Технология SPF (Sender Policy Framework) появилась как ответ на одну из старейших проблем электронной почты — возможность отправить письмо от чужого имени, не имея доступа к домену. Запись публикуется в DNS-зоне и сообщает принимающим почтовым серверам, каким конкретно серверам разрешено отправлять письма от имени данного домена. Проблема в том, что однажды настроенная запись редко пересматривается, хотя инфраструктура компании со временем меняется — подключаются новые сервисы рассылок, меняются провайдеры, а старые интеграции остаются забытыми внутри записи.

Из чего состоит запись и как её читать
SPF-запись представляет собой текстовую строку в DNS, начинающуюся с версии протокола и содержащую список разрешённых источников отправки.
Механизмы разрешения
-
include — ссылка на SPF-политику стороннего сервиса, которому разрешено отправлять почту от имени домена;
-
ip4 и ip6 — прямое указание конкретных IP-адресов;
-
a и mx — разрешение отправки с серверов, указанных в A- и MX-записях самого домена.
Квалификаторы результата
Перед каждым механизмом может стоять один из символов, определяющий, что делать с письмом, не прошедшим проверку: + разрешает отправку, ~ помечает письмо как подозрительное, но не блокирует, — предписывает жёсткий отказ, а ? оставляет решение на усмотрение принимающего сервера. Финальный квалификатор в конце строки задаёт политику по умолчанию для всех источников, не перечисленных явно.

Типичные ошибки конфигурации
Превышение лимита DNS-запросов
Стандарт ограничивает количество вложенных DNS-обращений, необходимых для разрешения записи, десятью. Если домен подключает несколько сервисов рассылок и каждый добавляет собственный include, лимит легко превышается, и вся проверка SPF записи домена перестаёт работать корректно — причём без явного предупреждения со стороны почтовых систем.
Несколько записей на одном домене
Стандарт допускает только одну SPF-запись на домен. Если по ошибке публикуются две — например, при миграции между сервисами без удаления старой записи, — почтовые серверы могут интерпретировать это как признак некорректной настройки и трактовать результат проверки как отрицательный.
Устаревшие include-записи
Компании часто подключают сторонние сервисы для разовых задач, а затем забывают удалить соответствующий include из записи после прекращения использования сервиса. Это не только приближает домен к лимиту DNS-запросов, но и потенциально расширяет круг систем, формально имеющих право отправлять почту от имени домена.

Что стоит регулярно контролировать
-
Соответствует ли список разрешённых источников реально используемым сервисам отправки.
-
Не превышено ли количество вложенных DNS-запросов при разрешении записи.
-
Существует ли только одна SPF-запись на домен и на каждом используемом поддомене.
-
Соответствует ли финальный квалификатор фактической строгости политики, которую компания готова применять.
Как ошибки сказываются на доставляемости
Некорректно настроенная запись редко приводит к мгновенной и заметной поломке — чаще эффект проявляется постепенно, через снижение процента писем, попадающих во «Входящие», и рост доли сообщений, помечаемых как подозрительные. Поскольку SPF является лишь одним из компонентов комплексной проверки подлинности отправителя, ошибка в этой записи снижает общий уровень доверия к домену даже при правильной настройке остальных механизмов аутентификации.

Что делать после обнаружения расхождений
Обнаружив избыточные или устаревшие элементы записи, не стоит вносить изменения одномоментно для всех сервисов сразу — правильнее последовательно проверить каждый источник отправки, подтвердить его актуальность у ответственных сотрудников и только затем обновлять запись. Периодический пересмотр SPF-конфигурации, приуроченный к любым изменениям в списке используемых почтовых сервисов, снижает риск накопления ошибок, которые сложно диагностировать постфактум.
Apple инвестирует 30 миллиардов долларов в производство чипов Broadcom в США
Исследование показало, что половина функций безопасности в соцсетях не защищает детей
Салазки для серверных дисков: совместимость HPE, Dell и IBM
Проверка spf записи домена: как убедиться, что настройка защищает от подделки писем
Apple начала тестировать чипы китайского производителя CXMT, внесенного в черный список Пентагона
Артефакты видеокарты - что делать, как исправить?
Синий экран смерти коды ошибок Bsod
Как удалить вирус explorer exe - решение проблемы, скачать explorer.exe
Как удалить вирус с компьютера с помощью утилиты AVZ
Температура процессора - способы уменьшения и какой должна быть температура компьютера