SPF Fail: Что это значит и как это исправить

Sender Policy Framework (SPF) это протокол аутентификации электронной почты, предназначенный для предотвращения подделки электронной почты путем проверки того, что сообщения отправляются с авторизованных почтовых серверов. При правильной настройке SPF помогает уменьшить количество спама и попыток фишинга, позволяя принимающим почтовым серверам проверять, пришло ли письмо от легитимного источника.

Однако если что-то пойдет не так при настройке или в процессе проверки, вы можете столкнуться с ошибкой SPF. Сбой SPF означает, что сервер получателя не смог подтвердить авторизацию отправителя, что часто приводит к тому, что письма помечаются как спам или вовсе отклоняются.

В этом посте мы рассмотрим наиболее распространенные причины сбоев SPF и способы их устранения.

Что такое SPF в аутентификации электронной почты?

Sender Policy Framework (SPF) - это метод проверки подлинности электронной почты, который помогает убедиться, что письмо отправлено с авторизованного почтового сервера. Считайте, что это список "одобренных отправителей", опубликованный в DNS-записях домена.

Основная роль SPF заключается в предотвращении подделки электронной почты, когда злоумышленники подделывают адрес "From", чтобы обмануть получателей и заставить их поверить, что письмо является законным. Проверяя записи SPF, принимающие почтовые серверы могут убедиться, что сообщение действительно исходит от домена, на который оно претендует.

Вот как работает SPF в процессе доставки электронной почты:

• Домен-отправитель публикует в своем DNS запись SPF, указывая, каким почтовым серверам разрешено отправлять почту от его имени.
• Когда письмо получено, почтовый сервер получателя просматривает SPF-запись домена.
• Сервер проверяет, совпадает ли IP-адрес сервера-отправителя с указанными в списке авторизованных источников.
• На основании полученных результатов сервер решает, принять, отметить или отклонить письмо.

Одним словом, SPF действует как контрольная точка, не позволяющая мошенническим письмам попадать в почтовые ящики.

Что означает "SPF Fail"?

Сбой SPF происходит, когда почтовый сервер получателя определяет, что сервер-отправитель не имеет права отправлять почту от имени домена. Это происходит, если IP-адрес сервера-отправителя не совпадает с источниками, указанными в SPF-записи домена.

Серверы электронной почты интерпретируют результаты SPF, используя механизмы, определенные политикой SPF. Основные результаты включают:

• Пройти: Письмо пришло с авторизованного сервера.
• Отказ: Письмо явно не авторизовано и часто отклоняется.
• Softfail: Сервер не указан в списке, но владелец домена пропускает сообщение с подозрением (часто помечается как спам).
• Нейтрально: Нет четкой политики, поэтому сервер не принимает строгих решений.

Если SPF не работает, многие провайдеры электронной почты либо полностью отклоняют письмо, либо направляют его в папку "Спам", что значительно снижает эффективность доставки.

Остановите отказы SPF с помощью PowerDMARC!

Почему случаются сбои в работе SPF? 

Сбои в работе SPF могут происходить по следующим причинам:

• Получающий MTA не может найти запись SPF, опубликованную в вашем DNS.
• Вы настроили несколько записей SPF для одного и того же домена. 
• Ваши поставщики услуг электронной почты изменили или добавили новые IP-адреса, которые вы не включили в запись SPF.
• Вы превысили лимит в 10 DNS-поисков для SPF.
• Вы превышаете максимальное количество разрешенных поисков пустоты, равное 2.
• Длина вашей сглаженной записи SPF превышает ограничение в 255 символов SPF.

Если SPF не работает для вашей электронной почты, вашими следующими шагами должно стать определение причины, чтобы устранить ее. Это возможно с помощью регулярного мониторинга отчетов DMARC. PowerDMARC поможет вам легко читать отчеты о сбоях SPF-аутентификации с помощью нашего DMARC-анализатора.

Типы отказов SPF

Ниже перечислены типы SPF fail каждый из которых добавляется в качестве префикса перед механизмом SPF:

"+" "Проход"
"-" "Fail"
"~" "Softfail"
"?" "Нейтральный"

Какое значение они имеют? WВ ситуации, когда ваше письмо отклоняется, вы можете выбрать, как строго отнестись к нему со стороны получателей. Вы можете указать квалификатор для "пропуска" сообщений которые получили SPF "отказать" в доставке или занять "нейтральную" позицию (ничего не делать).

1. Возвращен результат SPF None

В первом случае, если принимающий почтовый сервер выполняет поиск DNS и не может найти доменное имя в DNS, возвращается результат none. None также возвращается в том случае, если в DNS отправителя не найдено ни одной записи SPF, что означает, что у отправителя не настроена SPF-аутентификация для этого домена. В этом случае SPF-аутентификация для ваших писем не работает, что обозначается символом "-all".

Создайте безошибочную SPF-запись прямо сейчас с помощью нашего бесплатный генератор SPF-записей чтобы избежать этого.

2. Получен нейтральный результат SPF

При настройке SPF для вашего домена, если вы установили механизм "?all" для вашей SPF-записи, это означает, что независимо от результатов проверки подлинности SPF для ваших исходящих писем, принимающий MTA возвращает нейтральный результат. Это происходит потому, что, когда SPF работает в нейтральном режиме, вы не указываете IP-адреса, уполномоченные отправлять электронные письма от вашего имени, и разрешаете неавторизованным IP-адресам также отправлять их.

3. Возвращенный результат SPF Softfail

Подобно нейтральному SPF, SPF softfail идентифицируется ~Всем механизмом, который подразумевает, что получающий MTA будет принимать почту и доставлять её в почтовый ящик получателя, но будет помечен как спам, в случае, если IP-адрес не указан в SPF-записи, найденной в DNS, что может быть причиной того, что SPF-аутентификация для вашей электронной почты не проходит. Ниже приведен пример SPF softfail:

 v=spf1 include:spf.google.com ~all

4. Возвращен результат SPF Hardfail

SPF hardfail - это когда принимающие MTA отбрасывают письма, исходящие от любого источника отправки, который не указан в вашей SPF-записи. Мы рекомендуем вам настроить SPF hardfail в вашей SPF-записи, если вы хотите получить защиту от подделки домена и электронной почты. 

Пример: v=spf1 include:spf.google.com -all

Узнайте, чем отличаются SPF softfail против hardfail

5. SPF Temperror (Временная ошибка SPF)

Одной из распространенных и часто безобидных причин, по которым не удается пройти проверку подлинности SPF, является SPF Temperror (временная ошибка). Это вызвано ошибкой DNS, например таймаут DNS. Поэтому, как следует из названия, это временная ошибка, возвращающая код состояния 4xx, которая может вызвать временный отказ SPF. При повторной попытке получить результат SPF pass позже.

6. SPF Permerror (постоянная ошибка SPF)

Еще одна распространенная ошибка, с которой сталкиваются домены, - это SPF Permerror. Это когда происходит сбой с постоянной ошибкой. Это происходит, когда ваша запись SPF признается недействительной принимающим MTA. Существует множество причин, по которым SPF может быть нарушен и признан недействительным MTA при выполнении поиска DNS:

• Превышение лимита на 10 SPF-поисков
• Неправильный синтаксис записи SPF
• Более одной записи SPF для одного и того же домена.
• Превышение предела длины записи SPF в 255 символов
• Если ваша запись в SPF не соответствует последним изменениям, сделанным вашими ESP

Примечание: Когда MTA выполняет проверка SPF электронной почты, он запрашивает DNS или выполняет поиск DNS, чтобы проверить подлинность источника электронной почты. В идеале в SPF разрешено не более 10 DNS-запросов, превышение этого числа приведет к сбою SPF и возврату результата Permerror. Это очень распространенная проблема, приводящая к отказу SPF.

Как исправить ошибку SPF для электронной почты

Чтобы обеспечить бесперебойную доставку, важно убедиться, что SPF не нарушен для ваших писем. Чтобы исправить ошибки SPF, вы можете следовать следующим лучшим практикам: 

1. Не выходите за пределы SPF

Если ваша аутентификация не проходит из-за того, что DNS-поиск превышает установленные RFC лимиты, постарайтесь не превышать их, чтобы предотвратить сбой. PowerDMARC помогает клиентам оптимизировать записи SPF, чтобы не превышать эти жесткие ограничения, с помощью макросов. Часто они оказываются в несколько раз эффективнее, чем сглаживание SPF. Однако если вы решите использовать SPF-выравнивание, инструменты для сглаживания SPF могут упростить процесс, хотя они все равно требуют ручного обновления при каждом изменении инфраструктуры поставщиком услуг электронной почты. Макросы в DNS-записи SPF помогут вам избежать превышения лимитов DNS-пустоты и поиска в любое время.

2. Избегайте ошибок синтаксиса и конфигурации

Ручное создание SPF-записей часто приводит к синтаксическим ошибкам и сбоям. Чтобы убедиться, что вы используете правильный синтаксис для SPF, сгенерируйте запись с помощью автоматического генератор SPF-записей инструмент.

При настройке SPF в DNS всегда используйте тип ресурса "TXT". Если вы настроите неправильный тип ресурса, например "CNAME" или даже "SPF", это приведет к ошибкам конфигурации и сбою SPF. 

3. Авторизуйте все источники отправки

Убедитесь, что вы правильно авторизуете все источники отправки, включая сторонних поставщиков, в записи SPF. Ваши поставщики часто меняют или добавляют список своих IP-адресов отправки. Вы должны быть уверены, что следите за такими изменениями и вносите их в свою запись SPF. Отсутствие авторизованных источников отправки часто приводит к необоснованным отказам в SPF. 

4. Объединение нескольких записей SPF 

Более одной записи SPF для одного и того же домена могут сделать вашу реализацию SPF недействительной и привести к сбою SPF. В таких случаях лучше объединить несколько записей в одну, используя механизм "include". 

Лучшие методы предотвращения отказа SPF

Владельцы доменов, соблюдающие вышеупомянутые лучшие практики SPF, могут значительно снизить вероятность необоснованного отказа SPF. 

Кроме того, здесь приведены некоторые рекомендации, которых следует придерживаться компаниям для укрепления общей системы безопасности электронной почты:

• Используйте DKIM, чтобы избежать отказа SPF для пересылаемых писем: Переадресация часто нарушает SPF, но DomainKeys Identified Mail (DKIM) может помочь сохранить аутентификацию.
• Используйте DMARC и DKIM вместе: Даже если SPF не работает, а DKIM работает, аутентификация, отчетность и соответствие сообщений на основе домена (DMARC) все равно может подтвердить электронную почту.
• Включить отчетность DMARC: Отслеживайте отказы SPF и выявляйте их основные причины с помощью подробных отчетов DMARC.
• Обновляйте записи SPF: Просматривайте и обновляйте записи SPF каждый раз, когда добавляете или удаляете сторонние почтовые службы.
• Регулярно проверяйте и тестируйте записи DNS: Планируйте периодические проверки, чтобы убедиться, что ваши DNS-записи корректны, последовательны и не превышают лимиты SPF-поиска.

Сбои в проверке подлинности электронной почты никогда не являются хорошей новостью для репутации и доверия к вашему домену. Соблюдение этих правил поможет свести к минимуму риск сбоев SPF и обеспечить лучшую доставляемость электронной почты.

Заключение

Исправление ошибок SPF очень важно для поддержания доверия, защиты репутации вашего бренда и обеспечения надежной доставки электронной почты. Без правильной настройки SPF ваши письма с большей вероятностью будут отмечены как спам, отклонены или использованы злоумышленниками для подделки.

Лучший подход - проактивный: регулярно контролируйте свой домен, обновляйте записи SPF и используйте несколько протоколов аутентификации электронной почты, таких как SPF, DKIM и DMARC. Такая многоуровневая защита значительно повышает шансы на прохождение проверок подлинности и защиту канала электронной почты.

Хотите убедиться, что SPF настроен правильно, и избежать дорогостоящих сбоев? Опробуйте возможности PowerDMARC уже сегодня, чтобы укрепить безопасность электронной почты и защитить свой домен от злоупотреблений.

Часто задаваемые вопросы

Как узнать, не нарушен ли SPF в моих письмах?

Вы можете проверить заголовки писем на наличие результатов SPF или использовать такие инструменты, как отчеты DMARC и программы проверки SPF. Они покажут, проходят ли ваши сообщения проверку SPF или нет.

Может ли сбой SPF вызвать отказ электронной почты?

Да. Когда SPF терпит неудачу с результатом "hard fail", серверы-получатели часто полностью отклоняют сообщение, что приводит к отсылке. В других случаях они могут принять сообщение, но направить его в папку спама.

Нужны ли мне DKIM и DMARC, если у меня есть SPF?

Безусловно. Сам по себе SPF не может защитить пересылаемые электронные письма или обеспечить отчетность на уровне домена. DKIM обеспечивает целостность электронной почты, а DMARC связывает SPF и DKIM воедино, обеспечивая видимость и более надежную защиту от подделки.

• О сайте
• Последние сообщения

Майтхам аль-Лоуати

Эксперт по кибербезопасности, генеральный директор PowerDMARC

Майтем - технологический предприниматель, эксперт по кибербезопасности, генеральный директор и основатель PowerDMARC с 15-летним опытом работы в отрасли. Майтем получил степень Global MBA в Манчестерском университете и различные профессиональные сертификаты, включая CISSP, CISM, CRISC и ISC2 CCSP.

Последние сообщения Maitham Al Lawati (см. все)

• SPF Fail: Что это значит и как это исправить - 29 сентября 2025 г.
• Политика приемлемого использования: Ключевые элементы и примеры - 9 сентября 2025 г.
• Что такое CASB? Брокер безопасности облачного доступа - объяснение - 8 сентября 2025 г.