如果您的 DMARC 汇总报告显示 "SPF 对齐失败",让我们来讨论一下 SPF 对齐的含义以及如何解决这个问题。为了保护您的域名和在线身份,防止骗子冒充您的身份,您需要为您的电子邮件域设置 DMARC。DMARC 通过 SPF 和 DKIM 协议的累积电子邮件验证工作发挥作用。因此,DMARC 用户还可以收到有关其电子邮件发送问题、验证和对齐失败的报告。点击此处了解有关DMARC的更多信息。
什么是SPF排列?
一封电子邮件是由几个不同的标头组成的。每个标头都包含关于电子邮件的某些属性的信息,包括发送日期、发送地点和发送对象。SPF处理两种类型的邮件头。
- The <From:> header
- 返回路径标头
当From: 头中的域名和return-path头中的域名在一封邮件中是匹配的,SPF对齐就通过了这封邮件。然而,当这两者不匹配时,它就会失败。SPF对齐是一个重要的标准,它决定了一封邮件是合法的还是虚假的。
上图是一个例子,From: 头与Return-path头(Mail From)是一致的(完全匹配),因此对这封邮件来说,SPF对齐会通过。
为什么SPF对齐失败?
案例1:你的SPF对齐模式被设置为 严格
虽然默认的 SPF 对齐模式是宽松的,但是如果返回路径域恰好是根组织域的一个子域,而 From: 头部包含了组织域,那么设置严格的 SPF 对齐模式会导致对齐失败。这是因为要使 SPF 在严格模式下对齐,两个头中的域必须是完全匹配的。然而,如果这两个域名共享相同的顶级域名,那么SPF对齐将通过放松的对齐。
上面显示的是一个共享同一顶级域名的邮件的例子,但是域名并不是完全匹配的(Mail From域名是组织域名company.com的一个子域)。在这种情况下,如果你的SPF对齐模式设置为 "宽松",你的邮件就会通过SPF对齐,然而对于严格模式,它同样会失败。
案例2:你的域名已被 欺骗了
SPF对齐失败的一个非常常见的原因是域名欺骗。这是一种现象,即网络犯罪分子通过伪造你的域名或地址来取代你的身份,向你的收件人发送电子邮件。虽然From: 域名仍然带有你的身份,但Return-path头显示的是欺骗者的原始身份。如果你对你的伪造域名进行了SPF认证,那么电子邮件在接收者那边就不可避免地无法对齐。
修复 "SPF对齐失败"
要修复SPF对齐失败,你可以。
- 将你的对齐模式设置为 "放松 "而不是 "严格"。
- 为你的域名配置DMARC,在SPF和DKIM之上,这样,即使你的邮件没有通过SPF头的调整,但通过了DKIM的调整,它也能通过DMARC并被传递给收件人。
我们的 DMARC报告分析器可以帮助你的外发邮件获得100%的DMARC合规性,并防止由于协议配置错误而导致的欺骗企图或对接失败。今天就进行免费的DMARC试用,享受更安全、更可靠的认证体验吧!
- 修复 SPF 错误克服 SPF DNS 查询次数过多限制- 2024 年 4 月 26 日
- 如何用三个步骤发布 DMARC 记录?- 2024 年 4 月 2 日
- DMARC 为什么会失败?在 2024 年修复 DMARC 故障- 2024 年 4 月 2 日