spf softfail что значит
Что такое SPF
Думаю, никому не нужно объяснять, какой проблемой является спам в наше время. Борьба с этим злом — дело не простое, и если хочется приблизится к идеалу, требующее сочетания нескольких элементов. Одним из этих элементов является протокол SPF. Будучи опубликованным в апреле 2006 года в RFC 2006 года к настоящему времени протокол имеет статус «экспериментальный», и достаточно неплохую распространенность.
SPF взят на вооружение такими гигантами, как Google, Яндекс, Mail.Ru, Microsoft, Рамблер. Yahoo не поддерживает SPF, а пытается продвигать свою разработку DKIM, к слову, не слишком успешно.
Итак — как же работает SPF?
Общие принципы работы
Основная идея такова — хозяин адреса указывает, с каких адресов следует ожидать его почту, и как интерпретировать ошибку, в случае несоответствия. Важно понимать, что эти данные — всего лишь рекомендация отправителя по проверке. Да-да, конечно же, стандарт описывает, как должна принимающая сторона обрабатывать результат, но по всяким причинам принимающая сторона фактически может с ними делать все, что заблагорассудится — полностью соблюсти, интерпретировать по-своему или же вообще проигнорировать рекомендации.
Технические детали
Если установлена запись SPF, то TXT записи должны быть проигнорированы.
Механизм взаимодействия
>> 220 example.net ESMTP Service (Mailer v1.0) ready at 30.07.2009 12:28:21 UTC
> 250 example.net Hello mx.example.com., pleased to meet you
Если бы, вдруг, фактический IP подключившегося отправителя был иным, то анализатор сообщил бы почтовику, что входящее сообщение не валидно, и лучше бы его вообще не принимать, ну или на крайний случай отмаркировать отдельно.
Формат записи
» SoftFail, «?» Neutral
Механизмы: all, include, A, MX, PTR, IP4, IP6, exists
Результатами проверки условий могут являться следующие определенные результаты:
* None — означает, что либо в домене нет записей, либо вообще не удается проверить домен. В общем никакого внятного ответа не получено.
* Neutral — возникает в ситуации, когда хозяин домена не хочет или не может сообщить разрешен ли IP. Этот результат должен обрабатываться так же, как и None.
* Pass — означает, что все ОК и получатель может принять письмо.
* Fail — явно указывает на то, что письмо принимать не следует. Проверяющая сторона может отмаркировать письмо либо отбросить.
* SoftFail — находится где-то между Fail и Neutral. Принимающая сторона не должна отбрасывать письмо на основании только этого результата.
* TempError — результат, возникающий, если клиент в момент проверки получает временную ошибку. Сообщение можно принять или временно отвергнуть.
* PermError — ошибка, возникающая при невозможности корректной интерпретации DNS записей отправителя.
тут указаны 2 подсети, из которых разрешено принимать почту, и 2 набора источников, почта с которых будет иметь результат проверки Fail.
Проблема пересылки
Заключение
SPF является простым и достаточно эффективным способом оценить легитимность передаваемой почты. Администраторам почтовых серверов стоит минимальных телодвижений добавление SPF записей в DNS. Простота внедрения и поддержка основными популярными MTA делают распространение SPF все шире и шире, что несет всем пользователям электронной почты пользу, почтовым серверам снижение трафика и в целом делает мир лучше 🙂
Настройка SPF-записи
Для доменов, делегированных на наши NS-серверы, SPF-запись указывается автоматически и выглядит примерно следующим образом:
Такая запись означает, что письма с данного домена могут отправляться из подсетей 176.57.223.0/24 и 92.53.116.0/22, а письма, пришедшие с других серверов (all), должны проходить дополнительную проверку (
Основной синтаксис
Любая SPF-запись начинается с v=spf1, этот параметр не изменяется. Он указывает на версию записи, и в настоящее время поддерживается только spf1.
Далее указываются параметры (механизмы). Чаще всего используются следующие: all, ip4, ip6, a, mx, include, redirect. Также существуют, но используются значительно реже: ptr, exists, exp. Они все будут рассмотрены ниже.
Помимо механизмов используются префиксы (определители):
Параметр «all» подразумевает все серверы, не упомянутые отдельно в SPF-записи. «All» задает обработку полученных с них писем и указывается в конце записи.
— принимать почту только из подсети 176.57.223.0/24; письма с других адресов должны быть помечены как спам.
— принимать почту только с A-записи домена; письма с других адресов должны отвергаться.
— отвергать все письма с домена. Такую настройку можно использовать для доменов, с которых не должна отправляться вообще никакая почта.
В последующих примерах мы не будем дополнительно комментировать значения параметров
all и -all в SPF-записях.
ip4 / ip6
Используется для указания конкретных адресов и подсетей, из которых могут отправляться письма. Синтаксис для IPv4 и IPv6 идентичен.
— принимать почту из подсети 176.57.223.0/24.
— принимать почту с IPv6-адреса 2001:db8::10.
IP отправителя проверяется на соответствие A-записи домена.
— принимать почту с A-записи текущего домена.
— принимать почту с A-записи домена sub.domain.com.
IP отправителя проверяется на соответствие IP-адресам серверов, указанных в MX-записях домена. На текущий день для многих современных сервисов эта директива уже не так важна, так как серверы входящей и исходящей почты зачастую имеют разные IP.
— принимать почту с MX-серверов текущего домена и домена sub.domain.com.
— принимать почту из подсети, в которую входят MX-серверы текущего домена.
include
Позволяет учитывать в SPF-записи настройки SPF другого домена.
— принимать почту с A-записи текущего домена и серверов, указанных в SPF-записи домена other-domain.com.
redirect
Технически, redirect является модификатором, а не механизмом. Он выполняет одну основную функцию: сообщает, что необходимо применять настройки SPF другого домена.
— почта должна приниматься или отклоняться согласно настройкам домена other-domain.com.
Прочие механизмы
Здесь мы рассмотрим оставшиеся механизмы, которые используются в настройках значительно реже.
PTR-запись IP-адреса отправителя проверяется на соответствие указанному домену. Данный механизм требует большого количества DNS-запросов при проверке, поэтому без острой необходимости использовать его в SPF не рекомендуется.
— принимать почту со всех адресов, PTR-запись которых направлена на домен other-domain.com
exists
Запрашивается А-запись указанного домена; если она существует, проверка считается пройденной. Другими словами, проверяется, резолвится ли домен на какой-либо (любой) IP-адрес.
— принимать почту, если существует A-запись домена mydomain.com.
Параметр «exp» применяется для отправки сообщения об ошибке отправителю письма. С помощью «exp» в SPF прописывается определенный поддомен, в TXT-записи которого указан текст сообщения об ошибке. Имя поддомена и текст ошибки может быть любым.
Параметр «exp» всегда указывается в конце записи (после all).
При этом TXT-запись домена error-spf.mydomain.com содержит: «Not authorized to send mail for this domain».
Примеры настроек
Настройка SPF для «Почты для доменов» от Mail.Ru
(подробнее о настройке DNS для Mail.ru см. здесь)
Если вы отправляете почту только с серверов Mail.Ru:
Если вы отправляете почту так же и с других серверов (укажите IP-адреса или подсети вместо IP1, IP2 и т.д.):
Настройка SPF для Яндекс.Почты
(подробнее о настройке DNS для Яндекса см. здесь)
При использовании только серверов Яндекса:
При использовании также и других серверов (укажите IP-адреса или подсети вместо IP1, IP2 и т.д.):
Настройка SPF для Google
(подробнее о настройке DNS для Google см. здесь)
При использовании только серверов Google:
При использовании также и других серверов (укажите IP-адреса или подсети вместо IP1, IP2 и т.д.):
Другие примеры
— принимать почту с IP-адресов, соответствующих A-записям текущего домена, с IP-адреса 176.57.223.12 и серверов, указанных в SPF-записи domain2.com; прочие письма отклонять.
— принимать почту из подсети, в которую входят MX-серверы текущего домена, и из подсети, в которую входят A-записи домена domain2.com; прочие письма отклонять.
— принимать почту с A-записи текущего домена, IP-адреса 176.57.223.12, а также с серверов, указанных в SPF домена domain2.com.
Видеоинструкция
Не попадаем в СПАМ. Часть 1: проверка SPF.
В настоящее время почтовые сервисы всё больше уделяют внимания системам для борьбы со СПАМом. Но всё чаше сообщения которые ждут от нас наши клиенты попадают в СПАМ. В большинстве случаев это происходит потому что почтовый сервер на который мы отправили почту не может распознать действительно ли почту отправили мы а не кто то посторонний.
Есть несколько способов как это исправить, самый простой это добавление SPF-записи. SPF-запись добавляется к описанию домена и показывает, с каких серверов можно отправлять почту от имени домена.
Для этого нам потребуется:
Доступ к редактированию наших DNS записей.
Знать адрес сервера с которого отправляются сообщения.
Основы SPF
В SPF используется 3 блока:
Примеры
Игнорировать всю почту с домена.
Принимать сообщения с серверов указанных в A и MX записях, сообщения с остальных серверов должны быть отклонены.
Принимать сообщения с серверов указанных MX записях, сообщения с остальных серверов будут приняты, но отправлены в СПАМ.
Забрать все правила с домена example.com.
Доверять всей почте из адресного пространства example.com класса C (например, есле example.com имеет ip адрес 10.123.41.12, то доверие будет всем 10.123.41.49). Остальная почта будет проигнорирована.
Какие могут быть серверы отправки почты?
Условно серверы отправки почты можно разделить на 3 группы:
Популярные почтовые сервисы, к которым вы привязали свой домен. Например: Google App, Yandex PDD, Mail.ru для бизнеса.
Собственный почтовый сервер
SPF для популярных сервисов.
На момент написания статьи они выглядят следующим образом.
Как подобрать SPF для собственного почтового сервера или хостинга.
Для начала Вы можете заглянуть в настройки своего почтового клиента и посмотреть какой используется для отправки почты (SMTP сервер). Но этот адрес не всегда может соответствовать адресу сервера с которого действительно будет отправлено сообщение.
Самый верный вариант, это просмотреть исходное сообщение полученного письма и найти там информацию о сервере отправителя.
Received: from gateway08.websitewelcome.com (gateway08.websitewelcome.com. [67.18.36.18])
Из этого сообщения мы можем понять имя сервера “gateway08.websitewelcome.com” и ip адрес 67.18.36.18. IP адрес лучше не использовать, т.к. он может изменяться очень часто. Домен 3-го уровня в этом случае то же лучше не использовать, т.к. из его названия понятно что он не один, и следующее письмо может быть отправлено уже с другого домена. Лучше просто взять “websitewelcome.com”.
Далее проверяем, есть ли у websitewelcome.com SPF запись. В этом нам может помочь утилита dig.
$ dig TXT websitewelcome.com
websitewelcome.com. 19117 IN TXT «v=spf1 a mx ip4:64.5.0.0/16 ip4:67.18.0.0/16 ip4:69.41.0.0/16 ip4:69.56.0.0/16 ip4:69.93.0.0/16 ip4:70.85.0.0/16 ip4:74.52.0.0/16 ip4:174.132.0.0/16 ip4:174.120.0.0/16 ip4:173.192.100.229 ip4:173.192.111.0/24 include:spf.websitewelcome.com»
Данная запись выглядит вполне жизнеспособной, можем просто забрать её:
Заключение
SPF позволяет ограничить с каких серверов может отправляться почта от имени Вашего домена. При настройке, необходимо быть внимательным что бы не дать “лишним” адресам разрешения. Так же Вы можете воспользоваться конструктором, который поможет сгенерировать SPF запись.
Автор: Сергей Степанов
Мне в техподдержке яндекса ответили так (я только буковку «a» добавил от себя))):
v=spf1 a include:servers.mcsv.net include:_spf.yandex.net
all
А должен (подчеркиваю красным)
v=spf1 ip4:Х.Х.Х.Х
Префикс ip4: в коде потеряли, поправьте пожалуйста.
SPF – Sender Policy Framework
SPF – Sender Policy Framework (инфраструктура политики отправителя).
Расширение протокола SMTP SPF представляет из себя текстовую запись в TXT-записи DNS домена, благодаря которой можно проверить, не подделан ли домен отправителя. Владелец домена может указать для домена специальным образом сформированную TXT строку, указывающую список серверов, имеющих право отправлять почту от имени этого домена и механизм обработки писем, отправленных от других серверов. SPF определен в RFC 7208.
Рассмотрим простой пример SPF-записи:
Варианты поведения, в зависимости от используемых опций:
Попробуем разобраться, что значит SPF-запись, указанная выше:
Важно!
Более сложный пример:
Подробно об используемых опциях:
all» — принимать письма со всех остальных серверов, но помечать их как СПАМ.
В описании опций возможно указание ip-адресов сетей, также это применимо и к записям «a» и «mx». Рассмотрим следующий пример:
Подробно об используемых опциях:
Опции: redirect и exp.
В данном примере будет проводится проверка SPF-записи домена «example.com», а не «example.org».
Допустим, что у домена example.org следующая SPF-запись:
Теперь создаем TXT-запись для домена spf.example.org:
В результате данных действий, почтовый сервер согласно SPF записи будет доставлять почту только от валидных хостов, всем остальным будет отправляться сообщение о ошибке, прописанное в TXT-записи домена spf.example.org.
Советы:
Moreover, the wildcard is matched only when a domain does not exist, not just when there are no matching records of the type that has been queried for. Even the definition of «does not exist» as defined in the search algorithm of RFC 1034 section 4.3.2 can result in the wild card not matching cases that one might expect with other types of wildcards.
Настройка SPF-записи. Подробнее о SPF
В данной статье рассмотрим что такое SPF и немного рассмотрим детали её настройки.
С помощью данной записи можно снизить общее количество СПАМа, уменьшить вероятность того, что домен будет скомпрометирован и защититься от СПАМа, который использует поле обратного адреса.
domain.ru. IN TXT «v=spf1 include:anymailserver.org
Основной синтаксис
1) Любая SPF-запись начинается с v=spf1, этот параметр не изменяется.
2) Далее указываются параметры (механизмы). Чаще всего используются следующие: all, ip4, ip6, a, mx, include, redirect
3) Помимо механизмов используются префиксы (определители):
В целом всё, мы выбираем какие почтовые сервисы нам нужны, и перечисляем их как «include:»
v=spf1 include:server1 include:server2 include:server3
Означает, что мы размещаем отправку сервисам server1, server2, и server3.
Отлично, далее мы покажем SPF-записи для разных вариантов работы с отправкой почты.
Владельцам интернет-магазина в облаке, кто использует, для отправки писем, следующие службы (одну или несколько сразу):
Нужно прописать унифицированную SPF-запись:
Если требуется указать TTL, укажите 600.
Если у Вас возникли сложности с добавлением TXT записей, пожалуйста обратитесь в поддержку, мы поможем.
Если Вы используете какой-то почтовый сервис, отличный от перечисленных выше (в случае 1), и прописали дефолтную SPF запись («v=spf1 redirect=spf.on-advantshop.net»), то нужно сделать следующее:
1. Удалить запись «v=spf1 redirect=spf.on-advantshop.net» (если она была)
2. Добавить нужную запись в соответствии с рекомендациями Вашего сервиса по работе с email.
3. После этого, обязательно, нужно добавить в Вашу новую SPF дополнительный блок:
Это необходимо сделать, чтобы почтовая служба advantshop смогла работать корректно.
Пример 1:
Почтовый сервис выдал Вам запись: «v=spf1 include:XXXXXXXXXXX
Необходимо в неё добавить блок:
Если в выданной записи присутствует include, то всё просто, добавляем ещё один блок include.
По формату, запись получится вот такая:
v=spf1 include:XXXXXXXXXXX include:spfcore.on-advantshop.net
Где XXXXXXXXXXX это Ваша, почтовая служба.
Пример 2:
Почтовый сервис выдал Вам запись: «v=spf1 redirect=XXXXXXXXXXX«
Необходимо в неё добавить блок:
Если в выданной записи присутствует redirect, то необходимо «redirect=» заменить на «include:» и добавить ещё один блок include.
По формату, запись получится вот такая:
v=spf1 include:XXXXXXXXXXX include:spfcore.on-advantshop.net
Где XXXXXXXXXXX это Ваша, почтовая служба.
Далее рассмотрим несколько реальных примеров.
Реальный пример 1 «advantshop + retailcrm»
Если Вы используете retailcrm и почтовую службу advantshop, то необходимо прописать вот так:
Реальный пример 2 «advantshop + retailcrm + yandex»
Если Вы используете retailcrm и почтовую службу advantshop и яндекс, то необходимо прописать вот так:
Далее по аналогии с примерами можно комбинировать использование SPF от различных сервисов:
Для корректной работы почтовой службы advantshop у почтового домена должен присутствовать один из вариантов:
Как проверить всё ли правильно настроено
Ниже опишем универсальный способ как проверить верно ли синтаксически указана SPF-запись.
1) Находим свою SPF-запись у почтового домена.
Например, если наш почтовый ящик info@m2bee.ru, то наш почтовый домен будет «m2bee.ru»
Указываем свой почтовый домен, в текстовое поле и выбираем тип «TXT», нажимаем кнопку «Resolve» (Рис. 1).
Рисунок 1. Проверяем TXT записи домена.
Находим TXT запись в которая начинается на «v=spf1. » (Рис. 2).
Рисунок 2. Проверяем какие SPF есть у домена.
Должна присутствовать только одна SPF-запись.
Копируем строчку и переходим к пункту 2.
2) Проверяем SPF-запись
Указываем нашу запись в текстовое поле и нажимаем «Validate», после чего смотрим на результат (Рис. 3).
Рисунок 3. Ошибка в SPF-записи.
Если показывается ошибка, необходимо внести корректировки.
3) Проверяем SPF-запись по домену.
Так же, можно проверить ещё в одном сервисе, указав только почтовый домен.
Указываем почтовый домен в текстовое поле и нажимаем «Validate DNS», после чего смотрим на результат (Рис. 4).
Рисунок 4. Проверка SPF-записи по домену.
Если один из сервисов выдаёт ошибку и Вам не удаётся исправить свою SPF, обратитесь к нам в поддержку, мы поможем.
Всё готово. В данной статье мы рассмотрели, что такое SPF-запись и как её корректно настроить.