Что такое SPF-запись электронной почты? Функции, синтаксис и ошибки

Знаете ли вы, что каждые 39 секунд, a кибератака происходит где-то в мире, часто начиная с простого поддельного электронного письма? Последствия могут быть катастрофическими. Компании рискуют потерять доверие клиентов и пострадать от репутации бренда, которую, возможно, уже никогда не удастся восстановить. Один из самых распространенных приемов таких атак - подмена домена, когда преступники выдают себя за доверенные домены, чтобы обмануть получателей.

Хорошая новость заключается в том, что запись электронной почты SPF, также известная как Sender Policy Framework, может стать вашей самой надежной линией защиты. В этом руководстве вы узнаете, что такое запись электронной почты SPF, почему она важна и как она может защитить ваш домен от подделки.

Что такое SPF-запись электронной почты?

Политика SPF, определенная в запись DNSсодержит список почтовых серверов, имеющих право отправлять сообщения от имени вашего домена. Более конкретно, Sender Policy Framework (SPF) - это протокол аутентификации электронной почты, который работает как список гостей для вашего домена. Представьте себе эксклюзивное мероприятие, на которое могут попасть только приглашенные гости. Точно так же SPF позволяет вам создать список серверов, которым официально разрешено отправлять электронные письма от имени вашего домена.

Основная цель SPF - не допустить, чтобы неавторизованные отправители выдавали себя за вас, тем самым блокируя атаки подмены почты. В качестве бонуса внедрение SPF может также улучшить качество доставки электронной почты и укрепить репутацию отправителя, повышая вероятность того, что легитимные письма попадут в почтовые ящики, а не в папки со спамом.

С технической точки зрения SPF - это тип TXT-записи, которую вы публикуете в DNS (системе доменных имен) вашего домена. Эта запись информирует принимающие почтовые серверы о доверенных источниках, гарантируя, что идентификация вашего домена не может быть легко подделана.

Как на самом деле работает проверка SPF электронной почты?

SPF позволяет владельцу домена опубликовать в DNS TXT-запись, содержащую список почтовых серверов по IP или имени хоста, которые могут отправлять сообщения от имени этого домена. Считайте, что это список одобренных отправителей. 

Вот как работает SPF, шаг за шагом:

1. Опубликуйте запись SPF в вашем DNS

Основа SPF начинается с системы доменных имен (DNS). DNS - это инфраструктура, которая сопоставляет человекочитаемые доменные имена, такие как example.com, с IP-адресами, которые используют компьютеры и серверы для связи. Она гарантирует, что при отправке электронного письма сервер-получатель сможет найти и проверить домен, из которого оно пришло.

Для работы SPF владелец домена должен опубликовать запись SPF в DNS своего домена. Эта запись имеет форму TXT-записи, в которой указывается, какие почтовые серверы, идентифицируемые по IP-адресам или именам хостов, имеют право отправлять электронные письма от имени домена.

Публикация записи SPF - обязательный первый шаг. Без нее у принимающих почтовых серверов нет точки отсчета, а значит, SPF-проверки вообще не могут быть выполнены.

2. Отправьте электронное письмо с вашего домена

Процесс проверки SPF начинается с момента отправки электронного письма. Каждое исходящее сообщение несет информацию о домене отправителя, прежде всего в адресе Return-Path (также называемом адресом отправителя конверта или MAIL FROM). Этот адрес не только указывает, куда должны быть возвращены отскочившие или недоставленные письма, но и определяет домен, который будет проверен по записи SPF.

Этот шаг является пусковым событием для всего рабочего процесса проверки SPF. Без акта отправки и объявления домена в Return-Path принимающему серверу нечего проверять. С этого момента почтовый сервер получателя начинает процесс проверки того, авторизован ли сервер-отправитель в соответствии с опубликованной записью SPF.

3. Определите домен отправителя по заголовку письма

Когда письмо попадает на почтовый сервер получателя, следующим шагом будет определение домена, который следует проверить. Для этого сервер смотрит на адрес Return-Path, также известный как адрес отправителя конверта или MAIL FROM. Это поле очень важно, поскольку в нем указывается, куда должны быть возвращены все отскочившие или недоставленные сообщения.

Важно отметить, что SPF-проверка основана на техническом адресе обратного пути, а не на видимом адресе "From", который отображается в папке входящих сообщений пользователя. Злоумышленники часто пытаются использовать это различие, подделывая отображаемое поле "От", чтобы ввести получателей в заблуждение.

4. Просмотрите почтовую запись SPF домена

После определения домена отправителя серверу-получателю необходимо проверить, какие серверы имеют право отправлять электронную почту для этого домена. Для этого он просматривает SPF-запись домена в DNS. DNS, или система доменных имен, работает как публичная адресная книга Интернета, переводя доменные имена в информацию, которую могут читать серверы.

Сервер специально ищет TXT-запись, начинающуюся с v=spf1, которая содержит список авторизованных серверов-отправителей. Эта запись сообщает серверу, пришло ли письмо из одобренного источника, и является важным шагом в процессе проверки SPF.

5. Сравните IP-адрес отправителя с записью

Запись SPF содержит политику, определяющую, каким серверам разрешено отправлять электронные письма для данного домена. Сервер электронной почты получателя сравнивает IP-адрес сервера, отправившего письмо, со списком разрешенных серверов, указанных в записи SPF. Адрес электронной почты на пути возврата перепроверяется на стороне получателя, чтобы убедиться, что IP-адрес отправителя указан в SPF-записи.

6. Определите результат проверки подлинности SPF

После проверки записи SPF принимающий сервер определяет результат аутентификации.

Возможные результаты включают:

• Пройти: IP-адрес отправителя указан как авторизованный отправитель.
• Отказ: IP-адрес отправителя не авторизован, и письмо должно быть отклонено.
• SoftFail: IP-адрес отправителя, скорее всего, неавторизован, но письмо принимается с осторожностью.
• Нейтральный: Никаких конкретных утверждений относительно IP-адреса отправителя не делается.
• Нет: Для домена не существует записи SPF, поэтому проверка невозможна.

7. Примите меры в зависимости от результата

Почтовый сервер получателя предпринимает действия, основанные на результатах проверки SPF и политике DMARC домена (если таковая существует). Он может принять письмо, пометить его как спам или полностью отклонить. Если одобрение положительное, письма обычно отправляются в папку "Входящие"; в противном случае это может привести к сбою SPF.

Настройте SPF с помощью PowerDMARC!

Как включить и использовать запись электронной почты SPF

Прежде чем воспользоваться преимуществами SPF, необходимо понять, что он делает, и убедиться, что ваш домен и ваш поставщик услуг электронной почты поддерживают его. Сам по себе SPF проверяет подлинность сервера-отправителя, но не проверяет реальную личность отправителя или содержимое сообщения. По этой причине SPF лучше всего работает в сочетании с дополнительными протоколами, такими как DKIM и DMARC, и даже BIMI, чтобы создать более мощную и полную систему аутентификации электронной почты.

Если вы готовы к внедрению SPF, процесс заключается в создании и публикации SPF-записи в DNS вашего домена. Эта запись четко определяет, какие серверы имеют право отправлять электронную почту с использованием вашего доменного имени, помогая принимающим почтовым серверам отсеивать неавторизованные или поддельные сообщения.

Чтобы включить SPF для вашей электронной почты, вам нужно:

Определите авторизованные серверы электронной почты

Определите IP-адреса или имена хостов всех серверов электронной почты, которые имеют право отправлять электронную почту от имени вашего домена. Сюда входят серверы электронной почты вашей организации, сторонние поставщики услуг электронной почты (например, Google Workspace, Microsoft 365, SendGrid, Mailchimp и т. д.) и любые другие службы, которые отправляют электронную почту, используя ваше доменное имя. Соберите полный список всех этих IP-адресов и доменов-отправителей.

Определите политику SPF

Определите политику для SPF. Это включает в себя указание того, каким серверам разрешено отправлять электронные письма для вашего домена с использованием механизмов SPF. Вам также нужно решить, насколько строго серверы-получатели должны соблюдать эту политику, используя квалификаторы (например, `все` для Fail, `~все` для SoftFail).

Создайте свой формат SPF

SPF-записи публикуются в виде TXT-записи в DNS вашего домена. Запись должна иметь определенный формат, начинающийся с `v=spf1`, за которым следуют механизмы, модификаторы и заключительный механизм `all` с квалификатором.

Опубликовать запись SPF

Сначала создайте запись SPF. Вы можете использовать наш бесплатный инструмент генератора SPF или создать запись вручную на основе ваших авторизованных отправителей и политики. Затем зайдите в систему управления DNS вашего домена, которая обычно предоставляется регистратором домена или хостинг-провайдером. Найдите настройки DNS для вашего домена и добавьте новую TXT-запись. Укажите имя хоста (обычно "@" или пустое место для корневого домена) и вставьте полную строку записи SPF в поле value/data.

Синтаксис записи SPF

Запись SPF имеет определенную структуру, которую используют принимающие почтовые серверы для проверки авторизованных отправителей.

Основные части записи SPF включают в себя:

• v=spf1: Указывает используемую версию SPF.
• Механизмы: Определите, каким серверам разрешено отправлять электронную почту для вашего домена. К распространенным механизмам относятся `a`, `mx`, `ip4`, `ip6`, `include`, `exists` и `all`.
• Квалификаторы: Указывают, насколько строго должен применяться механизм. Примеры: `+` (Pass), `-` (Fail), `~` (SoftFail) и `?` (Neutral).
• Модификаторы: Предоставляют дополнительные инструкции или исключения из правил, такие как `redirect` или `exp`.

Каждый из этих компонентов подробно объясняется в подробном руководстве по синтаксису SPF, которое также содержит примеры допустимых записей SPF и их структуры для различных сценариев.

Как проверить запись SPF электронной почты

После настройки записи SPF может потребоваться некоторое время (до 48 часов, хотя часто гораздо меньше), чтобы изменения DNS распространились по всему интернету. Воспользуйтесь нашей проверка SPF-записи для проверки и тестирования вашей записи. Это поможет проверить правильность синтаксиса и убедиться, что она распознается DNS-серверами.

Важно отметить, что записи SPF могут быть сложными, в зависимости от конкретных требований вашей почтовой инфраструктуры. Если вы не уверены в синтаксисе или нуждаетесь в более сложных настройках, рекомендуется обратиться за помощью в создании SPF-записи к системному администратору, в службу ИТ-поддержки или к эксперту по аутентификации электронной почты.

Избегайте этих распространенных ошибок SPF электронной почты

Неправильная конфигурация может сделать вашу политику SPF неэффективной или заблокировать легитимную электронную почту.

Избегайте этих распространенных ловушек:

• Использование нескольких записей SPF: Объедините все службы отправки в одну запись, чтобы предотвратить ошибки проверки.
• Неправильный синтаксис: Убедитесь в правильности синтаксиса и использования механизма, чтобы избежать аннулирования записи.
• Не включая всех авторизованных отправителей: Перечислите все серверы и сторонние службы, отправляющие электронную почту для вашего домена.
• Превышение лимита на 10 DNS-поисков: Чтобы обеспечить корректную работу SPF, не превышайте лимит на поиск механизмов.
• Превышение лимита символов: Не превышайте 255 символов в строке и общие ограничения на размер DNS.
• Использование неправильного типа записи: Всегда публикуйте SPF как TXT-запись, а не как устаревший тип SPF.
• Отказ от обновления: Обновляйте запись SPF каждый раз, когда добавляете или удаляете почтовые службы или серверы.

Сделайте политику SPF электронной почты более мощной с помощью PowerDMARC

Внедрение почтовой записи SPF - важнейший шаг в защите вашего домена от подмены, фишинга и почтового спама. Правильно настроив и поддерживая запись SPF, вы гарантируете, что только авторизованные серверы могут отправлять электронные письма от вашего имени, и защищаете репутацию своего бренда.

Понимание синтаксиса SPF, предотвращение распространенных ошибок в конфигурации и сочетание SPF с DKIM и DMARC укрепят вашу стратегию проверки подлинности электронной почты и снизят риск попадания мошеннических писем к вашим получателям.

Для тех, кто хочет повысить уровень безопасности электронной почты, более глубокое изучение SPF и использование надежных инструментов может существенно изменить ситуацию. PowerDMARC предлагает простые в использовании решения для мониторинга, управления и оптимизации SPF-записей, помогая вам сохранить безопасность вашего домена и доверие к вашей электронной почте.

Часто задаваемые вопросы

Каковы некоторые ограничения записи электронной почты SPF?

SPF может проверить только сервер-отправитель, но не личность отправителя или содержимое письма. Он также имеет ограничение на 10 DNS-поисков и строгие требования к синтаксису.

Является ли SPF тем же самым, что и DKIM?

Нет. SPF проверяет сервер-отправитель, а DKIM использует криптографические подписи, чтобы убедиться, что содержимое сообщения не было изменено.

Почему письмо может не пройти проверку SPF?

Письмо может не пройти, если оно отправлено с неавторизованного сервера, в записи SPF есть синтаксические ошибки или превышен лимит поиска DNS.

• О сайте
• Последние сообщения

Майтхам аль-Лоуати

Эксперт по кибербезопасности, генеральный директор PowerDMARC

Майтем - технологический предприниматель, эксперт по кибербезопасности, генеральный директор и основатель PowerDMARC с 15-летним опытом работы в отрасли. Майтем получил степень Global MBA в Манчестерском университете и различные профессиональные сертификаты, включая CISSP, CISM, CRISC и ISC2 CCSP.

Последние сообщения Maitham Al Lawati (см. все)

• Статистика фишинга и DMARC: тенденции в области безопасности электронной почты на 2026 год — 6 января 2026 г.
• Как исправить ошибку «SPF-запись не найдена» в 2026 году — 3 января 2026 года
• SPF Permerror: что это значит и как исправить - 24 декабря 2025 г.