Inlägg

Har du någonsin sett ett e-postmeddelande misslyckas SPF? Om du har det, ska jag berätta exakt varför SPF-autentisering misslyckas. Sender Policy Framework, eller SPF, är en av de e-postverifieringsstandarder som vi alla har använt i åratal för att stoppa skräppost. Även om du inte var medveten om det, slår jag vad om att om jag kollade dina inloggningskontoinställningar för Facebook skulle det sannolikt visa dig "opt-in" till "endast e-post från vänner". Det är i själva verket samma sak som SPF.

SPF är ett e-postautentiseringsprotokoll som används för att verifiera att e-postavsändaren matchar med deras domännamn i fältet Från: i meddelandet. Den sändande MTA kommer att använda DNS för att fråga en förkonfigurerad lista över SPF-servrar för att kontrollera om den sändande IP-adressen har behörighet att skicka e-post för den domänen. Det kan finnas inkonsekvenser i hur SPF-poster är konfigurerade, vilket är avgörande för att förstå varför e-postmeddelanden kan misslyckas med SPF-verifiering och vilken roll du kan spela för att säkerställa att problem inte uppstår i dina egna e-postmarknadsföringsinsatser.

Varför SPF-autentisering misslyckas : Ingen, Neutral, Hardfail, Softfail, TempError och PermError

SPF-autentiseringsfel kan inträffa på grund av följande orsaker:

  • Den mottagande MTA misslyckas med att hitta en SPF-post publicerad i din DNS
  • Du har flera SPF-poster publicerade i dns för samma domän
  • Dina IP-adresser har ändrat eller lagt till i sina IP-adresser som inte har uppdaterats i din SPF-post
  • Om du överskrider gränsen för 10 DNS-sökningar för SPF
  • Om du överskrider det maximala antalet tillåtna ogiltiga uppslagsgränsen på 2
  • Den förenklade SPF-postlängden överskrider gränsen på 255 SPF-tecken

Ovan följer olika scenarier för varför SPF-autentisering misslyckas. Du kan övervaka dina domäner med vår DMARC-analysator för att få rapporter om SPF-autentiseringsfel. När du har aktiverat DMARC-rapportering returnerar den mottagande MTA något av följande SPF-autentiseringsfelresultat för e-postmeddelandet beroende på orsaken till att din e-post misslyckades med SPF. Låt oss lära känna dem bättre:

Fall 1: SPF Inget resultat returneras

I det första scenariot,- om den mottagande e-postservern utför en DNS-sökning och inte kan hitta domännamnet i DNS returneras inget resultat. Ingen returneras också om ingen SPF-post hittas i avsändarens DNS, vilket innebär att avsändaren inte har SPF-autentisering konfigurerad för den här domänen. I det här fallet misslyckas SPF-autentisering för dina e-postmeddelanden.

Generera din felfria SPF-post nu med vårt gratis SPF-skivgeneratorverktyg för att undvika detta.

Fall 2: SPF-neutralt resultat returneras

När du konfigurerar SPF för din domän, om du har fäst en ?all-mekanism på din SPF-post, betyder det att oavsett vad SPF-autentiseringen kontrollerar för dina utgående e-postmeddelanden, returnerar den mottagande MTA ett neutralt resultat. Detta händer eftersom när du har din SPF i neutralt läge anger du inte de IP-adresser som är auktoriserade att skicka e-postmeddelanden för din räkning och tillåter obehöriga IP-adresser att skicka dem också.

Fall 3: SPF Softfail Resultat

I likhet med SPF-neutral identifieras SPF softfail av ~all mekanism vilket innebär att den mottagande MTA skulle acceptera e-postmeddelandet och leverera det till mottagarens inkorg, men det skulle markeras som skräppost, om IP-adressen inte listas i SPF-posten som finns i DNS, vilket kan vara en anledning till att SPF-autentisering misslyckas för din e-post. Nedan ges ett exempel på SPF softfail:

 v=spf1 inkludera:spf.google.com ~all

Fall 4: SPF Hardfail Resultat

SPF hardfail, även känd som SPF-fel, är när mottagandet av MTA skulle ignorera e-postmeddelanden som kommer från någon sändande källa som inte finns med i din SPF-post. Vi rekommenderar att du konfigurerar SPF hardfail i din SPF-post, om du vill få skydd mot domänpersonifiering och e-postförfalskning. Nedan ges ett exempel på SPF hardfail:

v=spf1 inkludera:spf.google.com -all

Ärende 5: SPF TempError (tillfälligt fel i SPF)

En av de mycket vanliga och ofta ofarliga orsakerna till att SPF-autentisering misslyckas är SPF TempError (tillfälligt fel) som orsakas på grund av ett DNS-fel, till exempel en DNS-timeout medan en SPF-autentiseringskontroll utförs av den mottagande MTA. Det är därför, precis som namnet antyder, vanligtvis ett interimistiskt fel som returnerar en 4xx-statuskod som kan orsaka tillfälligt SPF-fel, men ger ett SPF-passresultat när det provas igen senare.

Fall 6: SPF PermError (permanent SPF-fel)

Ett annat vanligt resultat som domänfel står inför är SPF PermError. Det är därför SPF-autentisering misslyckas i de flesta fall. Detta händer när din SPF-post ogiltigförklaras av den mottagande MTA. Det finns många anledningar till att SPF kan brytas och göras ogiltigt av MTA när dns-sökningar utfördes:

  • Överskrider uppslagsgränsen på 10 SPF
  • Felaktig syntax för SPF-post
  • Mer än en SPF-post för samma domän
  • Överskrider SPF-postlängdsgränsen på 255 tecken
  • Om din SPF-post inte är uppdaterad med ändringar som gjorts av dina EPS

Anmärkning: När en MTA utför en SPF-kontroll av ett e-postmeddelande frågar den DNS eller utför en DNS-sökning för att kontrollera om e-postkällan är äkta. Helst, i SPF får du högst 10 DNS-uppslag, vilket överskrider vilket kommer att misslyckas SPF och returnera ett PermError-resultat.

Hur kan dynamisk SPF-förenkling lösa SPF-permerror?

Till skillnad från de andra SPF-felen är SPF PermError mycket svårare och komplicerat att lösa. PowerSPF hjälper dig att enkelt minska det med hjälp av automatisk SPF-förenkling. Det hjälper dig:

  • Håll dig under SPF:s hårda gräns
  • Optimera din SPF-post direkt
  • Förenkla din post till en enda include-sats
  • Se till att din SPF-post alltid uppdateras på ändringar som gjorts av dina EPS

Vill du testa om du har konfigurerat SPF korrekt för din domän? Prova vårt gratis SPF-skivuppslagsverktyg idag!

Är det okej att ha flera SPF-poster på din domän? Svaret är nej, eftersom flera SPF-poster är ett av de vanligaste SPF-felen som domänägare stöter på, kan det helt ogiltigförklara din SPF och leda till SPF PermError. För att förstå varför detta händer måste vi veta hur SPF fungerar och varför mer än en SPF-post kan orsaka problem vid autentisering. Utför din SPF-postkontroll idag för att hitta fel i din SPF-postkonfiguration.

Hur fungerar SPF?

Sender Policy Framework eller SPF är ett populärt e-postautentiseringsprotokoll som fungerar genom att lista alla auktoriserade sändningskällor som får skicka e-post för din domäns räkning. SPF fungerar genom att utföra DNS-frågebegäranden eller DNS-sökningar där den mottagande MTA-enheten letar upp och validerar din e-posts retursökvägsadress genom att matcha den mot listan över IP-adresser som nämns i SPF-posten som finns i domänens DNS.

Om det finns en matchning skickar e-postmeddelandet SPF, annars misslyckas SPF.

Därför publicerar konfigurering av SPF helt enkelt en DNS TXT-post som börjar med syntaxen "v=spf1".

Vad är SPF PermError?

När en mottagande MTA börjar utföra SPF-autentisering på ett e-postmeddelande hämtar den alla DNS TXT-poster som börjar med "v=spf1". Om SPF inte är konfigurerat för den sändande domänen och ingen SPF-post hittas i DNS returneras ett Ingen-resultat. Tvärtom, om flera SPF-poster som börjar med "v=spf1" befinns finnas för samma domän returneras ett PermError-resultat.

På fel sätt: 

PosttypDomännamnPostvärdeTTL
TXTexampledomain.comv=spf1 inkludera:_spf.zoho.com -allstandard
TXTexampledomain.comv=spf1 inkludera:_spf.google.com -allstandard

I det här exemplet, exampledomain.com domänen finns det två separata DNS TXT-poster som har publicerats i domänens DNS. I det här fallet misslyckas SPF-autentiseringen på grund av SPF PermError.

 

På rätt sätt: 

PosttypDomännamnPostvärdeTTL
TXTexampledomain.comv=spf1 include:_spf.zoho.com include:_spf.google.com -allstandard

I det här exemplet exampledomain.com domänen endast en enda SPF DNS TXT-post publicerad i DNS genom att lägga till alla inkludera mekanismer i en enda post. Posten är giltig och SPF returnerar inte ett PermError-resultat i det här fallet. Lär dig hur du optimerar din SPF-post på rätt sätt för att undvika SPF-postfel i framtiden.

Andra faktorer som påverkar SPF: Typer av SPF-fel

Som diskuterats ovan är mer än en SPF-post ett vanligt SPF-fel som kan göra din SPF-post ogiltig och misslyckas med SPF-autentisering. Så svaret på "Kan jag ha flera SPF-poster på min domän?" är enkelt och enkelt: nej du kan inte. När du har sett till att du bara har en SPF-post publicerad i din DNS kan det fortfarande finnas andra faktorer som orsakar SPF-fel.

  • Om du överskrider SPF 10-uppslagsgränsen kan SPF PermError returneras och SPF brytas.
  • Om du förenklar SPF-posten manuellt för att hämta alla IP-adresser bakom din include-mekanism kan det leda till en lång post som kan överskrida teckensträngsgränsen på 255 tecken
  • Dina e-postleverantörer som Zoho, Gmail eller Outlook kan ändra eller lägga till i sina IP-adresser som ogiltigförklarar din SPF-post
  • SPF-posten kan innehålla syntaxfel

För att undvika ovanstående fel använder du PowerSPF för att automatiskt platta till din SPF-post och hålla dig under gränsen för 10 DNS-sökningar.

Du kan generera din felfria SPF-post med vår gratis SPF-skivgenerator. Registrera dig idag för DMARC Analyzer för att konfigurera SPF korrekt för din domän och undvika alla SPF-fel.

Skäl till varför man undviker SPF-förenkling

Sender Policy Framework, eller SPF är ett allmänt hyllat e-postautentiseringsprotokoll som validerar dina meddelanden genom att autentisera dem mot alla auktoriserade IP-adresser som är registrerade för din domän i din SPF-post. För att validera e-postmeddelanden anger SPF till den mottagande e-postservern att utföra DNS-frågor för att söka efter auktoriserade IP-adresser, vilket resulterar i DNS-sökningar.

Din SPF-post finns som en DNS TXT-post som består av en sammansättning av olika mekanismer. De flesta av dessa mekanismer (till exempel inkluderar, a, mx, redirect, exists, ptr) genererar DNS-uppslag. Det maximala antalet DNS-sökningar för SPF-autentisering är dock begränsat till 10. Om du använder olika tredjepartsleverantörer för att skicka e-postmeddelanden med din domän kan du enkelt överskrida SPF-hårdgränsen.

Du kanske undrar, vad händer om du överskrider denna gräns? Om du överskrider gränsen för 10 DNS-sökningar kommer SPF att misslyckas och även legitima meddelanden som skickas från din domän ogiltigförklaras. I sådana fall returnerar den mottagande e-postservern en SPF PermError-rapport till din domän om du har DMARC-övervakning aktiverad. Detta gör att vi kommer till det primära diskussionsämnet för den här bloggen: SPF-förenkling.

Vad är SPF-förenkling?

SPF-skivbetoning är en av de populära metoderna som används av branschexperter för att optimera din SPF-post och undvika att överskrida SPF-hårdgränsen. Förfarandet för SPF-förenkling är ganska enkelt. Att förenkla din SPF-post är processen att ersätta alla inkludera mekanismer med sina respektive IP-adresser för att eliminera behovet av att utföra DNS-sökningar.

Om SPF-posten till exempel först såg ut ungefär så här:

v=spf1 inkludera:spf.domain.com -all

En tillplattad SPF-skiva kommer att se ut ungefär så här:

v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -all

Den här förenklade posten genererar bara en DNS-sökning i stället för att utföra flera uppslag. Att minska antalet DNS-frågor som utförs av den mottagande servern under e-postautentisering hjälper till att hålla sig under gränsen för 10 DNS-sökning, men det har egna problem.

Problemet med SPF-förenkling

Bortsett från det faktum att din manuellt tillplattade SPF-post kan bli för lång för att publicera på din domäns DNS (som överskrider gränsen på 255 tecken), måste du ta hänsyn till att din e-postleverantör kan ändra eller lägga till sina IP-adresser utan att meddela dig som användare. Då och då när din leverantör gör ändringar i sin infrastruktur skulle dessa ändringar inte återspeglas i din SPF-post. Därför, när dessa ändrade eller nya IP-adresser används av din e-postserver, misslyckas e-postmeddelandet SPF på mottagarens sida.

PowerSPF: Din dynamiska SPF-postgenerator

Det ultimata målet med PowerDMARC var att komma fram till en lösning som kan förhindra domänägare från att nå 10 DNS-uppslagsgränsen, samt optimera din SPF-post för att alltid hålla dig uppdaterad om de senaste IP-adresserna som dina e-postleverantörer använder. PowerSPF är din automatiserade SPF-förenklingslösning som drar igenom din SPF-post för att generera en enda include-sats. PowerSPF hjälper dig:

  • Lägga till eller ta bort IPs och mekanismer med lätthet
  • Uppdatera netblocks automatiskt för att se till att dina auktoriserade IPs alltid är uppdaterade
  • Håll dig under 10 DNS-uppslagsgränsen med lätthet
  • Få en optimerad SPF-post med ett enda klick
  • Permanent besegra "permerror"
  • Implementera felfri SPF

Registrera dig med PowerDMARC idag för att säkerställa förbättrad e-post leveransbarhet och autentisering, samtidigt som du håller dig under 10 DNS SPF-uppslagsgränsen.

I den här artikeln kommer vi att utforska hur du enkelt optimerar SPF-posten för din domän. För företag såväl som småföretag som har en e-postdomän för att skicka och ta emot meddelanden bland sina kunder, partners och anställda är det mycket troligt att det finns en SPF-post som standard, som har konfigurerats av din inkorgstjänstleverantör. Oavsett om du har en befintlig SPF-post eller om du behöver skapa en ny, måste du optimera din SPF-post korrekt för din domän för att säkerställa att den inte orsakar några problem med e-postleverans.

Vissa e-postmottagare kräver strikt SPF, vilket indikerar att om du inte har en SPF-post publicerad för din domän kan dina e-postmeddelanden markeras som skräppost i mottagarens inkorg. Dessutom hjälper SPF till att upptäcka obehöriga källor som skickar e-postmeddelanden för din domäns räkning.

Låt oss först förstå vad som är SPF och varför behöver du det?

SPF (Sender Policy Framework)

SPF är i huvudsak ett standardprotokoll för e-postautentisering som anger de IP-adresser som har behörighet att skicka e-postmeddelanden från din domän. Den fungerar genom att jämföra avsändaradresser med listan över auktoriserade sändande värdar och IP-adresser för en viss domän som publiceras i DNS för den domänen.

SPF, tillsammans med DMARC (Domänbaserad meddelandeautentisering, rapportering och konformation) är utformad för att upptäcka förfalskade avsändaradresser under e-postleverans och förhindra förfalskning av attacker, nätfiske och e-postbedrägerier.

Det är viktigt att veta att även om standard-SPF som är integrerat i din domän av din värdleverantör säkerställer att e-postmeddelanden som skickas från din domän autentiseras mot SPF om du har flera tredjepartsleverantörer för att skicka e-postmeddelanden från din domän, måste denna befintliga SPF-post skräddarsys och ändras för att passa dina krav. Hur kan du göra det? Låt oss utforska två av de vanligaste sätten:

  • Skapa en helt ny SPF-post
  • Optimera en befintlig SPF-post

Instruktioner om hur du optimerar SPF-post

Skapa en helt ny SPF-post

Att skapa en SPF-post är helt enkelt att publicera en TXT-post i domänens DNS för att konfigurera SPF för din domän. Detta är ett obligatoriskt steg som kommer innan du börjar med hur du optimerar SPF-posten. Om du precis har börjat med autentisering och osäker på syntaxen kan du använda vår kostnadsfria SPF-postgenerator online för att skapa en SPF-post för din domän.

En SPF-postpost med rätt syntax ser ut ungefär så här:

v=spf1 ip4:38.146.237 inkludera:exempel.com -all

v=spf1Anger vilken version av SPF som används
ip4/ip6Den här mekanismen anger giltiga IP-adresser som har behörighet att skicka e-post från din domän.
inbegripaDen här mekanismen talar om för de mottagande servrarna att inkludera värdena för SPF-posten för den angivna domänen.
-allaDen här mekanismen anger att e-postmeddelanden som inte är SPF-kompatibla skulle avvisas. Det här är den rekommenderade taggen du kan använda när du publicerar SPF-posten. Men det kan ersättas med ~ för SPF Soft Fail (icke-kompatibla e-postmeddelanden skulle markeras som mjukt fel men skulle fortfarande accepteras) Eller + som anger att alla servrar skulle tillåtas att skicka e-postmeddelanden för din domäns räkning, vilket är starkt avskräckt.

Om du redan har konfigurerat SPF för din domän kan du också använda vår kostnadsfria SPF-postkontroll för att slå upp och validera din SPF-post och upptäcka problem.

Vanliga utmaningar och fel när du konfigurerar SPF

1) 10 DNS-uppslagsgräns 

Den vanligaste utmaningen för domänägare när de konfigurerar och antar SPF-autentiseringsprotokoll för sin domän är att SPF har en gräns för antalet DNS-sökningar, som inte får överstiga 10. För domäner som förlitar sig på flera tredjepartsleverantörer överskrider gränsen för 10 DNS-sökning lätt vilket i sin tur bryter SPF och returnerar en SPF PermError. Den mottagande servern ogiltigförklarar i sådana fall automatiskt din SPF-post och blockerar den.

Mekanismer som initierar DNS-sökningar: MX, A, INCLUDE, REDIRECT modifier

2) SPF Void-sökning 

Annullerade sökningar refererar till DNS-sökningar som antingen returnerar NOERROR-svar eller NXDOMAIN-svar (ogiltigt svar). När du implementerar SPF rekommenderas att se till att DNS-sökningar inte returnerar ett ogiltigt svar i första hand.

3) SPF Rekursiv slinga

Det här felet indikerar att SPF-posten för den angivna domänen innehåller rekursiva problem med en eller flera av INCLUDE-mekanismerna. Detta sker när en av de domäner som anges i INCLUDE-taggen innehåller en domän vars SPF-post innehåller INCLUDE-taggen för den ursprungliga domänen. Detta leder till en oändlig slinga som gör att e-postservrar kontinuerligt utför DNS-sökningar för SPF-posterna. Detta leder i slutändan till att överskrida 10 DNS-uppslagsgränsen, vilket resulterar i att e-postmeddelanden misslyckas SPF.

4) Syntaxfel 

Det kan finnas en SPF-post i domänens DNS, men den är inte till någon nytta om den innehåller syntaxfel. Om din SPF TXT-post innehåller onödiga blanksteg när du skriver domännamnet eller mekanismnamnet ignoreras strängen före det extra utrymmet helt av den mottagande servern när du utför en sökning och därmed ogiltigförklarar SPF-posten.

5) Flera SPF-poster för samma domän

En enda domän kan bara ha en SPF TXT-post i DNS. Om din domän innehåller mer än en SPF-post ogiltigförklarar den mottagande servern dem alla, vilket gör att e-postmeddelanden misslyckas med SPF.

6) SPF-postens längd 

Den maximala längden på en SPF-post i DNS är begränsad till 255 tecken. Den här gränsen kan dock överskridas och en TXT-post för SPF kan innehålla flera strängar sammanfogade tillsammans, men inte över en gräns på 512 tecken, för att passa DNS-frågesvaret (enligt RFC 4408). Även om detta senare reviderades, skulle mottagare som förlitar sig på äldre DNS-versioner inte kunna validera e-postmeddelanden som skickas från domäner som innehåller en lång SPF-post.

Optimera SPF-posten

För att snabbt ändra din SPF-post kan du använda följande metodtips för SPF:

  • Försök att skriva ner dina e-postkällor i minska prioritetsordningen från vänster till höger i din SPF-post
  • Ta bort föråldrade e-postkällor från din DNS
  • Använd IP4/IP6-mekanismer istället för A och MX
  • Håll antalet INCLUDE-mekanismer så lågt som möjligt och undvik kapslade
  • Publicera inte mer än en SPF-post för samma domän i din DNS
  • Kontrollera att SPF-posten inte innehåller några redundanta blanksteg eller syntaxfel

Anmärkning: SPF-förenkling rekommenderas inte eftersom det inte är en engångsaffär. Om din e-postleverantör ändrar sin infrastruktur måste du ändra dina SPF-poster i enlighet därmed, varje gång.

Optimera din SPF-post enkelt med PowerSPF

Du kan gå vidare och försöka implementera alla dessa ovan nämnda ändringar för att optimera din SPF-post manuellt, eller så kan du glömma besväret och lita på vår dynamiska PowerSPF för att göra allt det för dig automatiskt! PowerSPF hjälper dig att optimera din SPF-post med ett enda klick, där du kan:

  • Lägg enkelt till eller ta bort sändarkällor
  • Uppdatera poster enkelt utan att behöva göra ändringar manuellt i din DNS
  • Få en optimerad automatisk SPF-post med ett enda klick på en knapp
  • Håll dig under gränsen för 10 DNS-sökningar hela tiden
  • Minska PermError
  • Glöm syntaxfel och konfigurationsproblem med SPF-post
  • Vi tar bort bördan av att lösa SPF-begränsningar för din räkning

Registrera dig hos PowerDMARC idag för att bjuda adieu till SPF-begränsningar för alltid!