Вы когда-нибудь видели, как электронная почта терпит неудачу SPF? Если да, то я расскажу вам, почему SPF-аутентификация провалилась. Sender Policy Framework, или SPF, является одним из стандартов проверки электронной почты, который мы все использовали в течение многих лет, чтобы остановить спам. Даже если вы не знали об этом, я готов поспорить, что если бы я проверил настройки вашего аккаунта входа в Facebook, это, скорее всего, показало бы вам "подписку" на "электронную почту только от друзей". Это фактически то же самое, что и SPF.

Что такое SPF-аутентификация?

SPF - это протокол аутентификации электронной почты, который используется для проверки соответствия отправителя электронной почты его доменному имени в поле From: сообщения. Отправляющий MTA использует DNS для запроса предварительно настроенного списка SPF-серверов, чтобы проверить, имеет ли IP-адрес отправителя право отправлять почту для данного домена. Возможны несоответствия в настройке записей SPF, что очень важно для понимания того, почему электронные письма могут не пройти проверку SPF, и какую роль вы можете сыграть, чтобы не допустить возникновения проблем в вашей собственной маркетинговой деятельности по электронной почте или при рассылке маркетинговых писем для привлечения клиентов.

Почему SPF-аутентификация не проходит : Нет, Нейтральный, Hardfail, Softfail, TempError и PermError

Сбой SPF-аутентификации может произойти по следующим причинам:

• Получающий MTA не может найти запись SPF, опубликованную в вашем DNS.
• У вас есть несколько SPF записей, опубликованных в вашем DNS для одного и того же домена.
• Ваши ESP изменили или добавили к своим IP-адресам, которые не были обновлены в вашей записи SPF.
• Если вы превысите 10-кратный лимит DNS поиска для SPF
• Если вы превысите максимальное количество допустимых недействительных ограничений поиска в 2
• Ваша сплющенная длина записи SPF превышает предел в 255 символов SPF.

Выше приведены различные сценарии, по которым SPF-аутентификация не проходит. Вы можете отслеживать свои домены с помощью нашего DMARC-анализатора, чтобы получать отчеты о сбоях SPF-аутентификации. Если у вас включены отчеты DMARC, принимающий MTA возвращает любой из следующих результатов отказа SPF-аутентификации для письма в зависимости от причины, по которой ваше письмо не прошло SPF. Давайте познакомимся с ними поближе:

Типы квалификаторов отказа SPF

Ниже перечислены типы квалификаторов SPF Fail, каждый из которых добавляется в качестве префикса перед механизмом SPF fail:

"+" "Проход"
"-" "Провал"
"~" "Softfail"
"?" "Нейтральный"

Какое значение они имеют? В ситуации, когда ваше письмо не проходит проверку SPF, вы можете выбрать, как строго вы хотите, чтобы получатели обработали его. Вы можете указать классификатор для "пропуска" сообщений, которые не прошли проверку (доставить их), "Отказаться от доставки" или занять "Нейтральную" позицию (ничего не делать).

Случай 1: SPF Результат не возвращается.

В первом случае, - если принимающий почтовый сервер выполняет DNS поиск и не может найти доменное имя в DNS, результат не возвращается. Не возвращается также ни одна SPF-запись в DNS отправителя, что подразумевает, что отправитель не имеет настроенной SPF-аутентификации для этого домена. В этом случае SPF-аутентификация для вашей электронной почты будет неудачной.

Сгенерируйте вашу безошибочную SPF запись сейчас с помощью нашего бесплатного инструмента для генерации SPF записей, чтобы избежать этого.

Случай 2: Нейтральный результат SPF возвращается.

При настройке SPF для вашего домена, если вы прикрепили механизм ?all к вашей записи SPF, это означает, что независимо от того, что SPF-аутентификация проверяет ваши исходящие сообщения электронной почты, получающий MTA возвращает нейтральный результат. Это происходит потому, что когда вы имеете SPF в нейтральном режиме, вы не указываете IP адреса, которые авторизованы для отправки электронной почты от вашего имени и позволяете неавторизованным IP адресам посылать их также.

Дело 3: Результат SPF Softfail

Подобно нейтральному SPF, SPF softfail идентифицируется ~Всем механизмом, который подразумевает, что получающий MTA будет принимать почту и доставлять её в почтовый ящик получателя, но будет помечен как спам, в случае, если IP-адрес не указан в SPF-записи, найденной в DNS, что может быть причиной того, что SPF-аутентификация для вашей электронной почты не проходит. Ниже приведен пример SPF softfail:

 v=spf1 include:spf.google.com ~all

Дело 4: Результат SPF Hardfail

SPF hardfail, также известный как SPF fail - это когда получение MTA отбрасывает сообщения электронной почты, исходящие от любого источника отправки, который не указан в вашей записи SPF. Мы рекомендуем вам настроить SPF hardfail в вашей SPF записи, если вы хотите получить защиту от подделки домена и электронной почты. Ниже приведен пример SPF hardfail:

v=spf1 include:spf.google.com -all

Случай 5: Временная ошибка SPF (SPF TempError)

Одной из очень распространенных и часто безобидных причин неудачной SPF-аутентификации является SPF TempError (временная ошибка), которая возникает из-за ошибки DNS, такой как тайм-аут DNS, в то время как проверка SPF-аутентификации выполняется принимающим MTA. Поэтому, как следует из названия, это обычно временная ошибка, возвращающая код состояния 4xx, которая может вызвать временный отказ SPF, однако при повторной попытке позже она дает результат SPF pass.

Дело 6: Ошибка SPF (Постоянная ошибка SPF)

Еще одним распространенным результатом, с которым сталкиваются доменные ошибки, является SPF PermError. Вот почему SPF аутентификация в большинстве случаев терпит неудачу. Это происходит, когда ваша SPF запись становится недействительной при получении MTA. Есть много причин, по которым SPF может сломаться и стать недействительным MTA во время выполнения DNS поиска:

• Превышение лимита на 10 поисковых запросов ПСФ.
• Неправильный синтаксис записи SPF
• Более одной записи SPF для одного и того же домена.
• Превышение предела длины записи SPF в 255 символов
• Если ваша запись в SPF не соответствует последним изменениям, сделанным вашими ESP

Примечание: Когда MTA выполняет SPF-проверку письма, он запрашивает DNS или выполняет DNS-поиск для проверки подлинности источника письма. В идеале в SPF разрешено не более 10 DNS-запросов, превышение этого числа приведет к отказу SPF и возврату результата PermError.

Как динамическое сплющивание SPF может устранить ошибку SPF?

В отличие от других ошибок SPF, ошибка SPF PermError гораздо более сложна и трудна для разрешения. PowerSPF поможет вам легко решить эту проблему с помощью автоматического сглаживания SPF. Это поможет вам:

• Держитесь под жестким лимитом SPF
• Мгновенно оптимизируйте свой рекорд SPF
• Расплющите вашу запись до единого включенного заявления.
• Убедитесь, что ваша запись SPF всегда обновляется в соответствии с изменениями, сделанными вашими ESP.

Хотите проверить, правильно ли настроен SPF для вашего домена? Попробуйте наш бесплатный инструмент проверки SPF уже сегодня!

• О сайте
• Последние сообщения

Майтхам аль-Лоуати

Майтем - технологический предприниматель, эксперт по кибербезопасности, генеральный директор и основатель PowerDMARC с 15-летним опытом работы в отрасли. Майтем получил степень Global MBA в Манчестерском университете и различные профессиональные сертификаты, включая CISSP, CISM, CRISC и ISC2 CCSP.

Последние сообщения Maitham Al Lawati (см. все)

• Исправьте пермеррор SPF: Преодоление ограничения SPF Too Many DNS Lookups Limit - 26 апреля 2024 г.
• Как опубликовать запись DMARC за 3 шага? - 2 апреля 2024 г.
• Почему DMARC не работает? Устранение сбоев DMARC в 2024 году - 2 апреля 2024 г.