SPF (Sender Policy Framework): что это такое и как работает
Последнее обновление:
7 Время чтения: 7 минут
Ключевые выводы
- SPF (Sender Policy Framework) — это протокол аутентификации электронной почты, который позволяет владельцам доменов публиковать список авторизованных почтовых серверов в своей системе DNS.
- Запись SPF — это запись DNS типа TXT, в которой перечислены авторизованные IP-адреса и службы-отправители. Она должна начинаться с v=spf1, соответствовать правильному синтаксису SPF и публиковаться в виде одной записи.
- У SPF есть реальные ограничения. Он не работает с пересланными письмами, не может защитить адрес отправителя, видимый пользователям, и имеет жесткий лимит в 10 запросов к DNS. Превышение этого лимита приводит к ошибке PermError, которая может незаметно привести к сбою при доставке легитимных писем.
- Одного SPF недостаточно. Для полной защиты от подделки адресов электронной почты, фишинговых атак и злоупотребления доменами его необходимо сочетать с DKIM и DMARC.
Подделка адресов электронной почты — один из самых старых приёмов в арсенале злоумышленников, и он по-прежнему действует, поскольку огромное количество доменов облегчает его применение. Sender Policy Framework (SPF) — это первая линия защиты. Это базовый протокол аутентификации электронной почты, который сообщает принимающим почтовым серверам, какие IP-адреса действительно уполномочены отправлять письма от вашего имени.
В этом руководстве рассказывается, что такое SPF, как работает протокол SPF, как его правильно настроить и каковы его ограничения.
Что такое SPF (Sender Policy Framework)?
Sender Policy Framework (SPF) — это протокол аутентификации электронной почты, разработанный для предотвращения подделке адресов электронной почты, одного из наиболее распространенных методов, используемых в фишинговых атаках и спам-кампаниях.
Эта система позволяет владельцам доменов публиковать в своей системе DNS список авторизованных почтовых серверов, благодаря чему принимающие серверы могут проверить, действительно ли входящее сообщение поступило из утвержденного источника.
SPF является основополагающим элементом аутентификации электронной почты , поскольку он дает принимающим системам четкий и авторитетный ответ на простой вопрос: имеет ли этот сервер право отправлять почту от имени этого домена?
Место SPF в общей картине безопасности электронной почты
SPF не работает в изоляции. Это один из трёх основных протоколов аутентификации электронной почты наряду с DomainKeys Identified Mail (DKIM) и Domain-based Message Authentication, Reporting, and Conformance (DMARC). Вместе эти протоколы образуют комплексную защиту от мошенничества с электронной почтой.
| Протокол | Что проверяется |
|---|---|
| SPF | Авторизован ли отправляющий сервер владельцем домена |
| DKIM | Было ли изменено содержание сообщения во время передачи |
| DMARC | Соответствуют ли SPF и DKIM адресу отправителя и что делать, если они не соответствуют |
SPF также является обязательным компонентом для настройки DMARC. Без действительной записи SPF DMARC не сможет работать должным образом.
Рекомендуем прочитать: SPF, DKIM и DMARC: как они работают вместе
Как работает протокол SPF
SPF работает исключительно через DNS. При отправке электронного письма почтовый сервер-получатель выполняет ряд проверок, чтобы определить, можно ли доверять данному сообщению. Ниже описан весь процесс от начала до конца.
Процесс проверки SPF
- С сервера отправляется электронное письмо, в адресе Return-Path которого указан домен отправителя
- Принимающий сервер определяет домен отправителя по адресу Return-Path
- Принимающий сервер выполняет поиск записи SPF в DNS домена, чтобы найти опубликованную запись SPF
- IP-адрес отправляющего сервера сравнивается со списком авторизованных IP-адресов в записи SPF
- Если совпадение найдено, письмо проходит аутентификацию SPF. Если совпадения нет, письмо может быть помечено как подозрительное или отклонено в зависимости от политики домена
Результаты аутентификации по SPF
| Результат | Значение |
|---|---|
| Пройти | Отправка с данного IP-адреса разрешена в записи SPF |
| Провал | Отправка с данного IP-адреса запрещена |
| SoftFail | IP-адрес не авторизован, но домен не блокирует его |
| Нейтральный | Владелец домена не высказал никаких предположений относительно IP-адреса отправителя |
| Нет | Для этого домена не найдена запись SPF |
| Ошибка температуры | Во время проверки произошла ошибка запроса DNS |
| Ошибка PermError | В записи SPF обнаружена синтаксическая ошибка или превышен лимит запросов |
Важно отметить, что SPF проверяет только IP-адрес сервера-отправителя. Он не подтверждает подлинность личности отправителя или содержание сообщения. Именно здесь DKIM и DMARC заполняют пробелы.
Как выглядит запись SPF?
Запись SPF — это запись DNS типа TXT , опубликованная в настройках DNS вашего домена. Она соответствует определенному синтаксису механизмов и квалификаторов, которые определяют, какие серверы уполномочены отправлять электронную почту от имени вашего домена.
Основная структура записи SPF
v=spf1 ip4:192.0.2.0/24 include:mailprovider.com -all
| Компонент | Значение |
|---|---|
| v=spf1 | Тег версии, который должен указываться первым в каждой записи SPF |
| ip4: | Разрешает использование конкретного IPv4-адреса или диапазона |
| ip6: | Разрешает использование конкретного IPv6-адреса или диапазона |
| включают: | Подтверждает запись SPF стороннего отправителя |
| a: | Указывает IP-адрес записи A домена |
| mx: | Авторизует почтовые серверы домена |
| -все | Абсолютный отказ: отклонить всю почту, не соответствующую записи |
| ~все | Мягкая ошибка: поставить флаг, но доставить письмо, не соответствующее записи |
| ?все | Нейтральный: отсутствие правил для несоответствующей почты |
Записи SPF для доменов, не используемых для отправки писем
Для доменов, с которых никогда не отправляются электронные письма, всё равно следует опубликовать запись SPF с ограничительными параметрами, чтобы предотвратить подделку их адресов:
v=spf1 -all
Это указывает принимающим серверам отклонять все электронные письма, якобы отправленные с этого домена.
Ограничение на 10 запросов DNS
В SPF установлено ограничение в 10 запросов DNS на каждую оценку записи. Каждая включает:, a:, mx:, и redirect: запускает поиск.
Превышение этого предела приводит к ошибке PermError, что может стать причиной того, что легитимные письма не пройти аутентификацию SPF без каких-либо уведомлений. Это одна из самых распространенных и часто упускаемых из виду проблем настройки SPF, особенно в организациях со сложной почтовой инфраструктурой.
Настройте SPF с помощью PowerDMARC!Почему стоит выбрать PowerDMARC вместо других инструментов SPF?
|
Как создать и опубликовать запись SPF
Создание и публикация записи SPF — один из важнейших шагов по обеспечению безопасности электронной почты вашего домена.
Если настроить все правильно, это позволит каждому принимающему почтовому серверу точно определить, какие источники уполномочены отправлять письма от вашего имени. Если же настроить неправильно, это может незаметно привести к сбоям в аутентификации ваших собственных легитимных писем. Вот как сделать все правильно.
Шаг 1: Проведите аудит всех источников рассылки электронных писем
Прежде чем приступить к написанию записи SPF, определите все службы и системы, которые отправляют электронную почту с вашего домена. Именно этот этап большинство организаций пропускает, и это является наиболее распространённой причиной сбоев в работе записей SPF после их публикации.
Ваш аудит должен охватывать:
- Ваш основной почтовый сервер
- Платформы для электронного маркетинга
- CRM и инструменты для продаж
- Программное обеспечение для службы поддержки и технической помощи
- Услуги по рассылке счетов и транзакционных писем
- Любые сторонние поставщики, осуществляющие отправку от вашего имени
Для каждого источника соберите либо конкретные IP-адреса отправителей, либо строку SPF include, предоставленную данным сервисом.
Шаг 2: Составьте черновой вариант записи SPF
Объедините всех авторизованных отправителей в одну запись DNS типа TXT, используя правильный синтаксис SPF. Вот как выглядит простой пример:
v=spf1 ip4:192.0.2.1 include:sendingservice.com include:marketingplatform.com -all
Основные правила, которых следует придерживаться при составлении текста:
| Правило | Почему это важно |
|---|---|
| Всегда начинайте с v=spf1 | Это обязательный тег версии. Без него запись будет считаться недействительной |
| Используйте только одну запись | Наличие нескольких записей SPF в одном домене приводит к ошибке PermError и сбою аутентификации |
| Не превышайте 10 запросов к DNS | Каждый механизм include:, a: и mx: учитывается при подсчете ограничения. Превышение этого ограничения приводит к ошибке PermError |
| Заканчивается на -all или ~all | Определяет, что происходит с письмами, которые не соответствуют критериям. Используйте параметр -all для принудительного отклонения |
Шаг 3: Опубликуйте запись в вашей системе DNS
После того как запись будет составлена, войдите в систему своего провайдера DNS и добавьте её в качестве записи TXT на корневом домене.
Запись следует добавить в @ или yourdomain.com, а не в поддомене, если только вы специально не создаете отдельную запись для поддомена.
Если вы используете отдельные субдомены для разных служб рассылки, каждому субдомену требуется собственная запись SPF. Это также полезный прием, позволяющий не превышать ограничение в 10 запросов при управлении несколькими сторонними отправителями.
Шаг 4: Проверьте запись после публикации
Публикация записи — это еще не конец. Обязательно проверьте её после публикации, чтобы убедиться, что:
- Запись оформлена правильно и не содержит синтаксических ошибок
- Все разрешенные IP-адреса и строки включены
- Предел количества запросов DNS не превышен
- На этом домене нет дубликатов записей SPF
Использование инструмента проверки SPF от PowerDMARC , чтобы выполнить эту проверку сразу после публикации и повторно при каждом внесении изменений.
Шаг 5: Обновляйте свои записи
Запись SPF — это не настройка, которую можно установить один раз и больше не трогать.
Каждый раз, когда вы добавляете новую платформу для рассылки, меняете поставщика услуг электронной почты или отключаете старого, необходимо обновлять запись SPF. Устаревшая запись, в которой указаны старые IP-адреса или отсутствующие сервисы, является одной из наиболее распространённых причин, по которым легитимные письма не проходят проверку SPF.
Установите регулярный график проверки записи SPF, особенно после внесения каких-либо изменений в инфраструктуру электронной почты.
SPF и доставляемость электронной почты
Одно из наиболее очевидных преимуществ внедрения SPF — это повышение доставляемости электронной почты. Вот как SPF влияет на путь, который проходят ваши письма от отправки до поступления в почтовый ящик.
Как SPF улучшает доставляемость
- Почтовые серверы-получатели и поставщики почтовых ящиков используют SPF в качестве индикатора доверия при принятии решения о доставке, фильтрации или отклонении входящих писем
- Наличие действительной записи SPF снижает вероятность того, что легитимные письма будут помечены как спам
- Постоянная аутентификация по SPF со временем укрепляет репутацию домена, благодаря чему вероятность блокировки ваших писем или их перемещения в папку «Спам» снижается
- Внедрение SPF демонстрирует интернет-провайдерам приверженность обеспечению безопасности электронной почты, что положительно сказывается на репутации отправителя
Как неправильная настройка SPF может ухудшить доставляемость
| Проблема | Воздействие |
|---|---|
| Отсутствует запись SPF | Домен можно легко подделать, у получателей нет сигналов доверия |
| PermError (превышен лимит запросов) | Законные электронные письма могут не пройти аутентификацию SPF |
| Устаревшие авторизованные IP-адреса | Письма от новых или изменившихся адресов отправителей не проходят проверку SPF |
| Несколько записей SPF | Вызывает ошибку PermError, полностью нарушая процесс аутентификации |
| Слишком вседозволенное ~все или ?все | Снижает защитную ценность записи |
Поддержание точной и актуальной записи SPF имеет решающее значение для защиты репутации вашего домена и обеспечения стабильной доставки электронной почты.
Ограничения SPF
SPF — это базовый метод аутентификации электронной почты , но у него есть хорошо задокументированные ограничения, которые должен понимать каждый владелец домена. Полагаться только на SPF — значит оставлять серьезные бреши в безопасности вашей электронной почты.
Чего SPF не может сделать
| Ограничение | Почему это важно |
|---|---|
| Не удаётся скрыть адрес отправителя | SPF проверяет подлинность поля Return-Path, а не заголовка From, который видят получатели |
| Разрывы в пересланных письмах | IP-адрес сервера пересылки отсутствует в исходной записи SPF, что приводит к сбоям |
| Не удается проверить содержание сообщения | SPF проверяет только IP-адрес отправителя, но не то, было ли сообщение изменено |
| Невозможно заблокировать фишинг с использованием похожих доменов | Злоумышленники могут зарегистрировать похожий домен с собственной действительной записью SPF |
| При условии соблюдения ограничения в 10 запросов DNS | В сложных условиях может быть превышен предельный порог, что приводит к ошибкам PermError |
SPF — это начало, а не конец
Сам по себе SPF не может защитить адрес отправителя, видимый пользователям, не сохраняется при пересылке и не обеспечивает аутентификацию содержимого сообщения.
Для обеспечения полной защиты от подделки доменов и фишинговых атак необходимо использовать SPF в сочетании с DKIM и DMARC. DMARC специально устраняет уязвимость, оставляемую SPF, требуя, чтобы адрес «От кого» соответствовал информации об аутентифицированном отправителе.
| Рекомендация эксперта: Я всегда советую клиентам вести журнал изменений SPF, в котором фиксируются все модификации, особенно в сложных средах с несколькими почтовыми сервисами. Это предотвращает отклонения в конфигурации и значительно упрощает устранение неполадок. |
Защитите свой домен с помощью SPF и PowerDMARC
SPF — это отправная точка для аутентификации электронной почты, но это лишь один из элементов общей картины.
Правильная настройка записи SPF, обеспечение её актуальности по мере развития вашей инфраструктуры рассылки, а также использование в сочетании с DKIM и DMARC — вот что действительно защищает ваш домен от подделки адресов, фишинга и проблем с доставкой.
Клиент делится своим опытом:
«PowerDMARC значительно упростил управление SPF для нашей ИТ-команды. Доставляемость и безопасность нашей электронной почты улучшились буквально за одну ночь». – Руководитель службы информационной безопасности, финансовая организация
PowerDMARC позволяет эффективно управлять всем этим процессом. От генерации и проверки записи SPF до мониторинга результатов аутентификации по всем вашим доменам-отправителям и перехода к полному внедрению DMARC — PowerDMARC обеспечивает вам необходимую прозрачность и контроль, чтобы с самого начала все настроить правильно и поддерживать эту конфигурацию в долгосрочной перспективе.
Начните пользоваться PowerDMARC сегодня!
Вопросы и ответы
1. Что такое SPF (Send Policy Framework)?
SPF (Sender Policy Framework) — это протокол аутентификации электронной почты, который позволяет владельцам доменов указывать, какие почтовые серверы уполномочены отправлять письма от имени их домена. Он работает путем публикации записи DNS типа TXT, в которой перечислены разрешенные источники отправки, что помогает принимающим серверам проверять подлинность писем и предотвращать подделку адресов.
2. Чем SPF отличается от DKIM и DMARC?
SPF проверяет IP-адрес отправляющего сервера, DKIM использует криптографические подписи для проверки целостности сообщения, а DMARC обеспечивает соблюдение политик и формирование отчётов. SPF проверяет отправителя конверта, DKIM подтверждает, что содержание сообщения не было изменено, а DMARC указывает принимающим серверам, как действовать в случае сбоя SPF или DKIM. Все три механизма работают совместно, обеспечивая комплексную аутентификацию электронной почты.
3. Как использовать Sender Policy Framework?
Определите все службы, отправляющие электронную почту с вашего домена, соберите список их авторизованных IP-адресов и опубликуйте единую запись DNS типа TXT, начинающуюся со строки v=spf1. Проверьте её после публикации и обновляйте по мере изменения вашей инфраструктуры рассылки.
4. Каковы ограничения записей электронной почты SPF?
Протокол SPF проверяет только сервер-отправитель, но не личность отправителя и не содержание сообщения. Он не работает с пересланными письмами и имеет строгое ограничение в 10 запросов к DNS, превышение которого может незаметно привести к сбою аутентификации.
5. SPF — это то же самое, что и DKIM?
Нет. Протокол SPF проверяет IP-адрес отправляющего сервера. Протокол DKIM использует криптографическую подпись для проверки того, что содержание сообщения не было изменено во время передачи.
6. Почему электронное письмо может не пройти проверку SPF?
Наиболее распространёнными причинами являются: неавторизованный сервер отправки, устаревшая запись SPF, в которой отсутствует легитимный отправитель, синтаксические ошибки в записи или превышение лимита в 10 запросов DNS.
Эксперт по кибербезопасности, генеральный директор PowerDMARC
Майтем - технологический предприниматель, эксперт по кибербезопасности, генеральный директор и основатель PowerDMARC с 15-летним опытом работы в отрасли. Майтем получил степень Global MBA в Манчестерском университете и различные профессиональные сертификаты, включая CISSP, CISM, CRISC и ISC2 CCSP.
Последние сообщения Maitham Al Lawati (см. все)
- Статистика фишинга и DMARC: тенденции в области безопасности электронной почты на 2026 год — 6 января 2026 г.
- Как исправить ошибку «SPF-запись не найдена» в 2026 году — 3 января 2026 года
- SPF Permerror: как исправить слишком много DNS-запросов — 24 декабря 2025 г.
