Так вот, обнаружил в логе интересный отчёт с ошибкой о доставке и упоминании какого-то таинственного SPF, раньше подобной ошибки не встречалось или просто не обращал внимания. Решил разобраться что же это такое.
SPF (Sender Policy Framework) – это своеобразная политика проверки отправителя почты, где проверятся соответствие MX записи в DNS записи. Данная политика служит уменьшению спама в потоке почты. SPF прописывается в специальной TXT-записи DNS сервера, где владелец домена может указать список серверов, имеющих право отправлять почту от имени этого домена.
С теорией разобрались. Приступим к редактированию DNS и добавления нашего сервера в SPF. Запись SPF состоит из трех блоков: версия, префикс-механизм и модификатора.
Версия на данный момент только одна – “v=spf1”.
- “+” Pass – принимать сообщения. Параметр по умолчанию
- “-” Fail – не принимать сообщения
- “~” SoftFail – отправлять в СПАМ
- “?” Neutral – нейтральное отношение, требуется дополнительная проверка.
- all – любой сервер
- ip4, ip6 – адрес сервера
- a, mx – сервер из DNS записи A или MX соответственно
- include – взять данные с другого адреса
- redirect – использовать данные другого адреса
- exp – ссылка на сообщение при отказе принятия сообщения
Примеры
Игнорировать всю почту с домена:
Принимать сообщения с серверов указанных в A и MX записях, сообщения с остальных серверов должны быть отклонены:
v=spf1 +a +mx -all
Принимать сообщения с серверов указанных MX записях, сообщения с остальных серверов будут приняты, но отправлены в СПАМ:
v=spf1 +mx ~all
Забрать все правила с домена example.com:
Принимать сообщения с собственного почтового сервера (123.45.67.89) и серверов указанных в MX записях, остальные помечены как СПАМ:
v=spf1 ip4:123.56.68.89/32 +mx ~all
Проверить, есть ли у домена site.ru SPF запись можно с помощью утилиты dig:
$ dig TXT site.ru
SPF позволяет ограничить с каких серверов может отправляться почта от имени вашего домена. Можно воспользоваться конструктором, который поможет сгенерировать SPF запись и наглядно посмотреть как формируется SPF.
и узнавайте первыми о новых материалах, опубликованных на сайте.
Если вы находитесь на этой странице, читая этот блог, есть шанс, что вы столкнулись с одним из следующих подсказок:
- Записей SPF не найдено
- Пропала запись SPF
- Рекордов ПФП нет
- Запись SPF не найдена
- Записей в SPF не опубликовано
- Не могу найти запись SPF
Что такое Основы политики в отношении отправителей (SPF)?
Стандарт аутентификации электронной почты SPF – это механизм, используемый для предотвращения подделки писем спамерами. Он использует записи DNS для проверки того, что серверу-отправителю разрешено отправлять электронные письма с доменного имени. SPF, что расшифровывается как Sender Policy Framework, позволяет определить разрешенных отправителей электронной почты на вашем домене.
Нужно ли настраивать SPF?
Вам, вероятно, говорили, что вам необходима аутентификация электронной почты SPF (Sender Policy Framework). Но действительно ли она нужна бизнесу? И если да, то есть ли другие преимущества? Этот вопрос обычно возникает, когда предприятие становится крупным обменщиком электронной почты для своей организации. С помощью SPF вы можете отслеживать поведение электронной почты для выявления мошеннических сообщений и защиты вашего предприятия от спама, подмены и фишинговых атак. SPF помогает достичь максимальной доставляемости и защиты бренда путем проверки личности отправителей.
Как функционирует SPF?
- SPF-записи – это специально отформатированные записи системы доменных имен (DNS), опубликованные администраторами доменов, которые определяют, какие почтовые серверы имеют право отправлять почту от имени данного домена.
- При настроенном SPF для вашего домена, каждый раз, когда письмо отправляется с вашего домена, почтовый сервер получателя просматривает спецификации для домена обратного пути в
- Согласно спецификациям политики SPF, принимающий сервер решает, доставить, отклонить или пометить письмо в случае, если оно не прошло проверку подлинности.
Разрушение синтаксиса рекорда SPF
Рассмотрим пример записи SPF для фиктивного домена с правильным синтаксисом:
v=spf1 ip4:29.337.148 include:domain.com -all
Остановка сообщения “Запись SPF не найдена”.
Если вы хотите перестать получать раздражающее сообщение “Запись SPF не найдена”, все, что вам нужно сделать, это настроить SPF для вашего домена, опубликовав запись DNS TXT. Вы можете использовать наш бесплатный генератор SPF-записей для создания мгновенной записи с правильным синтаксисом для публикации в вашем DNS.
Все, что тебе нужно сделать:
- Выберите, хотите ли вы разрешить серверам, перечисленным в списке MX, отправлять электронную почту для вашего домена.
- Добавьте любые другие имена хостов или доменов серверов, которые могут доставлять или пересылать почту для вашего домена.
- Выберите SPF режим политики или уровень строгости принимающего сервера от Fail (письма, не соответствующие требованиям, будут отклонены), Soft-fail (письма, не соответствующие требованиям, будут приняты, но помечены) и Neutral (письма, вероятно, будут приняты).
- щёлкнуть на Сгенерировать запись SPF для мгновенного создания записи
В случае, если у вас уже настроен SPF для вашего домена, вы также можете воспользоваться нашим бесплатным SPF проверочным устройством для поиска и проверки вашей SPF записи и обнаружения проблем.
“Не найдена действительная запись SPF” / “Нет действительной записи SPF”
Схожей с ошибкой “не найдена запись SPF” является ошибка “не найдена действительная запись SPF”. Это означает, что хотя в вашем DNS и присутствует запись SPF, она просто недействительна. Это может быть результатом синтаксической ошибки и избыточных или недействительных механизмов в вашей записи.
Решение этой проблемы может быть следующим:
- Проверьте свой послужной список с помощью онлайн-инструмента
- Оптимизация записи для устранения существующих ошибок
- Обсудите этот вопрос с вашими ЭСП
- Если ничего не получается, передайте управление внешнему поставщику услуг или свяжитесь с нами, чтобы поговорить с экспертом по аутентификации электронной почты.
Достаточно ли публикации рекорда SPF?
Ответ – нет. Только SPF не может предотвратить подмену вашего бренда. Для оптимальной защиты от подмены прямого домена, фишинговых атак и BEC необходимо настроить DKIM и DMARC для вашего домена.
Кроме того, SPF имеет ограничение в 10 DNS-поисков. Если вы превысите этот лимит, ваш SPF сломается, и аутентификация не пройдет даже для легитимных писем. Вот почему вам нужен динамический SPF-флаттер, который поможет вам не превышать лимит в 10 DNS-поисков, а также держать вас в курсе изменений, вносимых поставщиками услуг обмена электронной почтой.
Менеджер по цифровому маркетингу и написанию контента в
Ахона работает менеджером по цифровому маркетингу и контент-писателем в PowerDMARC. Она страстный писатель, блогер и специалист по маркетингу в области кибербезопасности и информационных технологий.
Email errors are frustrating especially when you do not know the exact failure reason.
At Bobcares, we help website owners to solve complex email errors as part of our Outsourced Technical Support services for Web Hosts.
Today, we’ll see the top causes for “550 spf check failed” error and how we fix them.
Now, let’s check more on why this error happens.
This SPF record contains the IP addresses of servers that can send mails on behalf of the domain. If the email originates from an IP listed in SPF record, recipient server accepts mail.
Likewise, when sending email from an IP address not available in SPF record, it results in a delivery status notification sent to the original sender:
“Error 550 – Message rejected because SPF check failed”
SMTP; 550 5.7.1 550 Message rejected because SPF check failed.
Also, in social engineering attacks, to make the email look genuine, hackers can put anybody’s information in the “From:” line of web form. Note that this is the field that receiver will see.
In short, “550 spf check failed” means that the sender domain has wrong SPF record, or that the sender is using a spoofed mail ‘From‘ address.
Now, we know that SPF record check is causing the problems with mail delivery. Let’s see how we can solve this error effectively.
Correct sender SPF record
Although, this error is shown at the recipient side, the correction has to be done at sender domain.
That’s why, our Support Engineers first checks the spf record of the sender domain. Online tools like comes handy for this spf check.
Use valid sender
- “From:” field in the form uses the correct domain.
- Domain and its mail records (MX) is pointing to the correct server.
- Domain has correct SPF records.
After fixing these values, recipient server will identify the sender as valid and accepts mail.
Conclusion
Never again lose customers to poor server speed! Let us help you.
Our server experts will monitor & maintain your server 24/7 so that it remains lightning fast and secure.
var google_conversion_label = “owonCMyG5nEQ0aD71QM”;
Что такое SPF-аутентификация?
Сбой SPF-аутентификации может произойти по следующим причинам:
- Получающий MTA не может найти запись SPF, опубликованную в вашем DNS.
- У вас есть несколько SPF записей, опубликованных в вашем DNS для одного и того же домена.
- Если вы превысите 10-кратный лимит DNS поиска для SPF
- Ваша сплющенная длина записи SPF превышает предел в 255 символов SPF.
Выше приведены различные сценарии того, почему SPF аутентификация не работает. Вы можете контролировать свои домены с помощью нашего анализатора DMARC для получения отчетов о сбоях SPF аутентификации. Когда у вас включен отчет DMARC, получающий MTA возвращает любой из следующих результатов SPF-аутентификации для электронной почты в зависимости от причины, по которой ваша электронная почта не прошла SPF-аутентификацию. Давайте узнаем их получше:
Типы квалификаторов отказа SPF
Ниже перечислены типы квалификаторов SPF Fail, каждый из которых добавляется в качестве префикса перед механизмом SPF fail:
“+” “Проход” “-” “Провал” “~” “Softfail” “?” “Нейтральный”
Какое значение они имеют? В ситуации, когда ваше письмо не проходит проверку SPF, вы можете выбрать, как строго вы хотите, чтобы получатели обработали его. Вы можете указать классификатор для “пропуска” сообщений, которые не прошли проверку (доставить их), “Отказаться от доставки” или занять “Нейтральную” позицию (ничего не делать).
SPF Результат не возвращается.
В первом случае, – если принимающий почтовый сервер выполняет DNS поиск и не может найти доменное имя в DNS, результат не возвращается. Не возвращается также ни одна SPF-запись в DNS отправителя, что подразумевает, что отправитель не имеет настроенной SPF-аутентификации для этого домена. В этом случае SPF-аутентификация для вашей электронной почты будет неудачной.
Сгенерируйте вашу безошибочную SPF запись сейчас с помощью нашего бесплатного инструмента для генерации SPF записей, чтобы избежать этого.
Нейтральный результат SPF возвращается.
При настройке SPF для вашего домена, если вы прикрепили механизм ?all к вашей записи SPF, это означает, что независимо от того, что SPF-аутентификация проверяет ваши исходящие сообщения электронной почты, получающий MTA возвращает нейтральный результат. Это происходит потому, что когда вы имеете SPF в нейтральном режиме, вы не указываете IP адреса, которые авторизованы для отправки электронной почты от вашего имени и позволяете неавторизованным IP адресам посылать их также.
Результат SPF Softfail
v=spf1 include:spf.google.com ~all
Результат SPF Hardfail
SPF hardfail, также известный как SPF fail – это когда получение MTA отбрасывает сообщения электронной почты, исходящие от любого источника отправки, который не указан в вашей записи SPF. Мы рекомендуем вам настроить SPF hardfail в вашей SPF записи, если вы хотите получить защиту от подделки домена и электронной почты. Ниже приведен пример SPF hardfail:
v=spf1 include:spf.google.com -all
Одной из очень распространенных и часто безобидных причин неудачной SPF-аутентификации является SPF TempError (временная ошибка), которая возникает из-за ошибки DNS, такой как тайм-аут DNS, в то время как проверка SPF-аутентификации выполняется принимающим MTA. Поэтому, как следует из названия, это обычно временная ошибка, возвращающая код состояния 4xx, которая может вызвать временный отказ SPF, однако при повторной попытке позже она дает результат SPF pass.
Ошибка SPF (Постоянная ошибка SPF)
Еще одним распространенным результатом, с которым сталкиваются доменные ошибки, является SPF PermError. Вот почему SPF аутентификация в большинстве случаев терпит неудачу. Это происходит, когда ваша SPF запись становится недействительной при получении MTA. Есть много причин, по которым SPF может сломаться и стать недействительным MTA во время выполнения DNS поиска:
- Превышение лимита на 10 поисковых запросов ПСФ.
- Неправильный синтаксис записи SPF
- Более одной записи SPF для одного и того же домена.
- Превышение предела длины записи SPF в 255 символов
- Если ваша запись в SPF не соответствует последним изменениям, сделанным вашими ESP
Примечание: Когда MTA выполняет SPF-проверку электронной почты, он запрашивает DNS или проводит DNS-поиск для проверки подлинности источника электронной почты. В идеале, в SPF вам разрешено максимум 10 DNS поисков, превышение которых приведет к провалу SPF и возвращению результата PermError.
Как динамическое сплющивание SPF может устранить ошибку SPF?
В отличие от других ошибок SPF, ошибка SPF PermError гораздо более сложна и трудна для разрешения. PowerSPF поможет вам легко решить эту проблему с помощью автоматического сглаживания SPF. Это поможет вам:
- Держитесь под жестким лимитом SPF
- Мгновенно оптимизируйте свой рекорд SPF
- Расплющите вашу запись до единого включенного заявления.
- Убедитесь, что ваша запись SPF всегда обновляется в соответствии с изменениями, сделанными вашими ESP.
Хотите проверить, правильно ли настроен SPF для вашего домена? Попробуйте наш бесплатный инструмент поиска записей SPF уже сегодня!
Sender Policy Framework (SPF) – это система аутентификации электронной почты, которую владельцы доменов и организации используют для проверки подлинности писем, отправленных из других источников, чтобы избежать подделки и попыток фишинга (просмотрите статистику фишинга за 2022 год) на своих доменах. Однако такие записи могут быть настроены неправильно, что приводит к тому, что ошибки, такие как “Ошибка проверки SPF.” Подобная ситуация может отнимать много времени и быть дорогостоящей для компании.
Для создания безошибочной SPF-записи вы можете использовать наш инструмент. В этой статье подробно рассматриваются различные причины, по которым могут возникать ошибки проверки SPF, и способы их устранения.
Что такое ошибка проверки SPF?
“Ошибка 550 – Сообщение отклонено из-за неудачной проверки SPF”.
Типы ошибок SPF
- Пропуск:
- Нет: Означает, что домен не имеет SPF-записи. Сервер выдает ошибку ‘SPF None’, если не может разрешить доменное имя в DNS или найти соответствующую SPF-запись на домене. Другими словами, если SPF-запись отсутствует или сервер не может ее найти, выдается ошибка SPF None. Эту проблему можно решить, опубликовав/добавив действующую запись SPF в домен отправителя.
- Нейтральные:
- Темперрор: Это может быть ошибка, вызванная кратковременной проблемой, например, тайм-аутом DNS или подобными проблемами во время процедуры проверки SPF. Это не означает, что запись SPF недействительна, недоступна или не прошла процедуру проверки записи SPF. Вам не следует беспокоиться, если вы получаете SPF-запись только от одного почтового сервера. Однако вам следует перепроверить свою SPF-запись, если вы стали регулярно получать подобные уведомления.
- Пермеррор: Когда почтовые серверы не могут правильно проверить SPF-записи, они выдают следующее сообщения. Эти проблемы обычно вызваны опечатками или проблемами с синтаксисом.
- Softail:
- Отказ:’ при проверке подлинности SPF. Эта ситуация рассматривается одинаково всеми доменами с внедренным DMARC и интерпретируется как ‘Fail’.
Причины ошибки проверки SPF
К распространенным причинам ошибки проверки SPF относятся:
- Сканеры сообщений испытывают трудности с разбором определенных данных из записи SPF
- Ваш DNS не успел отобразить новую добавленную запись SPF (это может занять до 72 часов в зависимости от вашего DNS-провайдера).
- Владельцы доменов не имеют доступа к изменению MX-записи своего домена или использованию сторонних отправителей, таких как SendGrid, MailPoet и т.д.
- Сервер DNS не может разрешить доменное имя в DNS.
- Возможно, проверка обнаружила множество записей SPF на домене.
- Одна проверка SPF могла включать более десяти DNS-поисков.
- Проверка SPF могла выявить более двух “недействительных” поисков в одной проверке SPF.
- Запись SPF может быть синтаксически неправильной.
Как предотвратить ошибку валидации SPF
Наиболее распространенная ошибка валидации возникает, когда записи SPF не обновлены. Дважды проверьте свою запись SPF, чтобы убедиться, что вы обновили ее или отключили, если она больше не используется, отправив письмо владельцу вашего домена. Однако если вы недавно перешли на другого поставщика услуг электронной почты (например, Gmail) или изменили серверы доменных имен, ваша SPF-запись может сломаться, поскольку Google не может сопоставить адрес отправителя с существующими записями. Если вы недавно внесли какие-либо из этих изменений в свой домен, пожалуйста, убедитесь, что ваши записи SPF обновлены, обратившись к вашему веб-хосту или поставщику услуг электронной почты.
Шаги по исправлению ошибки проверки SPF
Владельцы доменов могут избежать ошибок проверки SPF приняв несколько простых мер, приведенных ниже:
- Используйте действительного отправителя
- Владельцы доменов должны убедиться, что их электронные письма приходят из легитимного источника. Проверка следующих пунктов может быть полезной:
- Домен и почтовая запись ссылаются на соответствующий сервер.
- SPF-записи домена являются точными.
- Домен, используемый в поле “from”, является точным.
- Исправление SPF-записи отправителя
Заключительные слова
Проверка подлинности SPF необходима для обеспечения целостности электронной почты и предотвращения спама. Поддельное письмо может легко попасть в почтовый ящик получателя из-за ошибки проверки SPF. Оно может нанести вред репутации владельца законного домена, рассылая спам или фишинг получателю.
Хотя метод SPF-аутентификации предназначен для предотвращения переполнения почтового ящика нежелательными письмами, реальные письма иногда могут быть зарегистрированы как сбой аутентификации из-за ошибки конфигурации или неправильной записи SPF. В результате администратор электронной почты должен понимать, что вызывает отказ SPF и как DMARC понимает методы SPF.