Сообщения

Очень распространенной проблемой, с которой пользователи SPF сталкиваются ежедневно, является риск генерирования слишком большого количества DNS поисков, которые могут легко превысить жесткий предел SPF. Это возвращает результат SPF PermError, когда DMARC мониторинг включен, и вызывает проблемы с доставкой электронной почты. С такими решениями, как SPF сглаживание, чтобы уменьшить эту проблему, PowerSPF фактически доставляет свои претензии и превосходит ожидания. Читайте дальше, чтобы узнать, как это сделать!

Слишком много просмотров DNS: Почему это происходит?

Первое, что вы должны понять, это почему вы в конечном итоге генерируете слишком много DNS поисков в первую очередь. Это происходит потому, что независимо от того, какое решение для обмена электронной почтой вы используете, ваш поставщик услуг добавляет больше механизмов к вашим записям, что приводит к большему количеству просмотров.

Например, если вы используете почтовый обменник Google, или Gmail, SPF-запись типа v=spf1 include:[email protected] -all фактически генерирует в общей сложности 4 поиска DNS. Вложенные элементы также инициируют больше просмотров, и если вы используете несколько сторонних поставщиков для отправки электронной почты с использованием вашего домена, вы можете легко превысить лимит в 10 просмотров DNS.

SPF сглаживает решение? Нет!

Ответ - нет. Ручное сплющивание SPF может помочь вам оставаться в пределах лимита поиска SPF 10, но у него есть свой набор ограничений и проблем. Если вы сглаживаете SPF вручную, то это просто замена включённых утверждений в вашей записи SPF на их соответствующие IP-адреса, чтобы исключить необходимость поиска. Это гарантирует, что в конечном итоге вы не будете генерировать слишком много DNS запросов, тем самым помогая вам оставаться в пределах 10 SPF запросов и избегать ошибок . Но с решениями по ручному выравниванию SPF возникают проблемы:

  • Длина записи SPF может быть слишком большой (более 255 символов)
  • Ваш поставщик услуг электронной почты может изменять или добавлять свои IP-адреса, не уведомляя вас об этом.
  • Нет инструментальной панели для мониторинга потока электронной почты, изменения или обновления доменов и механизмов, а также отслеживания деятельности
  • Вам нужно постоянно вносить изменения в DNS, чтобы обновлять записи SPF.
  • Доставка вашей электронной почты может пострадать из-за частой смены IP-адресов.

Как это влияет на тебя? Ну, если ваша SPF запись не обновляется на новых IP-адресах, которые используют ваши провайдеры электронной почты, то время от времени, когда эти IP-адреса используются, ваша электронная почта будет неизбежно обманывать SPF на стороне получателя.

Динамическое сглаживание SPF для разрешения слишком большого количества DNS поисков

Более разумным решением для устранения ошибок при DNS-поисках является PowerSPF, ваш автоматический уплотнитель записи SPF. PowerSPF - это ваше решение для сглаживания SPF в реальном времени, которое поможет вам:

  • Простая настройка SPF для вашего домена всего за несколько кликов.
  • Одно нажатие кнопки мгновенного сглаживания рекордов SPF с одним заявлением о включении, чтобы насладиться автоматическим управлением SPF включают в себя управление
  • Всегда оставайтесь в пределах 10 лимита на поиск DNS.
  • Автоматическое обновление сетевого блока и постоянное сканирование измененных IP-адресов для поддержания актуальности вашей SPF-записи
  • Поддерживайте удобную инструментальную панель, на которой вы можете легко обновлять изменения в своих политиках, добавлять домены и механизмы, а также отслеживать почтовый поток.

Зачем полагаться на инструменты SPF-сжатия, которые могут обеспечить временные результаты с соответствующими ограничениями? Оптимизируйте вашу запись SPF и уменьшите жесткий предел SPF с помощью Automatic SPF уже сегодня! Подпишитесь на PowerSPF прямо сейчас?

Причины, по которым следует избегать SPF Уплотнения.

Sender Policy Framework, или SPF - это широко известный протокол аутентификации электронной почты, который проверяет ваши сообщения, аутентифицируя их на всех авторизованных IP-адресах, зарегистрированных для вашего домена в вашей записи SPF. Для проверки подлинности электронной почты SPF указывает принимающему почтовому серверу на выполнение DNS-запросов для проверки авторизованных IP-адресов, что приводит к DNS-поиску.

Ваша SPF-запись существует в виде DNS TXT-записи, которая формируется из сборки различных механизмов. Большинство из этих механизмов (такие как include, a, mx, redirect, существует, ptr) генерируют DNS поиск. Однако, максимальное количество DNS поисков для SPF аутентификации ограничено 10. Если вы используете различных сторонних производителей для отправки электронной почты, используя свой домен, вы можете легко превысить жесткий предел SPF.

Вам может быть интересно, что случится, если вы превысите этот лимит? Превышение лимита на поиск 10 DNS приведет к срыву SPF и сделает недействительными даже легитимные сообщения, отправленные с вашего домена. В таких случаях принимающий почтовый сервер возвращает отчет SPF об ошибке в вашем домене, если у вас включен мониторинг DMARC. Это заставляет нас перейти к основной теме обсуждения этого блога: SPF сглаживание.

Что такое SPF Flattening?

Сглаживание рекорда SPF является одним из популярных методов, используемых экспертами отрасли для оптимизации вашего рекорда SPF и во избежание превышения жесткого лимита SPF. Процедура сплющивания SPF достаточно проста. Сглаживание вашей SPF записи - это процесс замены всех включённых механизмов на их соответствующие IP адреса для устранения необходимости выполнения DNS поиска.

Например, если ваша запись в SPF изначально выглядела так:

v=spf1 include:spf.domain.com -all

Сглаженная пластинка SPF будет выглядеть примерно так:

v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -all

Эта сплющенная запись генерирует только один DNS-поиск, вместо того, чтобы выполнять несколько поисков. Уменьшение количества DNS-запросов, выполняемых принимающим сервером во время почтовой аутентификации, помогает оставаться в пределах 10 DNS-поиска, однако у него есть свои проблемы.

Проблема с SPF сплющиванием

Кроме того, что ваша вручную сглаженная SPF запись может стать слишком длинной для публикации на DNS вашего домена (превышение 255 символов), вы должны учитывать, что ваш поставщик услуг электронной почты может изменять или добавлять к своим IP-адресам, не уведомляя вас как пользователя. Время от времени, когда ваш провайдер вносит изменения в свою инфраструктуру, эти изменения не будут отражены в вашей записи SPF. Следовательно, всякий раз, когда эти изменения или новые IP-адреса используются вашим почтовым сервером, электронная почта терпит неудачу SPF на стороне получателя.

PowerSPF: Ваш динамический генератор записей SPF.

Конечной целью PowerDMARC было придумать решение, которое может предотвратить владельцев доменов от попадания в 10 DNS поиск пределов, а также оптимизировать SPF записи, чтобы всегда быть в курсе последних IP-адресов, которые используются поставщиками услуг электронной почты. PowerSPF - это ваше автоматизированное решение для выравнивания SPF, которое просматривает вашу запись SPF и генерирует единое заявление о включении. PowerSPF поможет вам:

  • Добавлять или удалять IP-адреса и механизмы с легкостью
  • Автоматическое обновление нетблоков, чтобы убедиться, что ваши авторизованные IP-адреса всегда актуальны
  • Держитесь под 10-ю границами поиска DNS с легкостью.
  • Получите оптимизированную запись SPF одним щелчком мыши.
  • Постоянно побеждать "пермеррор".
  • Внедрить безошибочный SPF

Зарегистрируйтесь в PowerDMARC сегодня, чтобы обеспечить улучшенную доставку и проверку подлинности электронной почты, не превысив при этом лимит поиска 10 DNS SPF.

В этой статье мы рассмотрим, как легко оптимизировать SPF-запись для вашего домена. Для предприятий и малого бизнеса, которые владеют почтовым доменом для отправки и получения сообщений среди своих клиентов, партнеров и сотрудников, весьма вероятно, что запись SPF существует по умолчанию, которая была настроена вашим поставщиком услуг входящей почты. Независимо от того, есть ли у вас уже существующая запись SPF или вам нужно создать новую, вам необходимо правильно оптимизировать запись SPF для вашего домена, чтобы она не вызывала проблем с доставкой электронной почты.

Некоторые получатели электронной почты строго требуют SPF, что указывает на то, что если у вас нет опубликованной для вашего домена записи SPF, ваша электронная почта может быть помечена как спам в почтовом ящике получателя. Более того, SPF помогает в обнаружении неавторизованных источников, посылающих электронную почту от имени вашего домена.

Давайте сначала поймем, что такое SPF и зачем он вам нужен?

Основы политики в отношении отправителей (ОП)

SPF, по сути, является стандартным протоколом аутентификации электронной почты, который определяет IP-адреса, которые авторизированы для отправки электронной почты с вашего домена. Он работает путем сравнения адресов отправителей со списком авторизованных хостов-отправителей и IP-адресов для определенного домена, который опубликован в DNS для этого домена.

SPF, наряду с DMARC (Domain-based Message Authentication, Reporting and Conformance), предназначен для обнаружения поддельных адресов отправителей во время доставки электронной почты и предотвращения атак подделки, фишинга и почтового мошенничества.

Важно знать, что хотя стандартный SPF, интегрированный в ваш домен хостинг-провайдером, гарантирует, что электронные письма, отправленные с вашего домена, будут проверены на подлинность по SPF, если у вас есть несколько сторонних поставщиков для отправки электронных писем с вашего домена, эту существующую запись SPF необходимо адаптировать и изменить в соответствии с вашими требованиями. Как вы можете это сделать? Давайте рассмотрим два наиболее распространенных способа:

  • Создание совершенно нового рекорда SPF
  • Оптимизация существующего рекорда ПСФ

Инструкции по оптимизации SPF-записи

Создать совершенно новую запись SPF

Создание SPF-записи - это простая публикация TXT-записи в DNS вашего домена для настройки SPF для вашего домена. Это обязательный шаг, который выполняется перед тем, как вы начнете оптимизировать SPF-запись. Если вы только начинаете работать с аутентификацией и не знаете синтаксиса, вы можете использовать наш бесплатный онлайн-генератор SPF-записей для создания SPF-записи для вашего домена.

Запись SPF с правильным синтаксисом будет выглядеть примерно так:

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Определяет используемую версию SPF
ip4/ip6Этот механизм определяет действительные IP адреса, которые авторизованы для отправки электронной почты с вашего домена.
включатьЭтот механизм говорит принимающим серверам включать значения для записи SPF указанного домена.
-всеЭтот механизм предусматривает, что сообщения по электронной почте, не соответствующие требованиям ПСФ, будут отклоняться. Это рекомендуемый тег, который вы можете использовать во время публикации вашей записи SPF. Однако он может быть заменён на ~ для SPF Soft Fail (сообщения электронной почты, не соответствующие SPF, будут помечены как сообщения, не соответствующие SPF, но всё равно будут приняты) Или +, который указывает, что любому и каждому серверу будет позволено отправлять сообщения электронной почты от имени вашего домена, что настоятельно не рекомендуется.

Если у вас уже настроен SPF для вашего домена, вы также можете использовать нашу бесплатную SPF проверку записи для поиска и проверки вашей SPF записи и обнаружения проблем.

Общие проблемы и ошибки при настройке ПСФ

1) 10 Ограничение поиска DNS 

Самой распространенной проблемой, с которой сталкиваются владельцы доменов при настройке и принятии протокола SPF-аутентификации для своего домена, является то, что SPF поставляется с ограничением на количество DNS-поисков, которое не может превышать 10. Для доменов, полагающихся на несколько сторонних производителей, 10 DNS поиск пределов легко превышает, что в свою очередь нарушает SPF и возвращает SPF ошибку PermError. Принимающий сервер в таких случаях автоматически аннулирует вашу SPF запись и блокирует её.

Механизмы, которые инициируют DNS поиск: MX, A, INCLUDE, REDIRECT модификатор.

2) Поиск пустоты SPF 

Поиск по пустоте относится к поиску DNS, который возвращает либо ответ NOERROR, либо ответ NXDOMAIN (пустой ответ). При реализации SPF рекомендуется убедиться, что DNS поиск не возвращает пустой ответ.

3) рекурсивная петля SPF

Эта ошибка указывает на то, что SPF-запись для указанного вами домена содержит рекурсивные проблемы с одним или несколькими механизмами INCLUDE. Это происходит, когда один из доменов, указанных в теге INCLUDE, содержит домен, чья SPF-запись содержит тег INCLUDE исходного домена. Это приводит к бесконечному циклу, заставляющему почтовые серверы непрерывно выполнять DNS поиск SPF-записей. В конечном счёте это приводит к превышению лимита на поиск в 10 DNS, что приводит к тому, что сообщения электронной почты не будут иметь SPF.

4) Ошибки синтаксиса 

Запись SPF может существовать в DNS вашего домена, но она бесполезна, если содержит синтаксические ошибки. Если ваша запись SPF TXT содержит ненужные белые пробелы при наборе имени домена или механизма, то строка, предшествующая лишнему пространству, будет полностью проигнорирована принимающим сервером во время выполнения поиска, тем самым делая запись SPF недействительной.

5) Несколько записей SPF для одного и того же домена

Один домен может иметь только одну SPF TXT запись в DNS. Если ваш домен содержит более одной SPF записи, то принимающий сервер аннулирует их все, что приводит к отказу SPF электронной почты.

6) Длина записи SPF 

Максимальная длина записи SPF в DNS ограничена 255 символами. Однако этот предел может быть превышен, и запись TXT для SPF может содержать несколько строк, соединенных вместе, но не более 512 символов, чтобы соответствовать ответу на запрос DNS (согласно RFC 4408). Хотя позднее это требование было пересмотрено, получатели, полагающиеся на старые версии DNS, не могли подтвердить электронную почту, отправленную с доменов, содержащих длинную запись SPF.

Оптимизация записи SPF

Для того, чтобы быстро изменить вашу запись в SPF, вы можете использовать следующий передовой опыт SPF:

  • Попробуйте напечатать ваши источники электронной почты в порядке уменьшения важности слева направо в вашей записи SPF.
  • Удалить устаревшие источники электронной почты из вашего DNS
  • Используйте механизмы IP4/IP6 вместо A и MX
  • Держите ваше количество механизмов INCLUDE как можно меньше и избежать вложенных включает в себя
  • Не публикуйте более одной SPF-записи для одного и того же домена в вашем DNS.
  • Убедитесь, что ваша SPF запись не содержит лишних белых пробелов или синтаксических ошибок.

Примечание: SPF сплющивание не рекомендуется, так как это не одноразовая сделка. Если ваш поставщик услуг электронной почты меняет свою инфраструктуру, вам придется каждый раз вносить соответствующие изменения в записи SPF.

Оптимизация вашей записи SPF легко с помощью PowerSPF

Вы можете попробовать внедрить все вышеперечисленные модификации, чтобы оптимизировать вашу запись в SPF вручную, или вы можете забыть о сложностях и положиться на наш динамический PowerSPF, чтобы сделать все это за вас автоматически! PowerSPF поможет вам оптимизировать вашу запись в SPF одним щелчком мыши, где вы сможете это сделать:

  • Добавление или удаление источников отправки с легкостью
  • Обновлять записи легко без необходимости вносить изменения в DNS вручную.
  • Получить оптимизированную автоматическую SPF запись одним щелчком кнопки
  • Держитесь все время под 10 лимитом поиска DNS
  • Успешное устранение ПермОшибки
  • Забудьте о синтаксических ошибках записи SPF и проблемах конфигурации
  • Мы снимаем с вас бремя решения ограничений ПСФ.

Зарегистрируйтесь в PowerDMARC сегодня, чтобы навсегда отказаться от ограничений СПФ!  

Как поставщику услуг DMARC, нам часто задают этот вопрос: "Если DMARC просто использует SPF и DKIM аутентификацию, зачем нам беспокоиться о DMARC? Разве это не лишнее?"

На первый взгляд может показаться, что это мало что меняет, но реальность совсем другая. DMARC - это не просто комбинация технологий SPF и DKIM, это совершенно новый протокол сам по себе. Он имеет несколько особенностей, которые делают его одним из самых продвинутых стандартов аутентификации электронной почты в мире, и абсолютную необходимость для бизнеса.

Но подожди минутку. Мы не ответили точно, зачем вам нужен DMARC. Что он предлагает, чего нет у SPF и DKIM? Ну, это довольно длинный ответ, слишком длинный для одной записи в блоге. Так что давайте разделим его и сначала поговорим о SPF. На случай, если вы не знакомы с ним, вот краткое вступление.

Что такое SPF?

SPF, или Sender Policy Framework, является протоколом аутентификации электронной почты, который защищает получателя электронной почты от подделок. По сути, это список всех IP-адресов, разрешенных для отправки электронной почты по вашим (владельца домена) каналам. Когда принимающий сервер видит сообщение из вашего домена, он проверяет SPF запись, опубликованную в вашем DNS. Если IP-адрес отправителя находится в этом 'списке', электронная почта доставляется. Если нет, то сервер отклоняет сообщение.

Как вы видите, SPF делает довольно хорошую работу, удерживая в тайне множество неприятных электронных писем, которые могут нанести вред вашему устройству или скомпрометировать системы безопасности вашей организации. Но SPF не так хорош, как некоторые могут подумать. Это потому, что у него есть некоторые очень серьезные недостатки. Давайте поговорим о некоторых из этих проблем.

Ограничения СПФ

Записи SPF не применимы к адресу "From".

Электронная почта имеет несколько адресов для идентификации отправителя: адрес From, который вы обычно видите, и адрес Return Path, который скрыт и требует одного или двух щелчков мыши для просмотра. С включенной функцией SPF принимающий почтовый сервер смотрит на путь возврата и проверяет записи SPF домена с этого адреса.

Проблема здесь заключается в том, что злоумышленники могут использовать это, используя поддельный домен в своем адресе пути возврата (Return Path address) и легитимный (или легальный) адрес электронной почты в разделе От (From). Даже если бы получатель проверял почтовый ID отправителя, он бы сначала увидел адрес From, и обычно не утруждается проверкой пути возврата. На самом деле, большинство людей даже не знает, что существует такая вещь, как адрес Return Path.

SPF можно довольно легко обойти, используя этот простой трюк, и даже домены, защищенные SPF, остаются в значительной степени уязвимыми.

Записи SPF имеют ограничение на поиск DNS

Записи SPF содержат список всех IP-адресов, разрешенных владельцем домена для отправки электронной почты. Однако, у них есть важный недостаток. Принимающему серверу необходимо проверить запись, чтобы убедиться, что отправитель авторизован, и, чтобы уменьшить нагрузку на сервер, записи SPF имеют ограничение на 10 DNS поисков.

Это означает, что если ваша организация использует несколько сторонних производителей, которые посылают электронную почту через ваш домен, запись SPF может в конечном итоге превысить этот лимит. Если правильно не оптимизировать (что не так-то просто сделать самому), записи SPF будут иметь очень ограничительный лимит. Когда вы превышаете этот лимит, реализация SPF считается недействительной и ваша электронная почта не работает SPF. Это может потенциально повредить скорости доставки вашей электронной почты.

 

SPF не всегда работает, когда электронная почта пересылается.

SPF имеет еще одну критическую точку отказа, которая может навредить доставке вашей электронной почты. Когда вы внедрили SPF на вашем домене и кто-то пересылает вашу электронную почту, пересылаемая электронная почта может быть отклонена из-за вашей политики SPF.

Это происходит потому, что переадресованное сообщение изменило получателя письма, но адрес отправителя остался прежним. Это становится проблемой, потому что сообщение содержит адрес From оригинального отправителя, но принимающий сервер видит другой IP. IP-адрес почтового сервера пересылки не включен в SPF-запись домена оригинального отправителя. Это может привести к тому, что письмо будет отклонено принимающим сервером.

Как DMARC решает эти проблемы?

DMARC использует комбинацию SPF и DKIM для аутентификации электронной почты. Электронная почта должна пройти либо SPF, либо DKIM, чтобы пройти DMARC и быть доставлена успешно. И это также добавляет одну ключевую особенность, которая делает его намного более эффективным, чем SPF или DKIM в одиночку: Отчетность.

С помощью отчетов DMARC вы ежедневно получаете обратную связь о состоянии ваших каналов электронной почты. Сюда входит информация о выравнивании DMARC, данные об электронных сообщениях, в которых произошла неудачная аутентификация, и подробности о возможных попытках подделки.

Если вам интересно, что можно сделать, чтобы не подделать, обратитесь к нашему удобному руководству по 5-ти лучшим способам избежать подделки электронной почты.