Vad är SPF Include?

SPF Include-mekanismen innehåller referenser eller villkor i en SPF-post som måste uppfyllas för varje given server för att förbättra leveransbarheten för e-post. Om du av misstag missar att lägga till Include-angivelserna för dina tredjepartsleverantörer i din SPF-post kan det leda till problem för dina mottagare, t.ex. att e-postmeddelanden inte kommer fram och att din totala avvisningsfrekvens kan öka.

Lär dig vad mekanismen "Include" i SPF-poster är och hur du kan optimera SPF Include-meddelanden för dina behov.

Vad är SPF Include?

I din SPF-postens syntaxanger "include"-mekanismen poster för att din e-postserver ska kontrollera de poster som matchar den domän som anges på "include"-raden.

"include" pekar på en domän vars SPF-poster kommer att frågas efter när man kontrollerar om den sändande IP:n är tillåten eller inte. Om den avsändande IP-adressen finns med i en "include"-lista som definieras av SPF kommer den att ge en träff och SPF godkänns.

SPF Inkludera är viktigt eftersom:

➜ Det anger att du vill skyddas av SPF-poster för alla domäner som anges i "include"-blocket.

➜ Den lägger till regler som är specifika för en domän.

➜ Du kan använda SPF Include-mekanismen för att ytterligare införliva allmänna filtreringsregler som gäller för alla domäner inom samma klass. Detta innebär att om din applikation stöder flera klasser av e-postadresser kan du använda inkluderingsmeddelanden för att möjliggöra mer komplex filtrering baserat på klassen för mottagaradressen.

Till exempel:

Om du har "include:_spf.google.com" i din SPF-post och e-postmeddelanden skickas från en IP-adress från Google kommer den att betraktas som en auktoriserad avsändare eftersom den ursprungliga IP-adressen finns i "include"-mekanismen i den domänens SPF-post. E-postmeddelandet kommer därför att passera genom servern innan det når den avsedda mottagaren.

Mer än en SPF-post är inte tillåten: Men varför?

Flera SPF-poster är inte tillåtna.

SPF-poster är TXT-poster som börjar med strängen v=spf1. De talar om för e-postservrar vilka regler de ska följa för att avgöra om ett visst e-postmeddelande är skräppost eller inte. Reglerna omfattar följande:

• En mottagande e-postserver måste kontrollera att den avsändande domänen är en auktoriserad mottagare av meddelandet. När denna regel är uppfylld accepterar den meddelandet och levererar det till användaren.
•  En mottagande e-postserver måste kontrollera att den avsändande domänens IP-adress stämmer överens med en auktoriserad IP-adress för den domänen och att IP-adressen tillhör en auktoriserad avsändare. När dessa villkor är uppfyllda levereras meddelandet till användaren.

Om du har två separata SPF TXT-posteringar på din server kommer din e-post att misslyckas med SPF-autentisering och ge en PermError. Det beror på att en mottagande e-postserver inte vet vilken regel som ska följas - den kommer helt enkelt att ignorera båda dessa TXT-poster.

SPF inkluderar flera domäner, värdar eller IP-adresser: Instruktioner för hur man gör

Om du vill inkludera fler än en SPF-post kan du få problem med e-postleverans (t.ex. att e-postmeddelanden avvisas som skräppost). Lösningen är att ta bort de felande SPF-posterna och slå ihop domänerna eller värdposterna till en enda post eller rad genom SPF include.

Ta exemplet med SPF-posten med många värdar och ip4-adresser som används av Lenovo.com, en av världens mest kända tillverkare av konsumentelektronik.

När du utför Sökning av SPF-post för Lenovo.com fann vi att det har slagits samman 4 domäner:

1. spf.messagelabs.com
2. _netblocks.eloqua.com
3. spf.protection.outlook.com
4. spf.pfpool.lenovo.com

och 5 IP4-adresser:

1. 72.32.45.225
2. 40.65.201.146
3. 138.108.60.125
4. 138.108.24.107
5. 52.247.21.11

till en enda post på följande sätt:

v=spf1 include:spf.messagelabs.com include:_netblocks.eloqua.com include:spf.protection.outlook.com include:spf.pfpool.lenovo.com ip4:72.32.45.225 ip4:40.65.201.146 ip4:138.108.60.125 ip4:138.108.24.107 ip4:52.247.21.11 ~all

Förstå SPF-postens semantik

I exemplet ovan har vi lärt oss att följande regel gäller när flera värdar eller IP4-adresser slås samman i en enda SPF-post.

En SPF-post bör ha tre delar för att anses vara giltig: deklarationen (start), include-mekanismen för domäner och IP4-tagget för IP-adresser (mitten) samt en verkställighetsregel (slut).

➜ Deklaration: Registret bör börja med v=spf1 (använd inte denna sträng igen i regeln)

➜ Tillåtna domäner: Lägg till en inkludera: för varje domän (du måste använda SPF Include-mekanismen eftersom include: med varje domän läggs till i SPF-posten).

➜ Tillåtna IP-adresser: Lägg till en IP4 taggen för varje IP-adress (du måste använda IP4-taggen före varje IP-adress som du lägger till i SPF-posten).

➜ Regel om verkställighet: Avsluta posten med en ~all uttalande (använd denna sträng i slutet och endast en gång).

En viktig anmärkning om SPF inkluderar

Det är viktigt att använda "include"-mekanismen i din SPF-post eftersom den gör det möjligt att inkludera andra domäner och värdar i SPF-posten, vilket kan vara användbart för att verifiera äktheten hos dina meddelanden.

Följande regel gäller dock för att använda antalet sökningar per SPF-post (som nämns i avsnitt 10.1 i RFC 4408):

"SPF-implementationer MÅSTE begränsa antalet mekanismer och modifieringar till högst 10 per SPF-kontroll, inklusive eventuella sökningar som orsakas av användningen av 'include'-mekanismen eller 'redirect'-modifieringen."

Om din SPF-implementering inte begränsar antalet mekanismer och modifieringar kommer den att sova på kontroller av oåtkomliga värdar. Eftersom dessa värdar aldrig kommer att inkluderas i dina kontroller kommer de aldrig att ta emot e-post från klienter. Detta kan leda till allvarliga problem med e-postleveranserna.

Skillnaden mellan SPF inkluderar: och en:

a: Testa IP-adressen för att se om den matchar en A-post för din domän.

inkluderar: Om du får godkänt (PASS) kommer detta att returneras som ett resultat av hela testet.

Skäl att använda en:

• Det är mer praktiskt och mindre komplicerat.
• Eftersom du inte har aktiverat SPF på de relevanta domänerna.
• Eftersom SPF inte är korrekt konfigurerad eller för att den av misstag tillåter andra servrar som inte finns i dess A-poster.

Skälen att använda är bland annat:

• Du litar på att en webbplats domännamn har en giltig SPF-post.
• Eftersom du vill ha en enda källa till sanning av "gör inte om dig själv"-skäl, och SPF-domänen är komplex.
• Du kanske vill göra ändringar i dina SPF-poster utan att nödvändigtvis redigera DNS för alla domäner som inkluderar din domän.

Automatiserad optimering av SPF Include: för flera domäner och IP-adresser

SPF-poster med flera värdar och IP-adresser är inget nytt. Men hur du ska bygga upp den här typen av poster kräver expertis för att undvika att Fel i SPF-autentiseringen eller PermError.

• Om
• Senaste inlägg

Ahona Rudra

Manager för digital marknadsföring och innehållsförfattare på PowerDMARC

Ahona arbetar som Digital Marketing and Content Writer Manager på PowerDMARC. Hon är en passionerad skribent, bloggare och marknadsföringsspecialist inom cybersäkerhet och informationsteknik.

Senaste inlägg av Ahona Rudra (se alla)

• Vad är ett phishing-e-postmeddelande? Var uppmärksam och undvik att gå i fällan! - 31 maj 2023
• Åtgärda "DKIM none-meddelande inte signerat"- Felsökningsguide - 31 maj 2023
• Fixa SPF-permerror: Övervinna för många DNS-uppslagningar - 30 maj 2023