Сообщения

SPF существует в DNS вашего домена в виде TXT-записи с кучей механизмов и модификаторов, обозначающих конкретные инструкции. Механизм SPF all присутствует в правом конце записи SPF, которому предшествует "-" или "~". Давайте рассмотрим, в чем разница между механизмами SPF -all и ~all, чтобы определить, когда их следует настраивать.

SPF -all против ~all

Оба механизма SPF -all и ~all означают "NOT PASS" для SPF-аутентификации. В последнее время для большинства поставщиков услуг электронной почты нет разницы между механизмами -all и ~all, и возвращается один и тот же результат. Однако несколько лет назад дело обстояло иначе.

Как работал механизм SPF all (Softfail vs Fail) до DMARC?

DMARC был создан спустя долгое время после того, как SPF уже присутствовал на рынке в качестве стандартного протокола аутентификации электронной почты. В то время механизм SPF - all softfail работал следующим образом: 

Предположим, что ваша запись SPF была: 

v=spf1 include:spf.domain.com ~all (где ~all означает SPF Softfail)

Сервер электронной почты получателя должен был выполнить DNS-поиск, чтобы запросить DNS отправителя на предмет его SPF-записи. Если домен обратного пути письма не был указан в записи отправителя, сервер-получатель вернул бы результат SPF "NOT PASS", но доставил бы письмо в почтовый ящик получателя.

Теперь предположим, что ваша запись SPF была: 

v=spf1 include:spf.domain.com -all (где -all означает SPF Fail)

Сервер электронной почты получателя должен был выполнить DNS-поиск, чтобы запросить DNS отправителя на предмет его SPF-записи. Если домен Return-path электронной почты не был указан в записи отправителя, сервер получателя вернул бы результат SPF "NOT PASS", но в этом случае электронная почта была бы было бы отклонено и не доставлено в почтовый ящик получателя.

Подробнее об истории Sender Policy Framework

Как поставщики услуг электронной почты теперь работают с механизмом SPF -all vs ~all?

Хотя в настоящее время вы можете свободно использовать SPF -all или ~all для большинства провайдеров почтовых ящиков, не беспокоясь о сбоях в доставке легитимных писем, может возникнуть ситуация, когда сервер отклонит ваше письмо в случае использования атрибута -all.

Для большей безопасности вы можете не использовать механизм SPF hard fail -all при создании записи SPF. Вот как это делается:

  • Откройте PowerDMARC генератор SPF-записей чтобы начать бесплатное создание записи
  • После указания IP-адресов и доменов ваших отправителей электронной почты прокрутите вниз до последнего раздела, предназначенного для указания почтовым серверам, насколько строгими они должны быть при проверке ваших писем.
  • Выберите опцию "Soft-fail" перед нажатием кнопки "Generate SPF Record".

Что мы рекомендуем? SPF -all или SPF ~all

Проблемы с доставкой электронной почты, связанные с механизмом SPF -all, могут возникать в очень редких случаях. Это не та проблема, с которой вы часто сталкиваетесь. Чтобы никогда не сталкиваться с этой проблемой, вы можете предпринять следующие шаги:

  • Настроить DMARC для ваших электронных писем и включите отчетность DMARC
  • Установите политику DMARC на мониторинг и внимательно изучите результаты проверки подлинности SPF, чтобы выявить любые несоответствия в доставляемости электронной почты.
  • Если все в порядке, вы можете использовать механизм -all в вашей записи SPF. Мы рекомендуем использовать атрибут hard fail, поскольку он подтверждает, что вы уверены в подлинности ваших писем, что может повысить репутацию вашего домена.

Если вы не уверены в том, что используете SPF -all, вы можете выполнить следующие шаги:

  • Настройте запись SPF с помощью механизма ~all
  • Настройка DMARC для вашей электронной почты и включение отчетности DMARC
  • Установите политику DMARC на отклонение

Устранение других ошибок SPF

При использовании онлайн-инструментов вы часто можете столкнуться с проблемой "Запись SPF не найдена", которая является распространенной ошибкой, возникающей из-за нулевого результата, возвращенного при поиске сервером SPF-записи вашего домена. Мы опубликовали статью, в которой подробно рассказываем об этой проблеме и помогаем пользователям решить ее. Нажмите на ссылку, чтобы узнать больше!

Если вы установили DMARC для своего домена поверх SPF, почтовые серверы будут проверять политику DMARC вашего домена, чтобы определить, как будут обрабатываться письма, не прошедшие аутентификацию. Эта политика DMARC определяет, будут ли ваши письма доставлены, помещены в карантин или отклонены. 

Отказ от DMARC помогает защитить ваш домен от различных атак с использованием самозванства, таких как спуфинг, фишинг и ransomware.

Вы когда-нибудь видели, как электронная почта терпит неудачу SPF? Если да, то я расскажу вам, почему SPF-аутентификация провалилась. Sender Policy Framework, или SPF, является одним из стандартов проверки электронной почты, который мы все использовали в течение многих лет, чтобы остановить спам. Даже если вы не знали об этом, я готов поспорить, что если бы я проверил настройки вашего аккаунта входа в Facebook, это, скорее всего, показало бы вам "подписку" на "электронную почту только от друзей". Это фактически то же самое, что и SPF.

Что такое SPF-аутентификация?

SPF - это протокол аутентификации электронной почты, который используется для проверки соответствия отправителя электронной почты его доменному имени в поле From: сообщения. Отправляющий MTA будет использовать DNS для запроса предварительно настроенного списка SPF-серверов, чтобы проверить, имеет ли IP-адрес отправителя право отправлять электронную почту для данного домена. Возможны несоответствия в настройке записей SPF, что очень важно для понимания того, почему электронные письма могут не пройти проверку SPF, и какую роль вы можете сыграть, чтобы не допустить возникновения проблем в ваших собственных маркетинговых мероприятиях по электронной почте.

Почему SPF-аутентификация не проходит : Нет, Нейтральный, Hardfail, Softfail, TempError и PermError

Сбой SPF-аутентификации может произойти по следующим причинам:

  • Получающий MTA не может найти запись SPF, опубликованную в вашем DNS.
  • У вас есть несколько SPF записей, опубликованных в вашем DNS для одного и того же домена.
  • Ваши ESP изменили или добавили к своим IP-адресам, которые не были обновлены в вашей записи SPF.
  • Если вы превысите 10-кратный лимит DNS поиска для SPF
  • Если вы превысите максимальное количество допустимых недействительных ограничений поиска в 2
  • Ваша сплющенная длина записи SPF превышает предел в 255 символов SPF.

Выше приведены различные сценарии того, почему SPF аутентификация не работает. Вы можете контролировать свои домены с помощью нашего анализатора DMARC для получения отчетов о сбоях SPF аутентификации. Когда у вас включен отчет DMARC, получающий MTA возвращает любой из следующих результатов SPF-аутентификации для электронной почты в зависимости от причины, по которой ваша электронная почта не прошла SPF-аутентификацию. Давайте узнаем их получше:

Типы квалификаторов отказа SPF

Ниже перечислены типы квалификаторов SPF Fail, каждый из которых добавляется в качестве префикса перед механизмом SPF fail:

"+" "Проход"
"-" "Провал"
"~" "Softfail"
"?" "Нейтральный"

Какое значение они имеют? В ситуации, когда ваше письмо не проходит проверку SPF, вы можете выбрать, как строго вы хотите, чтобы получатели обработали его. Вы можете указать классификатор для "пропуска" сообщений, которые не прошли проверку (доставить их), "Отказаться от доставки" или занять "Нейтральную" позицию (ничего не делать).

Случай 1: SPF Результат не возвращается.

В первом случае, - если принимающий почтовый сервер выполняет DNS поиск и не может найти доменное имя в DNS, результат не возвращается. Не возвращается также ни одна SPF-запись в DNS отправителя, что подразумевает, что отправитель не имеет настроенной SPF-аутентификации для этого домена. В этом случае SPF-аутентификация для вашей электронной почты будет неудачной.

Сгенерируйте вашу безошибочную SPF запись сейчас с помощью нашего бесплатного инструмента для генерации SPF записей, чтобы избежать этого.

Случай 2: Нейтральный результат SPF возвращается.

При настройке SPF для вашего домена, если вы прикрепили механизм ?all к вашей записи SPF, это означает, что независимо от того, что SPF-аутентификация проверяет ваши исходящие сообщения электронной почты, получающий MTA возвращает нейтральный результат. Это происходит потому, что когда вы имеете SPF в нейтральном режиме, вы не указываете IP адреса, которые авторизованы для отправки электронной почты от вашего имени и позволяете неавторизованным IP адресам посылать их также.

Дело 3: Результат SPF Softfail

Подобно нейтральному SPF, SPF softfail идентифицируется ~Всем механизмом, который подразумевает, что получающий MTA будет принимать почту и доставлять её в почтовый ящик получателя, но будет помечен как спам, в случае, если IP-адрес не указан в SPF-записи, найденной в DNS, что может быть причиной того, что SPF-аутентификация для вашей электронной почты не проходит. Ниже приведен пример SPF softfail:

 v=spf1 include:spf.google.com ~all

Дело 4: Результат SPF Hardfail

SPF hardfail, также известный как SPF fail - это когда получение MTA отбрасывает сообщения электронной почты, исходящие от любого источника отправки, который не указан в вашей записи SPF. Мы рекомендуем вам настроить SPF hardfail в вашей SPF записи, если вы хотите получить защиту от подделки домена и электронной почты. Ниже приведен пример SPF hardfail:

v=spf1 include:spf.google.com -all

Случай 5: Временная ошибка SPF (SPF TempError)

Одной из очень распространенных и часто безобидных причин неудачной SPF-аутентификации является SPF TempError (временная ошибка), которая возникает из-за ошибки DNS, такой как тайм-аут DNS, в то время как проверка SPF-аутентификации выполняется принимающим MTA. Поэтому, как следует из названия, это обычно временная ошибка, возвращающая код состояния 4xx, которая может вызвать временный отказ SPF, однако при повторной попытке позже она дает результат SPF pass.

Дело 6: Ошибка SPF (Постоянная ошибка SPF)

Еще одним распространенным результатом, с которым сталкиваются доменные ошибки, является SPF PermError. Вот почему SPF аутентификация в большинстве случаев терпит неудачу. Это происходит, когда ваша SPF запись становится недействительной при получении MTA. Есть много причин, по которым SPF может сломаться и стать недействительным MTA во время выполнения DNS поиска:

  • Превышение лимита на 10 поисковых запросов ПСФ.
  • Неправильный синтаксис записи SPF
  • Более одной записи SPF для одного и того же домена.
  • Превышение предела длины записи SPF в 255 символов
  • Если ваша запись в SPF не соответствует последним изменениям, сделанным вашими ESP

Примечание: Когда MTA выполняет SPF-проверку электронной почты, он запрашивает DNS или проводит DNS-поиск для проверки подлинности источника электронной почты. В идеале, в SPF вам разрешено максимум 10 DNS поисков, превышение которых приведет к провалу SPF и возвращению результата PermError.

Как динамическое сплющивание SPF может устранить ошибку SPF?

В отличие от других ошибок SPF, ошибка SPF PermError гораздо более сложна и трудна для разрешения. PowerSPF поможет вам легко решить эту проблему с помощью автоматического сглаживания SPF. Это поможет вам:

  • Держитесь под жестким лимитом SPF
  • Мгновенно оптимизируйте свой рекорд SPF
  • Расплющите вашу запись до единого включенного заявления.
  • Убедитесь, что ваша запись SPF всегда обновляется в соответствии с изменениями, сделанными вашими ESP.

Хотите проверить, правильно ли настроен SPF для вашего домена? Попробуйте наш бесплатный инструмент поиска записей SPF уже сегодня!