Что такое SPF Include?
Время чтения: 6 мин
Механизм SPF Include содержит ссылки или условия внутри SPF-записи, которые должны быть выполнены для каждого конкретного сервера, чтобы улучшить доставляемость электронной почты. Если вы случайно не добавите в запись SPF утверждения Include для ваших сторонних поставщиков, это может привести к проблемам для ваших получателей, например, к отклонению писем, и ваш общий показатель отказов может резко возрасти.
Узнайте, что представляет собой механизм "Include" в SPF-записях и как можно оптимизировать заявления SPF Include для ваших нужд.
Ключевые выводы
- Механизм SPF Include повышает надежность доставки электронной почты, указывая авторизованные домены или IP-адреса отправителей.
- Включение утверждений Include в записи SPF имеет решающее значение для предотвращения отклонения писем от сторонних поставщиков.
- Каждая запись SPF должна иметь определенную структуру, включающую декларации, разрешенные домены и IP-адреса.
- Использование нескольких записей SPF может привести к путанице на принимающих почтовых серверах, что может стать причиной сбоев в доставке почты.
- Правильно оптимизированные записи SPF с включением могут упростить управление и улучшить процессы аутентификации электронной почты.
Что означает SPF Include?
В синтаксисе записи SPF механизм "include" указывает на записи, которые нужно передать вашему почтовому серверу для проверки записей, совпадающих с доменом, указанным в строке "include".
SPF "include" указывает на домен, SPF-записи которого будут запрашиваться при проверке того, разрешен или нет IP-адрес отправителя. Если IP-адрес отправителя включен в список "include", определенный SPF, то это приведет к совпадению и SPF пройдет.
Важность механизма множественного включения SPF
Включение SPF очень важно, потому что:
➜ Он указывает, что вы хотите быть защищены SPF-записями для любого домена, перечисленного в вашем блоке "include".
➜ Добавляет правила, специфичные для домена.
➜ Вы можете использовать механизм SPF Include для дальнейшего включения общих правил фильтрации, которые применяются ко всем доменам в пределах одного класса. Это означает, что если ваше приложение поддерживает несколько классов почтовых адресов, вы можете использовать утверждения include для более сложной фильтрации на основе класса адреса получателя.
Как работает система SPF?
Механизм включения SPF позволяет владельцу домена делегировать ответственность за отправку электронной почты другому домену. Он обычно используется, когда владелец домена хочет уполномочить стороннюю службу или провайдера отправлять электронную почту от его имени.
Вот как работает механизм включения SPF:
- Владелец домена публикует запись SPF
- Механизм включения в запись SPF указывает другой домен или IP-адрес, который уполномочен отправлять электронную почту от их имени.
- В процессе поиска запись SPF извлекается из DNS домена отправителя.
- Принимающий сервер электронной почты оценивает запись SPF, чтобы определить, имеет ли отправляющий сервер право отправлять электронную почту для этого домена. Если запись SPF включает механизм "include", принимающий сервер также проверяет запись SPF включенного домена.
- Принимающий сервер выполняет рекурсивный поиск, запрашивая в DNS SPF-запись включенного домена. Этот процесс продолжается, если существует несколько уровней механизмов включения.
Настройте SPF правильным способом с помощью PowerDMARC!
Пример включения SPF
Например.: Если в вашей SPF-записи указано "include:_spf.google.com", а электронная почта отправляется с IP-адреса Google, она будет считаться авторизованным отправителем электронной почты, поскольку IP-адрес отправителя находится в механизме "include" SPF-записи этого домена. В результате этого электронное письмо успешно пройдет через сервер и достигнет адресата.
Для авторизации google в качестве проверенного источника отправки, это должен быть синтаксис вашей SPF-записи:
v=spf1 include:_spf.google.com ~all
Как включить несколько доменов, хостов или IP-адресов в запись SPF?
Если вы хотите включить более 1 записи SPF, вы можете столкнуться с проблемами при доставке электронной почты (например электронные письма отклоняются как спам). В этом случае необходимо удалить все записи SPF и объединить записи доменов или хостов в одну запись или строку с помощью SPF include.
Рассмотрим пример SPF-записи с многочисленными хостами и ip4-адресами, используемой одним из известных в мире производителей бытовой электроники, Lenovo.com.
При выполнении SPF Record Lookup для Lenovo.com, мы обнаружили, что он объединил 4 домена:
- spf.messagelabs.com
- _netblocks.eloqua.com
- spf.protection.outlook.com
- spf.pfpool.lenovo.com
и 5 адресов IP4:
- 72.32.45.225
- 40.65.201.146
- 138.108.60.125
- 138.108.24.107
- 52.247.21.11
в одну запись следующим образом:
v=spf1 include:spf.messagelabs.com include:_netblocks.eloqua.com include:spf.protection.outlook.com include:spf.pfpool.lenovo.com ip4:72.32.45.225 ip4:40.65.201.146 ip4:138.108.60.125 ip4:138.108.24.107 ip4:52.247.21.11 ~all
Понимание семантики записи SPF
Рассматривая приведенный выше пример, мы узнали, что при объединении множества хостов или IP4-адресов в одну SPF-запись действует следующее правило.
Чтобы запись SPF считалась действительной, она должна содержать 3 раздела: объявление (начало), механизм include для доменов и тег IP4 для IP-адресов (центр) и правило применения (конец).
➜ Декларация: Запись должна начинаться с v=spf1 (не используйте эту строку снова в правиле)
➜ Разрешенные домены: Добавить include: для каждого домена (вы должны использовать механизм SPF Include, поскольку include: с каждым доменом вы добавляете в SPF-запись)
➜ Разрешенные IP-адреса: Добавить IP4 тег для каждого IP-адреса (вы должны использовать тег IP4 перед каждым IP-адресом, который вы добавляете в запись SPF)
➜ Правило исполнения: Заканчивайте запись одним ~все (используйте эту строку в конце и только один раз)
Можно ли иметь несколько записей SPF?
Ответ - нет, потому что несколько записей SPF запутывают сервер-получатель относительно того, какую TXT-запись учитывать при поиске, а слишком большое количество SPF-записей добавляет множество DNS-поисков, которые быстро превысят лимит поиска в 10 записей.
Записи SPF - это записи типа TXT, начинающиеся со строки v=spf1. Они сообщают почтовым серверам, каким правилам они должны следовать при определении того, является ли данное письмо спамом. Правила включают в себя:
Поэтому, если на вашем сервере есть две отдельные записи SPF TXT, ваша электронная почта не пройдет проверку подлинности SPF и выдаст ошибку PermError. Это происходит потому, что принимающий почтовый сервер не знает, какому правилу следовать - он просто проигнорирует обе эти TXT-записи.
Важное замечание по поводу включения SPF
Важно включить механизм "include" в запись SPF, поскольку он позволяет включать другие домены и хосты в запись SPF, что может быть полезно для проверки подлинности ваших сообщений.
Однако, следующее правило применяется к использованию количества просмотров на запись SPF (как указано в разделе 10.1 документа RFC 4408):
"Реализации SPF ДОЛЖНЫ ограничить количество механизмов и модификаторов не более чем 10 на одну проверку SPF, включая любые поиски, вызванные использованием механизма "include" или модификатора "redirect"".
Если ваша реализация SPF не ограничивает количество механизмов и модификаторов, она будет спать на проверках недостижимых хостов. Поскольку эти узлы никогда не будут включены в ваши проверки, они никогда не получат почту от клиентов. Это может привести к серьезным проблемам с доставкой почты.
Разница между SPF включает: и a:
Механизм SPF "include" используется для включения записей SPF из другого домена в запись SPF текущего домена, а механизм SPF "a" используется для указания отдельных IP-адресов или имен хостов (записи A), которые имеют право отправлять электронную почту для домена.
SPF включает в себя по сравнению с
Причины для использования:
- Это более практично и менее сложно
- Потому что вы не включили SPF на соответствующих доменах.
- Потому что SPF настроен неправильно или он ошибочно разрешает другие серверы, которых нет в его A-записях.
Причины для использования включают:
- Вы доверяете, что доменное имя сайта имеет действительную запись SPF
- Потому что вы хотите иметь единый источник истины по причинам "не повторяйся сам", а домен SPF является сложным.
- Вы можете захотеть внести изменения в свои SPF-записи без необходимости редактировать DNS для всех доменов, включающих ваш.
Автоматизированная оптимизация SPF Include: для нескольких доменов и IP-адресов
SPF-запись с несколькими хостами и IP-адресами - не новая вещь. Создание такого рода записей требует соответствующего опыта, чтобы избежать Сбой аутентификации SPF или PermError.
Чтобы создать работающую запись SPF, необходимо правильно использовать механизм include:. А чтобы ваша политика SPF была эффективной, она должна быть правильно реализована на нескольких хостах и IP-адресах.
При использовании PowerDMARC SPF Flattening мы создадим для вас действующую SPF-запись со всеми вашими хостами и IP-адресами в одной строке текста. Вы можете добавить столько доменов и IP-адресов, сколько захотите - просто отделите их пробелом. Мы объединим их в одну запись SPF чтобы чтобы вы никогда не превышали лимит поиска и не сталкивались с проблемами доставки электронной почты и отказами.
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.
Последние сообщения Юнеса Тарады (см. все)
- Атаки на засолку электронной почты: Как скрытый текст обходит защиту - 26 февраля 2025 г.
- Выравнивание SPF: Что это такое и зачем вам это нужно? - 26 февраля 2025 г.
- DMARC против DKIM: ключевые различия и их совместная работа - 16 февраля 2025 г.
