Definiowanie rekordu SPF – konfiguracja zaawansowana

Ochrona przed phishingiem i zapobieganie oznaczaniu wiadomości jako spam

Dla kogo jest przeznaczony ten artykuł

Ten artykuł jest przeznaczony dla informatyków oraz osób mających doświadczenie w konfigurowaniu serwerów poczty e-mail. Zawiera informacje techniczne dotyczące SPF, w tym te związane z wymaganiami rekordu SPF, składnią rekordu SPF oraz wpływem SPF na dostarczanie e-maili. Jeśli wystarczy Ci podstawowy rekord SPF do wysyłania e-maili tylko z Google Workspace lub z Google Workspace oraz innych nadawców e-maili, przejdź do instrukcji w artykule Definiowanie rekordu SPF – konfiguracja podstawowa.
Jeśli wysyłasz e-maile tylko przy użyciu Google Workspace, znajdź rekord SPF w sekcji Definiowanie rekordu SPF – konfiguracja podstawowa.

Rekord SPF określa serwery poczty oraz domeny, które mogą wysyłać pocztę w imieniu Twojej domeny. Ponadto informuje serwery odbierające, co mają zrobić z wiadomościami po ich sprawdzeniu. Serwery odbierające analizują rekord SPF i sprawdzają, czy wiadomości przychodzące, które wyglądają, jakby pochodziły z Twojej organizacji, są wysyłane z dozwolonych przez Ciebie serwerów. Każda domena może mieć tylko 1 rekord SPF. Rekord SPF domeny może jednak wskazywać kilka serwerów i innych firm uprawnionych do wysyłania poczty w imieniu domeny.

 

Set up SPF

Skonfiguruj rekord SPF, dodając rekord DNS typu TXT u dostawcy domeny.

Format rekordu SPF

Rekord SPF ma postać wiersza zwykłego tekstu, który zawiera listę tagów i wartości. Tagi nazywane są mechanizmami. Wartości to zazwyczaj adresy IP i nazwy domen.

Rekord SPF jest dodawany u dostawcy domeny w postaci rekordu DNS typu TXT. Dowiedz się więcej o rekordach DNS typu TXT.

Maksymalna liczba znaków w rekordach SPF to 255. Rozmiar pliku rekordu TXT nie powinien przekraczać 512 bajtów.

Mechanizmy rekordu SPF

Użyj mechanizmów z tej tabeli, aby utworzyć rekord SPF. Serwery odbierające pocztę sprawdzają wiadomości pod kątem mechanizmów w kolejności, w jakiej są wymienione w rekordzie SPF.

Pamiętaj:

Mechanizm Opis i dozwolone wartości
v

Wersja SPF. Ten tag jest wymagany i musi być pierwszym tagiem w rekordzie. Mechanizm musi mieć postać:

v=spf1

ip4

Upoważnia serwery poczty na podstawie adresu lub zakresu adresów IPv4. Wartość musi być adresem lub zakresem adresów IPv4 w standardowym formacie, na przykład:

ip4:192.168.0.1

lub

ip4:192.0.2.0/24

ip6

Upoważnia serwery poczty na podstawie adresu lub zakresu adresów IPv6. Wartość musi być adresem lub zakresem adresów IPv6 w standardowym formacie, na przykład:

ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF

lub

ip6:2001:db8:1234::/48

a

Upoważnia serwery poczty na podstawie nazwy domeny, na przykład:

a:solarmora.com

mx

Upoważnia co najmniej 1 serwer poczty na podstawie rekordu MX domeny, na przykład:

mx:mail.solarmora.com

Jeśli tego mechanizmu nie ma w rekordzie SPF, wartością domyślną są rekordy MX domeny, w której jest używany rekord SPF.

include

Upoważnia zewnętrznych nadawców e-maili na podstawie domeny, na przykład:

include:servers.mail.net

all

Określa, że wszystkie wiadomości przychodzące są dopasowywane. Zalecamy, aby zawsze uwzględniać ten mechanizm w rekordzie SPF.

Musi to być ostatni mechanizm w rekordzie SPF. Każdy mechanizm występujący po mechanizmie all w rekordzie SPF jest ignorowany.

Którego mechanizmu użyć: ~all czy all?

Gdy rekord SPF zawiera mechanizm ~all (kwalifikator częściowego braku uwierzytelnienia), serwery odbierające zazwyczaj akceptują wiadomości od nadawców, których nie ma w rekordzie SPF, ale oznaczają je jako podejrzane.

Gdy rekord SPF zawiera mechanizm -all (kwalifikator braku uwierzytelnienia), serwery odbierające mogą odrzucać wiadomości od nadawców, których nie ma w rekordzie SPF. Jeśli rekord SPF nie jest prawidłowo skonfigurowany, przez kwalifikator braku uwierzytelnienia więcej wiadomości z domeny może trafiać do spamu.

Wskazówka: aby zapobiec podszywaniu się pod domeny, które nie wysyłają poczty, jako rekord SPF domeny zastosuj: vspf1 ~all.

Kwalifikatory w rekordzie SPF

Kwalifikator to opcjonalny prefiks, który możesz dodać do dowolnego mechanizmu w rekordzie SPF. Kwalifikatory informują serwer odbierający pocztę, czy uwierzytelnić wiadomość po dopasowaniu do wartości mechanizmu, na przykład:

v=spf1 include:_spf.google.com -all

W tym przykładzie rekord SPF upoważnia do wysyłania e-maili w imieniu Twojej domeny tylko Google Workspace. Mechanizm all zawiera kwalifikator braku uwierzytelnienia (-), więc wiadomości od innych nadawców nie przejdą kontroli SPF i mogą zostać odrzucone przez serwer odbierający.

Mechanizmy są sprawdzane w kolejności, w jakiej występują w rekordzie SPF. Jeśli mechanizm nie ma kwalifikatora i istnieje dopasowanie, działaniem domyślnym jest uwierzytelnienie wiadomości. Gdy mechanizm nie jest dopasowany, działanie domyślne jest neutralne: uwierzytelnianie nie kończy się ani powodzeniem, ani niepowodzeniem.

Użyj tych opcjonalnych kwalifikatorów, aby poinformować serwery odbierające pocztę, co zrobić w przypadku wiadomości, które są dopasowane do mechanizmów w rekordzie SPF.

Kwalifikator Działanie podejmowane przez serwer odbierający po dopasowaniu
+ Uwierzytelnienie. Serwer o pasującym adresie IP może wysyłać wiadomości w imieniu domeny. Wiadomości są uwierzytelnione. Jest to domyślne działanie, gdy mechanizm nie używa kwalifikatora.
- Brak uwierzytelnienia. Serwer o pasującym adresie IP nie może wysyłać wiadomości w imieniu domeny. Rekord SPF nie zawiera adresu IP ani domeny serwera wysyłającego, więc wiadomości nie zostaną uwierzytelnione.
~ Częściowy brak uwierzytelnienia. Jest mało prawdopodobne, że serwer o pasującym adresie IP może wysyłać wiadomości w imieniu domeny. Serwer odbierający zwykle akceptuje wiadomości, ale oznacza je jako podejrzane.
? Wynik neutralny. Uwierzytelnianie nie kończy się ani powodzeniem, ani niepowodzeniem. Rekord SPF nie wskazuje wyraźnie, czy adres IP może wysyłać wiadomości w imieniu domeny. Rekordy SPF z wynikami neutralnymi często używają mechanizmu ?all.

Dalsze kroki

Gdy utworzysz rekord SPF swojej domeny, dodaj go u dostawcy domeny.

Czy to było pomocne?
Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Zaloguj się i uzyskaj dodatkowe informacje, by szybko rozwiązać problem

Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Aplikacje Google
Menu główne
Wyszukaj w Centrum pomocy
true
73010
false