша компания использует собственные домены и домены, обрабатывающие электронную почту, велика вероятность того, что она столкнулась с проблемами электронной почты и ошибкой "SPF Softfail Domain Does Not Designate IP as Permitted Sender". Очень важно, чтобы компании правильно указывали IP-адреса, используемые для рассылки электронной почты от их имени, в качестве разрешенного отправителя в SPF-записи.

Ключевые выводы

Правильное указание IP-адресов в записи SPF необходимо для предотвращения подделки электронной почты и обеспечения надежной связи по электронной почте.
Проверка заголовков электронной почты может помочь определить, авторизован ли IP-адрес, используемый для отправки электронной почты, в записи SPF.
Каждый владелец домена должен вести список всех действительных источников отправки, включая сторонние сервисы, чтобы обеспечить соответствие требованиям SPF.
Включение DMARC наряду с SPF и DKIM повышает безопасность электронной почты и обеспечивает обратную связь при сбоях аутентификации.
DMARC позволяет владельцам доменов контролировать обработку неаутентифицированных писем, что помогает защититься от фишинга и мошенничества.

Что такое SPF?

SPF или Sender Policy Framework - это стандарт аутентификации электронной почты, который защищает организации от подделки. Злоумышленники могут использовать домен и торговую марку компании для рассылки фальшивых сообщений своим клиентам. Такие фишинговые письма выглядят достаточно аутентично, чтобы убедить клиентов и заставить их поддаться на интернет-мошенничество от имени компании. Это наносит ущерб доверию к бренду компании и портит ее имидж в обществе. SPF можно представить себе как список доверенных доменов компании, с которых могут поступать подлинные сообщения.

Как проверить, является ли ваш домен разрешенным отправителем?

Первый шаг к устранению ошибки "SPF Softfail Domain Does Not Designate IP as Permitted Sender" необходимо проверить полномочия отправителя. Для этого:

Шаг 1: Войдите в учетную запись электронной почты домена компании, скажем, [email protected].

Шаг 2 (Step 2): Отправьте письмо на другой почтовый ящик, к которому у вас есть доступ; это может быть внешний домен, например Gmail, Yahoo, Hotmail или другие.

Шаг 3: Войдите в учетную запись электронной почты, с которой вы отправили первое письмо, а затем просмотрите заголовки этого письма. Он будет помечен как "Показать оригинал".

Затем вы увидите нечто похожее на это. Обратите внимание на сообщение SPF Softfail.

-Оригинальное сообщение

X-Received: ...

Сб, 13 Март, 2022 11:01:19 IST

Return-Path: [email protected]

Получено: от mymy2.spfrecords.com (mymy2.spfrecords.com [60.130.71.223])

от mx.google.com с идентификатором ESMTPS

*id*

Для [email protected]

Получено SPF: softfail (google.com: домен переходящего [email protected] не определяет 60.130.71.223 как разрешенного отправителя) client-ip=60.130.71.223;

Результаты аутентификации: mx.google.com;

Spf = softfail (google.com: домен переходящего [email protected] не определяет 60.130.71.223 как разрешенного отправителя) client-ip=60.130.71.223;

* конец сообщения заголовка

Заметка: Если в заголовке вы видите "Received-SPF: pass", значит домен, который вы используете для отправки почты, аутентифицирован и уже добавлен в вашу SPF-запись, и вам не о чем беспокоиться. Однако, как показано выше, существует проблема softfail. Сейчас мы рассмотрим, как решить эту проблему.

Упростите SPF с помощью PowerDMARC!

15-дн. пр. версия Заказать демо

Что означает "SPF Softfail Domain Does Not Designate IP as Permitted Sender"?

У отправителя вашей электронной почты есть IP-адрес хоста, который выглядит примерно так:

30.10.323.005

Если этот IP-адрес домена-отправителя не включен в SPF-запись вашего домена, сервер, принимающий почту, не сможет идентифицировать указанный IP-адрес как разрешенного отправителя. Сервер автоматически интерпретирует сообщение как исходящее из неавторизованного источника. Это возможная причина отказа SPF для данного сообщения. Высока вероятность сбоя DMARC, если система аутентификации электронной почты полагается исключительно на SPF для проверки источника (а не на DKIM).

При таких обстоятельствах, если политика протокола настроена на отказ, ваше сообщение никогда не будет доставлено! Поэтому владелец домена должен принять быстрые и действенные меры для устранения проблемы "SPF Softfail Domain Does Not Designate IP as Permitted Sender".

Как включить IP в качестве разрешенного отправителя для SPF?

Решение этой проблемы можно разделить на следующие шаги:

1. Создайте список источников отправки для вашего домена. Вы можете использовать список адресов электронной почты, основанный на вашем домене, а также сторонние источники отправки для операций с электронной почтой.

2. Теперь определите IP-адреса хостов этих источников отправки

Как найти IP-адреса, связанные с источниками отправки электронной почты?

Это довольно просто! Чтобы найти IP-адрес источника отправки, откройте письмо и просмотрите полный заголовок письма. Для этого вам нужно нажать на три точки в правом верхнем углу письма, чтобы просмотреть выпадающее меню, и выбрать "Показать оригинал".

В исходном сообщении прокрутите вниз до пункта Получено вы сможете обнаружить IP-адрес хоста отправителя, как показано ниже:

3. Воспользуйтесь нашим Генератор записей SPF для создания бесплатной SPF-записи для вашего домена.

В генераторе записей добавьте все IP-адреса, которые вы хотите аутентифицировать для отправки электронной почты и общения от имени компании.
Добавьте любые сторонние серверы или внешние службы доставки в качестве авторизованного источника отправки для вашего домена. Таким образом, все письма, отправленные через сторонние серверы, также будут проходить проверку подлинности SPF.

4. После того как вы использовали генератор SPF-записей для создания SPF-записи для вашего домена со всеми доверенными доменами и IP-адресами, все, что осталось сделать, - это внедрить SPF, опубликовав ее на вашем DNS. Вот как вы можете этого добиться:

Войдите в консоль управления DNS
Затем перейдите к выбранному домену (домену, для которого вы пытаетесь добавить/изменить запись SPF)
Укажите тип вашего ресурса как 'TXT'
Укажите имя хоста как "_spf".
Вставьте значение вашей сгенерированной записи SPF
Сохраняйте изменения для настройки SPF для вашего домена

Заметка: Приведенные выше имена или заголовки могут отличаться в зависимости от консоли управления DNS, которую вы используете для своей компании..

Таким образом, владельцы доменов могут убедиться, что все их доверенные IP-адреса и домены, которые они могут использовать для отправки сообщений от имени компании, добавлены на сервер, и подобная ошибка, когда SPF Softfail Domain не определяет IP в качестве разрешенного отправителя, не возникнет.

Как эффективно использовать стандарт SPF?

Единственный способ укрепить технологию SPF компании - это включить ее в систему DMARC. Вот преимущества такого подхода,

1. ДМАРК = СПФ + ДКИМ

Протоколы аутентификации электронной почты, такие как DMARC настраиваются путем добавления TXT-записи в DNS. Помимо настройки политики для электронной почты вашего домена, вы также можете использовать DMARC для включения механизма отчетности, который будет отправлять вам множество информации о ваших доменах, поставщиках и источниках электронной почты.

DMARC может помочь вам использовать технологии SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail) в тандеме, чтобы обеспечить вашему домену еще лучшую защиту от подделки.

Заметка: Это рекомендуется, но не обязательно. DMARC может функционировать с выравниванием идентификаторов SPF или DKIM.

2. Отчетность и обратная связь с PowerDMARC

Ни SPF, ни DKIM не предоставляют владельцу домена информацию о письмах, не прошедших проверку подлинности. DMARC отправляет подробные отчеты непосредственно вам, которые платформа PowerDMARC преобразует в удобные для чтения графики и таблицы.

3. Контролируйте, что происходит с неаутентифицированными электронными письмами

DMARC позволяет вам, владельцу домена, решать, попадет ли письмо, не прошедшее проверку, в папку "Входящие", спам или будет отклонено. С помощью PowerDMARC достаточно нажать одну кнопку, чтобы задать политику DMARC, и все становится просто.

Неавторизованные отправители могут представлять опасную угрозу безопасности ваших клиентов, а также имиджу и стоимости бренда вашей компании. Защитите своих клиентов от фишинга и мошенничества, внедрив в своей компании DMARC и позволяя получать почту только от аутентифицированных отправителей.

О сайте
Последние сообщения

Юнес Тарада

Эксперт по безопасности доменов и электронной почты в PowerDMARC

Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.

Последние сообщения Юнеса Тарады (см. все)

Нейтральный механизм SPF (?all) объясняется: Когда и как его использовать - 23 июня 2025 г.
Сбои в выравнивании доменов DKIM - исправления в RFC 5322 - 5 июня 2025 г.
DMARCbis - что меняется и как подготовиться - 19 мая 2025 г.

Как исправить "SPF Softfail Domain Does Not Designate IP as Permitted Sender"?