Поиск пустот в SPF
Время чтения: 3 мин
Ограничение на поиск SPF-пустоты, установленное RFC, в настоящее время равно 2. Вы можете найти эту спецификацию в RFC 7208 (раздел 11.1), которая устанавливает ограничение на количество просмотров SPF-пустоты, разрешенных для одной SPF-проверки. Если вы читаете эту статью, то, скорее всего, вы столкнулись со следующим сообщением об ошибке при работе с протоколом или просмотре данных отчета DMARC для ваших писем:
Ключевые выводы
- Для предотвращения атак типа "отказ в обслуживании" ограничение на поиск SPF-пустоты установлено на максимум 2.
- Недействительный поиск SPF возникает, когда поиск DNS возвращает нулевой ответ при проверке подлинности SPF.
- Превышение лимита поиска SPF-пустоты приводит к ошибке SPF PermError, что может привести к сбоям в доставке электронной почты.
- Регулярно обновляйте IP-адреса и механизмы источников отправки электронной почты, чтобы избежать лишних или ошибочных включений в SPF-записи.
- Сплющивание SPF позволяет оптимизировать записи, объединяя их, что снижает риск превышения лимита поиска.
PermError Постоянная ошибка SPF: Превышен лимит поиска пустоты, равный 2
Чтобы лучше понять это, давайте поговорим о том, что такое поиск SPF-пустот:
Что такое SPF Void Lookup?
Когда при выполнении проверки подлинности SPF поиск DNS возвращает недействительный или нулевой ответ, это называется недействительным поиском SPF. Не следует путать с ограничением на 10 DNS-поисков, SPF-пустой поиск - это отдельная категория ошибок, с которыми вы можете столкнуться при работе с SPF.
Почему это происходит, спросите вы? Если ваша SPF-запись содержит механизм включения, который ссылается на ошибочный или вредоносный домен или IP-адрес, то при поиске он может вернуть пустой или нулевой ответ (NOERROR без ответа или NXDOMAIN). RFC рекомендует ограничить количество таких пустых SPF-поисков максимум до 2, чтобы предотвратить превращение ошибочных SPF-записей в факторы, способствующие инициированию атак Denial-of-Service.
Однако превышение лимита поиска SPF-пустоты приведет к ошибке SPF PermError, что приведет к отказу SPF и, следовательно, к невозможности доставки ваших писем.
Упростите безопасность с помощью PowerDMARC!
Как вы можете обойти ограничение на поиск в SPF пустоты?
Существуют различные надежные методы и способы, которые вы можете применить, чтобы не превысить лимит на поиск пустоты SPF, равный 2.
- Постоянно обновляйте информацию об IP-адресах и механизмах сторонних поставщиков и источников отправки электронной почты, чтобы убедиться, что в ваших записях нет лишних или ошибочных включений для них.
- Перейти на сглаживание SPF с PowerSPF, чтобы оптимизировать и обновлять записи одним щелчком мыши, без необходимости постоянного мониторинга или ручного обновления.
Надеюсь, эта статья помогла вам лучше понять ограничение на поиск пустоты SPF и то, как оно влияет на ваш поток электронной почты и результаты аутентификации. Чтобы получить расширенную защиту от подделки, рассмотрите возможность внедрения DMARC для ваших доменов бесплатно!
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.
Последние сообщения Юнеса Тарады (см. все)
- Нейтральный механизм SPF (?all) объясняется: Когда и как его использовать - 23 июня 2025 г.
- Сбои в выравнивании доменов DKIM - исправления в RFC 5322 - 5 июня 2025 г.
- DMARCbis - что меняется и как подготовиться - 19 мая 2025 г.
