Ошибка валидации SPF: Причины и решения

Ошибка проверки SPF - это результат неправильной настройки системы Sender Policy Framework (SPF). Подобная ситуация может отнять у компании много времени и средств.

В этой статье подробно рассматриваются различные причины, по которым могут возникать ошибки проверки SPF, и способы их устранения.

Что такое ошибка проверки SPF?

Под проверкой SPF понимается процесс проверки того, авторизован ли отправитель (имеет ли он право) отправлять электронные письма от имени домена. Ошибки проверки SPF могут возникать, когда в TXT-записи, содержащей информацию SPF, есть синтаксические или конфигурационные ошибки. SPF-запись домена состоит из нескольких тегов - технически известных как механизмы и модификаторы SPF. Попытка создать SPF-запись вручную часто приводит к синтаксическим ошибкам, которые при оценке SPF могут привести к ошибке проверки. 

При ошибках проверки SPF владельцы доменов могут получить сообщение 550 spf check failed, например: 

"Ошибка 550 - Сообщение отклонено из-за неудачной проверки SPF".

Упростите SPF с помощью PowerDMARC!

Типы ошибок проверки SPF

Ниже приведены основные типы ошибок проверки SPF и соответствующие им объяснения: 

• Темперрор: Это может быть ошибка проверки, вызванная кратковременной проблемой, например таймаутом DNS или другими подобными проблемами во время процедуры проверки SPF. Это не означает, что SPF-запись недействительна, недоступна или не прошла процедуру проверки SPF-записи. Вам не следует беспокоиться, если вы получаете SPF-отзыв только от одного почтового сервера. Однако вам следует перепроверить свою SPF-запись, если вы стали регулярно получать подобные уведомления.
• Пермеррор: Когда почтовые серверы не могут правильно проверить SPF-записи, они выдают такие сообщения SPF Permerror сообщения. Эти проблемы обычно вызваны опечатками или проблемами с синтаксисом SPF. Permerror также возникает, когда SPF-записи превышают лимит в 10 DNS-поисков.
• Softail: Отправитель авторизован или не авторизован для отправки электронной почты с домена. Отправитель может быть "вероятно, не одобрен", если домен не установил четкую и агрессивную политику, которая приводит к "отказу". Это работает путем прикрепления механизма "все" к записи SPF. Любой IP-адрес может получить результат 'SPF Softfail' при оценке. Результат SPF Soft fail, по сути, является слабым утверждением. Сайт DMARC считывает результат SPF Softfail как 'Pass' или 'Fail', в зависимости от настроек почтового сервера, так же как и результат SPF Neutral.
• Отказ: Декларация 'SPF Fail', в отличие от 'SPF Softfail', представляет собой явное или окончательное утверждение, что хост не имеет права использовать домен. Это условие реализуется в SPF-записи с помощью техники '-all'. Если используется любой IP-адрес, будет выдано сообщение 'SPF Fail' при проверке подлинности SPF. Эта ситуация рассматривается одинаково всеми доменами с реализованным DMARC и интерпретируется как 'Fail'.

4 распространенные причины ошибки проверки SPF

К распространенным причинам ошибок проверки SPF относятся:

1. Неправильные записи DNS

Частой причиной ошибки проверки SPF является неправильная DNS-запись SPF. Лишние пробелы, неправильное форматирование и неправильная пунктуация могут привести к ошибкам проверки SPF и сделать вашу запись недействительной. Кроме того, уязвимости DNS, такие как висячие записи DNS, могут создавать лазейки, которыми могут воспользоваться злоумышленники, что еще больше усложняет настройку аутентификации электронной почты.

2. Несколько записей SPF 

При проверке SPF могут возникать ошибки, если вы настраиваете несколько записей SPF для одного и того же домена. В идеале на один домен должна приходиться только 1 запись SPF.

3. Превышение лимита поиска DNS

Одной из наиболее распространенных причин ошибок проверки SPF является превышение лимита DNS-поиска для SPF. Существует ограничение в 10 DNS-запросов при оценке SPF, если оно превышено, проверка SPF завершается с ошибкой Permerror. 

4. Утративший силу тип записи SPF

Запись SPF типа 99 (SPF) была устаревшей, как указано в RFC 7208, раздел 3.1, из-за того, что она была малопригодна. Он имеет тот же формат, что и RR типа TXT, который является рекомендуемым типом ресурса для записей SPF. Использование устаревшего типа записи может привести к ошибкам SPF. 

Как найти ошибки проверки SPF?

Важно обнаружить ошибки SPF, чтобы приступить к их устранению. Вот несколько способов, как это можно сделать: 

1. Использование отчетов DMARC

Вы можете обнаружить ошибки проверки SPF, отслеживая отчеты DMARC. В отчетах DMARC содержится множество информации о почтовом трафике, отправителях, результатах проверки подлинности SPF и DKIM. Если в вашей SPF-записи есть ошибка проверки, то, скорее всего, она будет отмечена в отчете DMARC. Используя инструмент для анализа отчетов DMARC может помочь вам в этом процессе, сделав сложные XML-отчеты намного проще для чтения и понимания.

2. Используйте онлайн-инструменты проверки SPF

Только инструменты проверки SPF, такие как SPF checkers, могут помочь вам легко и мгновенно обнаружить ошибки проверки. Эти онлайн-инструменты обычно бесплатны и могут быстро проверить вашу SPF-запись, чтобы выделить синтаксические и конфигурационные ошибки. Некоторые продвинутые инструменты также подскажут вам, не превышает ли ваш SPF лимит в 10 DNS-поисков. 

Попробуйте бесплатный инструмент проверки SPF от PowerDMARC бесплатный инструмент для проверки SPF.

3. Проверьте заголовки электронной почты

Наконец, вы всегда можете проверить наличие ошибок проверки SPF, вручную изучив заголовки электронной почты. Просто откройте письмо. Нажмите "Еще" и выберите "Показать оригинал". Появится новая вкладка, на которой отображается краткое содержание исходного сообщения и подробный необработанный обзор заголовка электронной почты. Вы также можете использовать анализатор заголовков электронной почты который предоставит обширную информацию о заголовках электронной почты, но в полном и удобном для чтения формате.

Как предотвратить ошибки проверки SPF

Чтобы предотвратить ошибки проверки SPF: 

• Дважды проверьте свою SPF-запись, чтобы убедиться, что вы обновили ее или отключили, если она больше не используется, отправив письмо владельцу домена. 
• Предположим, вы недавно перешли к другому поставщику услуг электронной почты (например, Gmail) или изменили серверы доменных имен. В этом случае SPF-запись может сломаться, потому что Google не сможет сопоставить адрес отправителя с существующими записями. Если вы недавно внесли какие-либо из этих изменений в свой домен, убедитесь, что записи SPF обновлены, обратившись к своему хостеру или поставщику услуг электронной почты.
• Убедитесь, что ваш DNS-хостинг-провайдер надежен и что у него есть хорошие возможности веб-хостинга. Это поможет гарантировать, что ваша SPF-запись всегда доступна и к ней легко могут получить доступ принимающие серверы, что снизит вероятность ошибки проверки SPF.
• Важно выбрать надежного хостинг-провайдера DNS и регулярно проверять точность и актуальность записи SPF, чтобы избежать возможных проблем.

Шаги по исправлению ошибки проверки SPF

Владельцы доменов могут исправить ошибки, приняв несколько простых мер, приведенных ниже:

1. Проверка синтаксиса SPF-записи

Проверьте синтаксис SPF чтобы убедиться, что в нем нет ошибок. Запись SPF без ошибок может выглядеть примерно так: v=spf1 include:spf.domain.com ~all. Тип версии (v) и механизм SPF all являются обязательными полями, которые должны быть включены в синтаксис записи. Также необходимо убедиться, что вы не добавляете дополнительные пробелы, точки с запятой или другие специальные символы, не поддерживаемые SPF.

2. Ограничение поиска DNS

Чтобы предотвратить ошибки проверки SPF и постоянные ошибки, очень важно ограничить количество DNS-поисков для SPF до 10. Хотя для достижения этой цели существуют традиционные методы сглаживания, более современным и эффективным способом решения этой проблемы является использование макросы SPF. Макросы помогут вам не превысить ограничения на количество DNS-поисков и длину.

3. Консолидация записей SPF

Чтобы предотвратить публикацию нескольких записей SPF, что может привести к ошибкам проверки, объединяйте записи SPF с помощью механизма include:. SPF "includes" может помочь объединить несколько записей в одну, просто добавив ваш авторизованный домен один за другим, как показано ниже:

v=spf1 include:spf.domain.com include:spf.example.com include:spf.company.com ~all

4. Включите регулировки механизма

Игнорирование сторонних источников отправки и поставщиков электронной почты, таких как Google, Microsoft Office 365, Zoho Mail и т. д., может привести к ошибкам проверки. Настройте механизм "включения" SPF для авторизации всех сторонних поставщиков, что обеспечит безошибочную настройку. 

Подробнее о конфигурация источника поставщика.

Заключительные слова

Проверка подлинности SPF необходима для обеспечения целостности электронной почты и предотвращения спама. A поддельное письмо может легко попасть в почтовый ящик получателя из-за ошибки проверки SPF. Оно может нанести вред репутации владельца легитимного домена, завалив получателя спамом или фишингом.

Хотя метод проверки подлинности SPF предназначен для предотвращения переполнения почтового ящика нежелательными письмами, реальные письма иногда могут быть зарегистрированы как сбой проверки подлинности из-за ошибки в конфигурации или неправильной записи SPF. В результате администратор электронной почты должен понимать, что является причиной сбоев SPF и что он может сделать для повышения эффективности доставки электронной почты. 

• О сайте
• Последние сообщения

Юнес Тарада

Эксперт по безопасности доменов и электронной почты в PowerDMARC

Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.

Последние сообщения Юнеса Тарады (см. все)

• Атаки на засолку электронной почты: Как скрытый текст обходит защиту - 26 февраля 2025 г.
• Выравнивание SPF: Что это такое и зачем вам это нужно? - 26 февраля 2025 г.
• DMARC против DKIM: ключевые различия и их совместная работа - 16 февраля 2025 г.