Vad är SPF Include?
SPF Include-mekanismen innehåller referenser eller villkor i en SPF-post som måste uppfyllas för varje given server för att förbättra leveransbarheten för e-post. Om du av misstag missar att lägga till Include-angivelserna för dina tredjepartsleverantörer i din SPF-post kan det leda till problem för dina mottagare, t.ex. att e-postmeddelanden inte kommer fram och att din totala avvisningsfrekvens kan öka.
Lär dig vad mekanismen "Include" i SPF-poster är och hur du kan optimera SPF Include-meddelanden för dina behov.
Vad är SPF Include?
I din SPF-postens syntaxanger "include"-mekanismen poster för att din e-postserver ska kontrollera de poster som matchar den domän som anges på "include"-raden.
"include" pekar på en domän vars SPF-poster kommer att frågas efter när man kontrollerar om den sändande IP:n är tillåten eller inte. Om den avsändande IP-adressen finns med i en "include"-lista som definieras av SPF kommer den att ge en träff och SPF godkänns.
SPF Inkludera är viktigt eftersom:
➜ Det anger att du vill skyddas av SPF-poster för alla domäner som anges i "include"-blocket.
➜ Den lägger till regler som är specifika för en domän.
➜ Du kan använda SPF Include-mekanismen för att ytterligare införliva allmänna filtreringsregler som gäller för alla domäner inom samma klass. Detta innebär att om din applikation stöder flera klasser av e-postadresser kan du använda inkluderingsmeddelanden för att möjliggöra mer komplex filtrering baserat på klassen för mottagaradressen.
Till exempel:
Om du har "include:_spf.google.com" i din SPF-post och e-postmeddelanden skickas från en IP-adress från Google kommer den att betraktas som en auktoriserad avsändare eftersom den ursprungliga IP-adressen finns i "include"-mekanismen i den domänens SPF-post. E-postmeddelandet kommer därför att passera genom servern innan det når den avsedda mottagaren.
Mer än en SPF-post är inte tillåten: Men varför?
Flera SPF-poster är inte tillåtna.
SPF-poster är TXT-poster som börjar med strängen v=spf1. De talar om för e-postservrar vilka regler de ska följa för att avgöra om ett visst e-postmeddelande är skräppost eller inte. Reglerna omfattar följande:
- En mottagande e-postserver måste kontrollera att den avsändande domänen är en auktoriserad mottagare av meddelandet. När denna regel är uppfylld accepterar den meddelandet och levererar det till användaren.
- En mottagande e-postserver måste kontrollera att den avsändande domänens IP-adress stämmer överens med en auktoriserad IP-adress för den domänen och att IP-adressen tillhör en auktoriserad avsändare. När dessa villkor är uppfyllda levereras meddelandet till användaren.
Om du har två separata SPF TXT-posteringar på din server kommer din e-post att misslyckas med SPF-autentisering och ge en PermError. Det beror på att en mottagande e-postserver inte vet vilken regel som ska följas - den kommer helt enkelt att ignorera båda dessa TXT-poster.
SPF inkluderar flera domäner, värdar eller IP-adresser: Instruktioner för hur man gör
Om du vill inkludera fler än en SPF-post kan du få problem med e-postleverans (t.ex. att e-postmeddelanden avvisas som skräppost). Lösningen är att ta bort de felande SPF-posterna och slå ihop domänerna eller värdposterna till en enda post eller rad genom SPF include.
Ta exemplet med SPF-posten med många värdar och ip4-adresser som används av Lenovo.com, en av världens mest kända tillverkare av konsumentelektronik.
När du utför Sökning av SPF-post för Lenovo.com fann vi att det har slagits samman 4 domäner:
- spf.messagelabs.com
- _netblocks.eloqua.com
- spf.protection.outlook.com
- spf.pfpool.lenovo.com
och 5 IP4-adresser:
- 72.32.45.225
- 40.65.201.146
- 138.108.60.125
- 138.108.24.107
- 52.247.21.11
till en enda post på följande sätt:
v=spf1 include:spf.messagelabs.com include:_netblocks.eloqua.com include:spf.protection.outlook.com include:spf.pfpool.lenovo.com ip4:72.32.45.225 ip4:40.65.201.146 ip4:138.108.60.125 ip4:138.108.24.107 ip4:52.247.21.11 ~all
Förstå SPF-postens semantik
I exemplet ovan har vi lärt oss att följande regel gäller när flera värdar eller IP4-adresser slås samman i en enda SPF-post.
En SPF-post bör ha tre delar för att anses vara giltig: deklarationen (start), include-mekanismen för domäner och IP4-tagget för IP-adresser (mitten) samt en verkställighetsregel (slut).
➜ Deklaration: Registret bör börja med v=spf1 (använd inte denna sträng igen i regeln)
➜ Tillåtna domäner: Lägg till en inkludera: för varje domän (du måste använda SPF Include-mekanismen eftersom include: med varje domän läggs till i SPF-posten).
➜ Tillåtna IP-adresser: Lägg till en IP4 taggen för varje IP-adress (du måste använda IP4-taggen före varje IP-adress som du lägger till i SPF-posten).
➜ Regel om verkställighet: Avsluta posten med en ~all uttalande (använd denna sträng i slutet och endast en gång).
En viktig anmärkning om SPF inkluderar
Det är viktigt att använda "include"-mekanismen i din SPF-post eftersom den gör det möjligt att inkludera andra domäner och värdar i SPF-posten, vilket kan vara användbart för att verifiera äktheten hos dina meddelanden.
Följande regel gäller dock för att använda antalet sökningar per SPF-post (som nämns i avsnitt 10.1 i RFC 4408):
"SPF-implementationer MÅSTE begränsa antalet mekanismer och modifieringar till högst 10 per SPF-kontroll, inklusive eventuella sökningar som orsakas av användningen av 'include'-mekanismen eller 'redirect'-modifieringen."
Om din SPF-implementering inte begränsar antalet mekanismer och modifieringar kommer den att sova på kontroller av oåtkomliga värdar. Eftersom dessa värdar aldrig kommer att inkluderas i dina kontroller kommer de aldrig att ta emot e-post från klienter. Detta kan leda till allvarliga problem med e-postleveranserna.
Skillnaden mellan SPF inkluderar: och en:
a: Testa IP-adressen för att se om den matchar en A-post för din domän.
inkluderar: Om du får godkänt (PASS) kommer detta att returneras som ett resultat av hela testet.
Skäl att använda en:
- Det är mer praktiskt och mindre komplicerat.
- Eftersom du inte har aktiverat SPF på de relevanta domänerna.
- Eftersom SPF inte är korrekt konfigurerad eller för att den av misstag tillåter andra servrar som inte finns i dess A-poster.
Skälen att använda är bland annat:
- Du litar på att en webbplats domännamn har en giltig SPF-post.
- Eftersom du vill ha en enda källa till sanning av "gör inte om dig själv"-skäl, och SPF-domänen är komplex.
- Du kanske vill göra ändringar i dina SPF-poster utan att nödvändigtvis redigera DNS för alla domäner som inkluderar din domän.
Automatiserad optimering av SPF Include: för flera domäner och IP-adresser
SPF-poster med flera värdar och IP-adresser är inget nytt. Men hur du ska bygga upp den här typen av poster kräver expertis för att undvika att Fel i SPF-autentiseringen eller PermError.