如何解决 "SPF Softfail Domain Does not Designate IP as Permitted Sender"?
作者:
阅读时间 6 分钟
如果你的公司使用自己的域名和域名处理邮件,他们很有可能遇到邮件问题,并且遇到了 " SPF Softfail Domain Does Not Designate IP as Permitted Sender " 的错误。公司在SPF记录中正确指定用于代表他们发送邮件的IP地址为允许的发件人是非常关键的。
主要收获
- 在 SPF 记录中正确指定 IP 地址对防止电子邮件欺骗和确保可靠的电子邮件通信至关重要。
- 检查电子邮件标头有助于确定用于发送电子邮件的 IP 地址是否在 SPF 记录中获得授权。
- 每个域名所有者都应维护一份所有有效发送源(包括第三方服务)的列表,以确保符合 SPF 要求。
- 将 DMARC 与SPF 和 DKIM结合使用可增强电子邮件的安全性,并提供有关验证失败的反馈信息。
- DMARC 允许域名所有者控制对未经验证电子邮件的处理,这有助于防范网络钓鱼和诈骗。
什么是SPF?
SPF 或 "发件人策略框架 "是一种电子邮件身份验证标准,可保护组织免受冒名顶替。攻击者可能会使用公司的域名和品牌名称向客户发送虚假信息。这些网络钓鱼电子邮件看似真实,足以让客户信以为真,使他们上当受骗。这将损害公司的品牌信誉和公众形象。SPF 可以被想象成一个公司可信域的安全列表,真实的通信可以从这里发出。
如何检查你的域名是否是允许的发件人?
要解决"SPF Softfail Domain Does not Designate IP as Permitted Sender" 错误的第一步是检查你的发件人权限。要做到这一点。
步骤1:登录公司域名的电子邮件账户,比方说,[email protected]。
步骤2:发送电子邮件到另一个你可以访问的电子邮件账户;这可以是一个外部域名,如Gmail、雅虎、Hotmail或其他。
步骤3:登录到你发送第一封邮件的电子邮件账户,然后查看这封邮件的标题。它将被标记为 "显示原始"。
然后,你会看到与此类似的东西。注意SPF Softfail信息。
-原始信息 -
X-接收。...
2022年3月13日,星期六 11:01:19 IST
返回路径:[email protected]
收到:来自mymy2.spfrecords.com(mymy2.spfrecords.com [60.130.71.223])。
由mx.google.com用ESMTPS id发送。
*id*
收到SPF:softfail(google.com:过渡期的域名[email protected],没有指定60.130.71.223为允许的发件人) client-ip=60.130.71.223。
认证结果:mx.google.com。
Spf = softfail (google.com: 过渡期的域名[email protected] 没有指定60.130.71.223为允许的发件人) client-ip=60.130.71.223。
*标题信息结束
注释: 如果你在邮件头中观察到 "Received-SPF: pass",那么你用来发送邮件的域名是经过认证的,并且已经被添加到你的SPF记录中,你不需要担心任何问题。然而,如上所示,存在一个软故障问题。我们现在将研究如何解决这个问题。
使用 PowerDMARC 简化 SPF!
SPF Softfail Domain Does not Designate IP as Permitted Sender "是什么意思?
你的电子邮件发件人有一个主机IP,看起来像这样。
30.10.323.005
如果发送域的此 IP 地址未包含在您的域 SPF 记录中,则电子邮件接收服务器无法将指定 IP 识别为允许的发件人。服务器会自动将邮件理解为来自未经授权的来源。这可能是邮件 SPF 失败的一个原因。如果电子邮件验证系统只依赖 SPF 进行来源验证(而不是 DKIM),DMARC 失败的可能性就会很高。
在这种情况下,如果你的协议政策被设置为拒绝,你的信息将永远不会被送达!这就是所谓的 "软故障"。因此,域名所有者必须采取快速可行的措施来解决 "SPF Softfail Domain Does not Designate IP as Permitted Sender "问题。
如何将一个IP作为SPF的允许发件人?
这方面的解决方案可以分为以下几个步骤。
1.为 你的域名创建一个发送源列表。你可以使用基于你的域名的电子邮件地址列表,以及电子邮件交易的第三方发送源。
2.现 在,确定这些发送源的主机IP
如何找到与你的邮件发送源相关的IP地址?
这很容易!要找到你的发送源的IP地址,打开邮件并查看你的完整邮件标题。要做到这一点,你需要点击你的电子邮件右上角的三个点,查看下拉菜单,然后选择"显示原始".
在原始信息中,向下滚动到 收到的一行,你将能够发现原始发件人的主机IP地址,如下图所示。
3.使用我们的 SPF记录生成器 来为你的域名生成一个免费的SPF记录。
- 在记录生成器中,添加所有你希望被验证的IP地址,以代表公司发送电子邮件和通信。
- 将任何第三方服务器或外部递送服务作为你的域名的授权发送源。这样,任何通过第三方服务器发送的邮件也会通过SPF认证。
4. 一旦你用 SPF 记录生成器为你的域名生成了 SPF 记录,并在其中添加了所有受信任的域名和 IP 地址,剩下的事情就是通过在你的 DNS 上发布 SPF 来实现。以下是你实现这一目标的方法。
- 登录到你的DNS管理控制台
- 接下来,导航到你选择的域名(你试图添加/修改SPF记录的域名)。
- 将你的资源类型指定为 "TXT"。
- 将主机名指定为"_spf"。
- 粘贴你生成的SPF记录的值
- 保存更改,为你的域名配置SPF
注释: 上述名称或标题可能会根据你公司所使用的DNS管理控制台而有所不同。.
这样一来,域名所有者就可以确保他们可能用来代表公司发送通信的所有受信任的IP地址和域名都被添加到服务器上,而类似的SPF Softfail Domain不指定IP为允许发件人的错误就不会发生。
如何有效地使用SPF标准?
巩固公司的SPF技术的唯一方法是将其与 DMARC.以下是这样做的好处。
1.DMAC = SPF + DKIM
电子邮件认证协议,如 DMARC是通过向你的DNS添加TXT记录来配置的。除了为你的域名的电子邮件配置一个策略外,你还可以利用DMARC启用一个报告机制,向你发送有关你的域名、供应商和电子邮件来源的大量信息。
DMARC可以帮助你同时利用SPF(发件人政策框架)和DKIM(域名密钥识别邮件)技术,使你的域名得到更好的保护,防止欺骗。
注释: 这是推荐的,但不是强制性的。DMARC可以通过SPF或DKIM标识符对齐来发挥作用。
2.使用PowerDMARC的报告和反馈
SPF 和 DKIM 都不会向域名所有者反馈验证失败的电子邮件。DMARC 会直接向您发送详细报告,PowerDMARC 平台会将这些报告转换成易于阅读的图表和表格。
3.控制对未经认证的电子邮件的处理方式
DMARC 让域名所有者决定未通过验证的电子邮件是发送到收件箱、垃圾邮件,还是被拒收。使用 PowerDMARC,您只需单击一个按钮即可设置DMARC 策略,就是这么简单。
未经授权的发件人会对你的客户的安全和你公司的形象和品牌价值构成危险的威胁。通过在你的公司中加入DMARC,保护你的客户免受网络钓鱼和诈骗,并且只允许来自认证发件人的邮件到达他们手中。
域名和电子邮件安全专家PowerDMARC
Yunes 是 PowerDMARC 的运营团队负责人,拥有电子邮件验证和安全方面的专业知识。Yunes 是微软认证的 Azure 管理员助理,并获得了 CompTIA A+ 等认证。
Yunes Tarada 的最新帖子(查看全部)
- 电子邮件加盐攻击:隐藏文本如何绕过安全性- 2025 年 2 月 26 日
- SPF 扁平化:它是什么,为什么需要它?- 2025 年 2 月 26 日
- DMARC 与 DKIM:主要区别及如何协同工作- 2025 年 2 月 16 日
