Сообщения

Вы когда-нибудь видели, как электронная почта терпит неудачу SPF? Если да, то я расскажу вам, почему SPF-аутентификация провалилась. Sender Policy Framework, или SPF, является одним из стандартов проверки электронной почты, который мы все использовали в течение многих лет, чтобы остановить спам. Даже если вы не знали об этом, я готов поспорить, что если бы я проверил настройки вашего аккаунта входа в Facebook, это, скорее всего, показало бы вам "подписку" на "электронную почту только от друзей". Это фактически то же самое, что и SPF.

SPF - это протокол аутентификации электронной почты, который используется для проверки соответствия отправителя электронной почты его доменному имени в поле From: сообщения. MTA-отправитель будет использовать DNS для запроса предварительно настроенного списка SPF-серверов, чтобы проверить, авторизован ли IP-адрес отправителя для отправки электронной почты для этого домена. Могут быть несоответствия в настройке SPF записей, что очень важно для понимания того, почему электронная почта может не пройти SPF верификацию, и какую роль вы можете сыграть, чтобы гарантировать, что проблемы не возникнут в ваших собственных усилиях по маркетингу электронной почты.

Почему SPF-аутентификация не проходит : Нет, Нейтральный, Hardfail, Softfail, TempError и PermError

Сбой SPF-аутентификации может произойти по следующим причинам:

  • Получающий MTA не может найти запись SPF, опубликованную в вашем DNS.
  • У вас есть несколько SPF записей, опубликованных в вашем DNS для одного и того же домена.
  • Ваши ESP изменили или добавили к своим IP-адресам, которые не были обновлены в вашей записи SPF.
  • Если вы превысите 10-кратный лимит DNS поиска для SPF
  • Если вы превысите максимальное количество допустимых недействительных ограничений поиска в 2
  • Ваша сплющенная длина записи SPF превышает предел в 255 символов SPF.

Выше приведены различные сценарии того, почему SPF аутентификация не работает. Вы можете контролировать свои домены с помощью нашего анализатора DMARC для получения отчетов о сбоях SPF аутентификации. Когда у вас включен отчет DMARC, получающий MTA возвращает любой из следующих результатов SPF-аутентификации для электронной почты в зависимости от причины, по которой ваша электронная почта не прошла SPF-аутентификацию. Давайте узнаем их получше:

Случай 1: SPF Результат не возвращается.

В первом случае, - если принимающий почтовый сервер выполняет DNS поиск и не может найти доменное имя в DNS, результат не возвращается. Не возвращается также ни одна SPF-запись в DNS отправителя, что подразумевает, что отправитель не имеет настроенной SPF-аутентификации для этого домена. В этом случае SPF-аутентификация для вашей электронной почты будет неудачной.

Сгенерируйте вашу безошибочную SPF запись сейчас с помощью нашего бесплатного инструмента для генерации SPF записей, чтобы избежать этого.

Случай 2: Нейтральный результат SPF возвращается.

При настройке SPF для вашего домена, если вы прикрепили механизм ?all к вашей записи SPF, это означает, что независимо от того, что SPF-аутентификация проверяет ваши исходящие сообщения электронной почты, получающий MTA возвращает нейтральный результат. Это происходит потому, что когда вы имеете SPF в нейтральном режиме, вы не указываете IP адреса, которые авторизованы для отправки электронной почты от вашего имени и позволяете неавторизованным IP адресам посылать их также.

Дело 3: Результат SPF Softfail

Подобно нейтральному SPF, SPF softfail идентифицируется ~Всем механизмом, который подразумевает, что получающий MTA будет принимать почту и доставлять её в почтовый ящик получателя, но будет помечен как спам, в случае, если IP-адрес не указан в SPF-записи, найденной в DNS, что может быть причиной того, что SPF-аутентификация для вашей электронной почты не проходит. Ниже приведен пример SPF softfail:

 v=spf1 include:spf.google.com ~all

Дело 4: Результат SPF Hardfail

SPF hardfail, также известный как SPF fail - это когда получение MTA отбрасывает сообщения электронной почты, исходящие от любого источника отправки, который не указан в вашей записи SPF. Мы рекомендуем вам настроить SPF hardfail в вашей SPF записи, если вы хотите получить защиту от подделки домена и электронной почты. Ниже приведен пример SPF hardfail:

v=spf1 include:spf.google.com -all

Случай 5: Временная ошибка SPF (SPF TempError)

Одной из очень распространенных и часто безобидных причин, почему SPF аутентификация не проходит, является SPF TempError (временная ошибка), которая вызвана ошибкой DNS, такой как таймаут DNS, в то время как SPF аутентификация проверяется получающим MTA. Поэтому, как следует из названия, обычно это временная ошибка, возвращающая 4xx код статуса, которая может вызвать временный сбой SPF, однако приводящая к результату SPF-передачи при повторной попытке позже.

Дело 6: Ошибка SPF (Постоянная ошибка SPF)

Еще одним распространенным результатом, с которым сталкиваются доменные ошибки, является SPF PermError. Вот почему SPF аутентификация в большинстве случаев терпит неудачу. Это происходит, когда ваша SPF запись становится недействительной при получении MTA. Есть много причин, по которым SPF может сломаться и стать недействительным MTA во время выполнения DNS поиска:

  • Превышение лимита на 10 поисковых запросов ПСФ.
  • Неправильный синтаксис записи SPF
  • Более одной записи SPF для одного и того же домена.
  • Превышение предела длины записи SPF в 255 символов
  • Если ваша запись в SPF не соответствует последним изменениям, сделанным вашими ESP

Примечание: Когда MTA выполняет SPF-проверку электронной почты, он запрашивает DNS или проводит DNS-поиск для проверки подлинности источника электронной почты. В идеале, в SPF вам разрешено максимум 10 DNS поисков, превышение которых приведет к провалу SPF и возвращению результата PermError.

Как динамическое сплющивание SPF может устранить ошибку SPF?

В отличие от других SPF ошибок, SPF PermError гораздо сложнее и сложнее в разрешении. PowerSPF помогает легко устранить его с помощью автоматического сплющивания SPF. Это поможет вам:

  • Держитесь под жестким лимитом SPF
  • Мгновенно оптимизируйте свой рекорд SPF
  • Расплющите вашу запись до единого включенного заявления.
  • Убедитесь, что ваша запись SPF всегда обновляется в соответствии с изменениями, сделанными вашими ESP.

Хотите проверить, правильно ли настроен SPF для вашего домена? Попробуйте наш бесплатный инструмент поиска записей SPF уже сегодня!

Можно ли иметь несколько записей SPF в вашем домене? Ответ - нет, так как наличие нескольких SPF записей является одной из наиболее распространенных ошибок SPF, с которыми сталкиваются владельцы домена, это может полностью аннулировать ваш SPF и привести к SPF PermError. Чтобы понять, почему это происходит, нам нужно знать, как работает SPF и почему наличие более одной записи SPF может вызвать проблемы при аутентификации. Проведите вашу проверку записи SPF сегодня, чтобы найти ошибки в конфигурации записи SPF.

Как работает SPF?

Sender Policy Framework или SPF - это популярный протокол аутентификации электронной почты, который работает путем перечисления всех авторизованных источников отправки, которым разрешено отправлять электронную почту от имени вашего домена. SPF работает путем выполнения DNS запросов, или DNS поисков, где принимающий MTA ищет и проверяет адрес Return-path вашей электронной почты, сопоставляя его со списком IP-адресов, упомянутых в SPF-записи, которая находится в DNS вашего домена.

Если совпадение найдено, электронная почта проходит SPF, иначе она не проходит SPF.

Следовательно, настройка SPF - это простая публикация записи DNS TXT, которая начинается с синтаксиса "v=spf1".

Что такое SPF PermError?

Когда принимающий MTA начинает выполнять SPF-аутентификацию электронной почты, он получает все записи DNS TXT, которые начинаются с "v=spf1". В случае, если SPF не сконфигурирован для домена отправителя, и SPF запись не найдена в DNS, результат None возвращается. Напротив, если для одного и того же домена найдено несколько SPF записей, начинающихся с "v=spf1", возвращается результат PermError.

Не в ту сторону: 

Тип записиДоменное имяЗначение записиTTL
TXTexampledomain.comv=spf1 include:_spf.zoho.com -allстандартный
TXTexampledomain.comv=spf1 include:_spf.google.com -allстандартный

В данном примере для домена exampledomain.com есть 2 отдельные записи DNS TXT, которые были опубликованы в DNS домена. В этом случае SPF аутентификация не проходит из-за SPF PermError.

 

Правильный путь: 

Тип записиДоменное имяЗначение записиTTL
TXTexampledomain.comv=spf1 include:_spf.zoho.com include:_spf.google.com -allстандартный

В этом примере домен exampledomain.com имеет только одну SPF DNS TXT запись, опубликованную в DNS путем добавления всех включенных механизмов в одну запись. Запись действительна, и SPF в этом случае не вернет результат PermError. Узнайте, как оптимизировать вашу SPF запись правильным способом, чтобы избежать ошибок SPF записи в будущем.

Другие факторы, влияющие на SPF: Типы ошибок SPF

Как обсуждалось выше, наличие более одной SPF записи является распространённой SPF ошибкой, которая может сделать вашу SPF запись недействительной и привести к сбою SPF аутентификации. Так что ответ на вопрос "Могу ли я иметь несколько SPF записей в моём домене?" прост и понятен: нет, вы не можете. После того, как вы убедились, что у вас есть только одна SPF запись, опубликованная в вашем DNS, все еще могут быть другие факторы, вызывающие SPF ошибки.

  • Превышение предела поиска SPF 10 может также вернуть SPF ошибку и прерывание SPF.
  • Ручное выравнивание вашей SPF записи для прослушивания всех IP адресов за вашим механизмом включения может привести к длинной записи, которая может превысить предел строки символов в 255 символов.
  • Ваши поставщики услуг электронной почты, такие как Zoho, Gmail или Outlook, могут изменять или добавлять к своим IP-адресам IP-адреса, что делает запись SPF недействительной.
  • Ваша запись в SPF может содержать синтаксические ошибки.

Чтобы избежать вышеупомянутых ошибок, используйте PowerSPF для автоматического сглаживания SPF-записи и оставайтесь в пределах 10 DNS-поиска.

Вы можете сгенерировать безошибочную SPF-запись с помощью нашего бесплатного генератора SPF-записей. Зарегистрируйтесь сегодня в DMARC Analyzer, чтобы правильно настроить SPF для вашего домена и избежать всех ошибок SPF.

Причины, по которым следует избегать SPF Уплотнения.

Sender Policy Framework, или SPF - это широко известный протокол аутентификации электронной почты, который проверяет ваши сообщения, аутентифицируя их на всех авторизованных IP-адресах, зарегистрированных для вашего домена в вашей записи SPF. Для проверки подлинности электронной почты SPF указывает принимающему почтовому серверу на выполнение DNS-запросов для проверки авторизованных IP-адресов, что приводит к DNS-поиску.

Ваша SPF-запись существует в виде DNS TXT-записи, которая формируется из сборки различных механизмов. Большинство из этих механизмов (такие как include, a, mx, redirect, существует, ptr) генерируют DNS поиск. Однако, максимальное количество DNS поисков для SPF аутентификации ограничено 10. Если вы используете различных сторонних производителей для отправки электронной почты, используя свой домен, вы можете легко превысить жесткий предел SPF.

Вам может быть интересно, что случится, если вы превысите этот лимит? Превышение лимита на поиск 10 DNS приведет к срыву SPF и сделает недействительными даже легитимные сообщения, отправленные с вашего домена. В таких случаях принимающий почтовый сервер возвращает отчет SPF об ошибке в вашем домене, если у вас включен мониторинг DMARC. Это заставляет нас перейти к основной теме обсуждения этого блога: SPF сглаживание.

Что такое SPF Flattening?

Сглаживание рекорда SPF является одним из популярных методов, используемых экспертами отрасли для оптимизации вашего рекорда SPF и во избежание превышения жесткого лимита SPF. Процедура сплющивания SPF достаточно проста. Сглаживание вашей SPF записи - это процесс замены всех включённых механизмов на их соответствующие IP адреса для устранения необходимости выполнения DNS поиска.

Например, если ваша запись в SPF изначально выглядела так:

v=spf1 include:spf.domain.com -all

Сглаженная пластинка SPF будет выглядеть примерно так:

v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -all

Эта сплющенная запись генерирует только один DNS-поиск, вместо того, чтобы выполнять несколько поисков. Уменьшение количества DNS-запросов, выполняемых принимающим сервером во время почтовой аутентификации, помогает оставаться в пределах 10 DNS-поиска, однако у него есть свои проблемы.

Проблема с SPF сплющиванием

Кроме того, что ваша вручную сглаженная SPF запись может стать слишком длинной для публикации на DNS вашего домена (превышение 255 символов), вы должны учитывать, что ваш поставщик услуг электронной почты может изменять или добавлять к своим IP-адресам, не уведомляя вас как пользователя. Время от времени, когда ваш провайдер вносит изменения в свою инфраструктуру, эти изменения не будут отражены в вашей записи SPF. Следовательно, всякий раз, когда эти изменения или новые IP-адреса используются вашим почтовым сервером, электронная почта терпит неудачу SPF на стороне получателя.

PowerSPF: Ваш динамический генератор записей SPF.

Конечной целью PowerDMARC было придумать решение, которое может предотвратить владельцев доменов от попадания в 10 DNS поиск пределов, а также оптимизировать SPF записи, чтобы всегда быть в курсе последних IP-адресов, которые используются поставщиками услуг электронной почты. PowerSPF - это ваше автоматизированное решение для выравнивания SPF, которое просматривает вашу запись SPF и генерирует единое заявление о включении. PowerSPF поможет вам:

  • Добавлять или удалять IP-адреса и механизмы с легкостью
  • Автоматическое обновление нетблоков, чтобы убедиться, что ваши авторизованные IP-адреса всегда актуальны
  • Держитесь под 10-ю границами поиска DNS с легкостью.
  • Получите оптимизированную запись SPF одним щелчком мыши.
  • Постоянно побеждать "пермеррор".
  • Внедрить безошибочный SPF

Зарегистрируйтесь в PowerDMARC сегодня, чтобы обеспечить улучшенную доставку и проверку подлинности электронной почты, не превысив при этом лимит поиска 10 DNS SPF.

В этой статье мы рассмотрим, как легко оптимизировать SPF-запись для вашего домена. Для предприятий и малого бизнеса, которые владеют почтовым доменом для отправки и получения сообщений среди своих клиентов, партнеров и сотрудников, весьма вероятно, что запись SPF существует по умолчанию, которая была настроена вашим поставщиком услуг входящей почты. Независимо от того, есть ли у вас уже существующая запись SPF или вам нужно создать новую, вам необходимо правильно оптимизировать запись SPF для вашего домена, чтобы она не вызывала проблем с доставкой электронной почты.

Некоторые получатели электронной почты строго требуют SPF, что указывает на то, что если у вас нет опубликованной для вашего домена записи SPF, ваша электронная почта может быть помечена как спам в почтовом ящике получателя. Более того, SPF помогает в обнаружении неавторизованных источников, посылающих электронную почту от имени вашего домена.

Давайте сначала поймем, что такое SPF и зачем он вам нужен?

Основы политики в отношении отправителей (ОП)

SPF, по сути, является стандартным протоколом аутентификации электронной почты, который определяет IP-адреса, которые авторизированы для отправки электронной почты с вашего домена. Он работает путем сравнения адресов отправителей со списком авторизованных хостов-отправителей и IP-адресов для определенного домена, который опубликован в DNS для этого домена.

SPF, наряду с DMARC (Domain-based Message Authentication, Reporting and Conformance), предназначен для обнаружения поддельных адресов отправителей во время доставки электронной почты и предотвращения атак подделки, фишинга и почтового мошенничества.

Важно знать, что хотя стандартный SPF, интегрированный в ваш домен хостинг-провайдером, гарантирует, что электронные письма, отправленные с вашего домена, будут проверены на подлинность по SPF, если у вас есть несколько сторонних поставщиков для отправки электронных писем с вашего домена, эту существующую запись SPF необходимо адаптировать и изменить в соответствии с вашими требованиями. Как вы можете это сделать? Давайте рассмотрим два наиболее распространенных способа:

  • Создание совершенно нового рекорда SPF
  • Оптимизация существующего рекорда ПСФ

Инструкции по оптимизации SPF-записи

Создать совершенно новую запись SPF

Создание SPF-записи - это простая публикация TXT-записи в DNS вашего домена для настройки SPF для вашего домена. Это обязательный шаг, который выполняется перед тем, как вы начнете оптимизировать SPF-запись. Если вы только начинаете работать с аутентификацией и не знаете синтаксиса, вы можете использовать наш бесплатный онлайн-генератор SPF-записей для создания SPF-записи для вашего домена.

Запись SPF с правильным синтаксисом будет выглядеть примерно так:

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Определяет используемую версию SPF
ip4/ip6Этот механизм определяет действительные IP адреса, которые авторизованы для отправки электронной почты с вашего домена.
включатьЭтот механизм говорит принимающим серверам включать значения для записи SPF указанного домена.
-всеЭтот механизм предусматривает, что сообщения по электронной почте, не соответствующие требованиям ПСФ, будут отклоняться. Это рекомендуемый тег, который вы можете использовать во время публикации вашей записи SPF. Однако он может быть заменён на ~ для SPF Soft Fail (сообщения электронной почты, не соответствующие SPF, будут помечены как сообщения, не соответствующие SPF, но всё равно будут приняты) Или +, который указывает, что любому и каждому серверу будет позволено отправлять сообщения электронной почты от имени вашего домена, что настоятельно не рекомендуется.

Если у вас уже настроен SPF для вашего домена, вы также можете использовать нашу бесплатную SPF проверку записи для поиска и проверки вашей SPF записи и обнаружения проблем.

Общие проблемы и ошибки при настройке ПСФ

1) 10 Ограничение поиска DNS 

Самой распространенной проблемой, с которой сталкиваются владельцы доменов при настройке и принятии протокола SPF-аутентификации для своего домена, является то, что SPF поставляется с ограничением на количество DNS-поисков, которое не может превышать 10. Для доменов, полагающихся на несколько сторонних производителей, 10 DNS поиск пределов легко превышает, что в свою очередь нарушает SPF и возвращает SPF ошибку PermError. Принимающий сервер в таких случаях автоматически аннулирует вашу SPF запись и блокирует её.

Механизмы, которые инициируют DNS поиск: MX, A, INCLUDE, REDIRECT модификатор.

2) Поиск пустоты SPF 

Поиск по пустоте относится к поиску DNS, который возвращает либо ответ NOERROR, либо ответ NXDOMAIN (пустой ответ). При реализации SPF рекомендуется убедиться, что DNS поиск не возвращает пустой ответ.

3) рекурсивная петля SPF

Эта ошибка указывает на то, что SPF-запись для указанного вами домена содержит рекурсивные проблемы с одним или несколькими механизмами INCLUDE. Это происходит, когда один из доменов, указанных в теге INCLUDE, содержит домен, чья SPF-запись содержит тег INCLUDE исходного домена. Это приводит к бесконечному циклу, заставляющему почтовые серверы непрерывно выполнять DNS поиск SPF-записей. В конечном счёте это приводит к превышению лимита на поиск в 10 DNS, что приводит к тому, что сообщения электронной почты не будут иметь SPF.

4) Ошибки синтаксиса 

Запись SPF может существовать в DNS вашего домена, но она бесполезна, если содержит синтаксические ошибки. Если ваша запись SPF TXT содержит ненужные белые пробелы при наборе имени домена или механизма, то строка, предшествующая лишнему пространству, будет полностью проигнорирована принимающим сервером во время выполнения поиска, тем самым делая запись SPF недействительной.

5) Несколько записей SPF для одного и того же домена

Один домен может иметь только одну SPF TXT запись в DNS. Если ваш домен содержит более одной SPF записи, то принимающий сервер аннулирует их все, что приводит к отказу SPF электронной почты.

6) Длина записи SPF 

Максимальная длина записи SPF в DNS ограничена 255 символами. Однако этот предел может быть превышен, и запись TXT для SPF может содержать несколько строк, соединенных вместе, но не более 512 символов, чтобы соответствовать ответу на запрос DNS (согласно RFC 4408). Хотя позднее это требование было пересмотрено, получатели, полагающиеся на старые версии DNS, не могли подтвердить электронную почту, отправленную с доменов, содержащих длинную запись SPF.

Оптимизация записи SPF

Для того, чтобы быстро изменить вашу запись в SPF, вы можете использовать следующий передовой опыт SPF:

  • Попробуйте напечатать ваши источники электронной почты в порядке уменьшения важности слева направо в вашей записи SPF.
  • Удалить устаревшие источники электронной почты из вашего DNS
  • Используйте механизмы IP4/IP6 вместо A и MX
  • Держите ваше количество механизмов INCLUDE как можно меньше и избежать вложенных включает в себя
  • Не публикуйте более одной SPF-записи для одного и того же домена в вашем DNS.
  • Убедитесь, что ваша SPF запись не содержит лишних белых пробелов или синтаксических ошибок.

Примечание: SPF сплющивание не рекомендуется, так как это не одноразовая сделка. Если ваш поставщик услуг электронной почты меняет свою инфраструктуру, вам придется каждый раз вносить соответствующие изменения в записи SPF.

Оптимизация вашей записи SPF легко с помощью PowerSPF

Вы можете попробовать внедрить все вышеперечисленные модификации, чтобы оптимизировать вашу запись в SPF вручную, или вы можете забыть о сложностях и положиться на наш динамический PowerSPF, чтобы сделать все это за вас автоматически! PowerSPF поможет вам оптимизировать вашу запись в SPF одним щелчком мыши, где вы сможете это сделать:

  • Добавление или удаление источников отправки с легкостью
  • Обновлять записи легко без необходимости вносить изменения в DNS вручную.
  • Получить оптимизированную автоматическую SPF запись одним щелчком кнопки
  • Держитесь все время под 10 лимитом поиска DNS
  • Успешное устранение ПермОшибки
  • Забудьте о синтаксических ошибках записи SPF и проблемах конфигурации
  • Мы снимаем с вас бремя решения ограничений ПСФ.

Зарегистрируйтесь в PowerDMARC сегодня, чтобы навсегда отказаться от ограничений СПФ!