如何解决 "SPF对齐失败"?
如果你的DMARC汇总报告说 "SPF对齐失败",让我们讨论一下你的SPF对齐意味着什么,以及你如何解决这个问题。为了保护你的域名和在线身份不被试图冒充你的诈骗者利用,你需要为你的电子邮件域名设置DMARC。DMARC通过SPF和DKIM协议的累积性电子邮件认证工作发挥作用。因此,DMARC用户也受益于接收关于他们的电子邮件的交付问题、认证和对齐失败的报告。在这里了解更多关于什么是DMARC的信息。
什么是SPF排列?
一封电子邮件是由几个不同的标头组成的。每个标头都包含关于电子邮件的某些属性的信息,包括发送日期、发送地点和发送对象。SPF处理两种类型的邮件头。
- The <From:> header
- 返回路径标头
当From: 头中的域名和return-path头中的域名在一封邮件中是匹配的,SPF对齐就通过了这封邮件。然而,当这两者不匹配时,它就会失败。SPF对齐是一个重要的标准,它决定了一封邮件是合法的还是虚假的。
上图是一个例子,From: 头与Return-path头(Mail From)是一致的(完全匹配),因此对这封邮件来说,SPF对齐会通过。
为什么SPF对齐失败?
案例1:你的SPF对齐模式被设置为 严格
虽然默认的 SPF 对齐模式是宽松的,但是如果返回路径域恰好是根组织域的一个子域,而 From: 头部包含了组织域,那么设置严格的 SPF 对齐模式会导致对齐失败。这是因为要使 SPF 在严格模式下对齐,两个头中的域必须是完全匹配的。然而,如果这两个域名共享相同的顶级域名,那么SPF对齐将通过放松的对齐。
上面显示的是一个共享同一顶级域名的邮件的例子,但是域名并不是完全匹配的(Mail From域名是组织域名company.com的一个子域)。在这种情况下,如果你的SPF对齐模式设置为 "宽松",你的邮件就会通过SPF对齐,然而对于严格模式,它同样会失败。
案例2:你的域名已被 欺骗了
SPF对齐失败的一个非常常见的原因是域名欺骗。这是一种现象,即网络犯罪分子通过伪造你的域名或地址来取代你的身份,向你的收件人发送电子邮件。虽然From: 域名仍然带有你的身份,但Return-path头显示的是欺骗者的原始身份。如果你对你的伪造域名进行了SPF认证,那么电子邮件在接收者那边就不可避免地无法对齐。
修复 "SPF对齐失败"
要修复SPF对齐失败,你可以。
- 将你的对齐模式设置为 "放松 "而不是 "严格"。
- 为你的域名配置DMARC,在SPF和DKIM之上,这样,即使你的邮件没有通过SPF头的调整,但通过了DKIM的调整,它也能通过DMARC并被传递给收件人。
我们的 DMARC报告分析器可以帮助你的外发邮件获得100%的DMARC合规性,并防止由于协议配置错误而导致的欺骗企图或对接失败。今天就进行免费的DMARC试用,享受更安全、更可靠的认证体验吧!
她是一个有创新想法和设计的艺术人士。
- 您应该了解的域名漏洞类型- 2023 年 8 月 18 日
- 如何在你的电子邮件基础设施中实施邮件域名认证- 2023年2月22日
- 如何解决 "SPF对齐失败 "的问题?- 2023年1月3日
