SPF Syntaxe d'enregistrement

Nous avons développé ce guide complet pour augmenter votre SPF comprendre et aider à résoudre les problèmes que notre application pourrait avoir portés à votre attention. Avoir un valide et précis SPF record améliorera la couverture et la délivrabilité de l'authentification et vous aidera à atteindre le niveau de sécurité souhaité pour vos domaines.

Ne pas avoir un dmarcian Compte? Vous pouvez toujours interroger le contenu de votre SPF enregistrer en utilisant notre SPF Outil d'enquête.

Créer un compte gratuit maintenant d'avoir dmarcian surveillez votre SPF, DKIM et DMARC enregistre pour vous automatiquement. Obtenez une visibilité d’instance sur les erreurs de livraison, les tentatives de phishing et d’emprunt d’identité avec dmarcianS ' Plateforme SaaS.

Utilisez le menu de navigation ci-dessous pour passer à l’élément particulier de votre SPF enregistrement en question. Informations supplémentaires sur SPF peut être trouvé dans les articles liés au bas de ce document.

Mécanismes

Des mécanismes peuvent être utilisés pour décrire l'ensemble des hôtes désignés comme expéditeurs de courrier sortant pour le domaine et pouvant être précédés de l'un des quatre qualificateurs suivants:

+ (Passer)
- (Échouer)
~ (SoftFail)
? (Neutre)

Si un mécanisme aboutit, sa valeur de qualificateur est utilisée. Le qualificatif par défaut est “+“, C'est à dire“ Pass ”.

Les mécanismes sont évalués dans l'ordre. Si aucun mécanisme ou modificateur ne correspond, le résultat par défaut est «Neutre».

Des informations plus détaillées sur les différences entre “~" et "-" peut être trouvé ici

exemples:

"V = spf1 -all"

"V = spf1 a -all"

"V = spf1 a mx -all"

"V = spf1 + a + mx -all"

Si un domaine n'a pas SPF enregistrer du tout, le résultat est "Aucun". Si un domaine a une erreur temporaire lors du traitement DNS, vous obtenez le résultat «TempError» (appelé «erreur» dans les brouillons précédents). Si un type d'erreur de syntaxe ou d'évaluation se produit (par exemple, le domaine spécifie un mécanisme non reconnu), le résultat est «PermError» (anciennement «inconnu»).

Evaluation d'un SPF record peut renvoyer n'importe lequel de ces résultats:

Le résultat Explication Action prévue
Passer Le SPF enregistrement désigne l'hôte à envoyer accepter
Échouer Le SPF l'enregistrement a désigné l'hôte comme non autorisé à envoyer rejet
SoftFail Le SPF l'enregistrement a désigné l'hôte comme non autorisé à envoyer mais est en transition accepter mais marquer
Nuances neutres Le SPF enregistrement spécifie explicitement que rien ne peut être dit sur la validité accepter
Aucun Le domaine n'a pas de SPF enregistrer ou SPF enregistrement n'évalue pas à un résultat accepter
PermError Une erreur permanente est survenue (par exemple, mal formaté SPF record) non spécifié
TempError Une erreur transitoire s'est produite accepter ou rejeter

Le mécanisme "tout"

toutes

Ce mécanisme correspond toujours. Il faut toujours aller à la fin de la SPF record.

exemples:

"V = spf1 mx -all"
Autoriser les MX du domaine à envoyer du courrier pour le domaine, interdire tous les autres.

"V = spf1 -all"
Le domaine n'envoie aucun courrier.

“V = spf1 + all”
Le domaine permet à toutes les adresses IP sur Internet d'envoyer des messages. Bien que 'valide', ceci n'est pas recommandé.

Le mécanisme "ip4"

ip4: <adresse ip4>
ip4: <réseau ip4> / <longueur du préfixe>

L'argument du mécanisme «ip4:» est une plage de réseau IPv4. Si non plongueur de refix est donné, / 32 est supposé (en sélectionnant une adresse d’hôte individuelle). Veillez à inclure une longueur de préfixe supérieure à / 16, car la livraison à des récepteurs plus petits et plus petits peut être affectée.

exemples:

"V = spf1 ip4: 192.168.0.1 / 16 -all"
Autoriser toute adresse IP entre 192.168.0.1 et 192.168.255.255.

Le mécanisme "ip6"

ip6: <adresse ip6>
ip6: <réseau ip6> / <longueur du préfixe>

L'argument du mécanisme «ip6:» est une plage de réseau IPv6. Sinon longueur-préfixe est donné, / 128 est supposé (en choisissant une adresse d’hôte individuelle).

exemples:

“v=spf1 ip6:1080::8:800:200C:417A/96 -all”
Autorisez toute adresse IPv6 comprise entre 1080 :: 8: 800: 0000: 0000 et 1080 :: 8: 800: FFFF: FFFF.

“v=spf1 ip6:1080::8:800:68.0.3.1/96 -all”
Autorisez toute adresse IPv6 comprise entre 1080 :: 8: 800: 0000: 0000 et 1080 :: 8: 800: FFFF: FFFF.

Le mécanisme "a"

a
a / <longueur-préfixe>
a: <domaine>
a: <domaine> / <longueur-préfixe>

Tous les enregistrements A pour domaine sont testés. Si l'adresse IP du client se trouve parmi eux, ce mécanisme correspond. Si la connexion est établie via IPv6, une recherche AAAA est effectuée à la place.

If domaine n'est pas spécifié, le domaine actuel est utilisé.

Les enregistrements A doivent correspondre exactement à l'adresse IP du client, à moins qu'un longueur-préfixe est fourni. Dans ce cas, chaque adresse IP renvoyée par la recherche A sera étendue au préfixe CIDR correspondant et l’adresse IP du client sera recherchée dans ce sous-réseau.

exemples:

"V = spf1 a -all"
Le domaine actuel est utilisé.

"V = spf1 a: example.com -all"
Équivalent si le domaine actuel est exemple.com.

"V = spf1 a: mailers.example.com -all"
Par exemple, exemple.com a choisi de répertorier explicitement tous les expéditeurs sortants dans un enregistrement A spécial sous mailers.example.com.

"V = spf1 a / 24 a: offsite.example.com/24 -all"
Si example.com résout en 192.0.2.1, la classe entière de 192.0.2.0 / 24 sera recherchée pour l’IP du client. De même pour offsite.example.com. Si plusieurs enregistrements A étaient renvoyés, chacun d'entre eux serait étendu à un sous-réseau CIDR.

Le mécanisme "mx"

mx
mx / <longueur-préfixe>
mx: <domaine>
mx: <domaine> / <longueur du préfixe>

Tous les enregistrements A pour tous les enregistrements MX de domaine sont testés par ordre de priorité MX. Si l'adresse IP du client se trouve parmi eux, ce mécanisme correspond.

If domaine n'est pas spécifié, le domaine actuel est utilisé.

Les enregistrements A doivent correspondre exactement à l'adresse IP du client, sauf si une longueur de préfixe est fournie. Dans ce cas, chaque adresse IP renvoyée par la recherche A sera étendue au préfixe CIDR correspondant, et l'adresse IP du client sera recherchée dans ce sous-réseau.

exemples:

"V = spf1 mx mx: deferrals.domain.com -all"
Peut-être qu'un domaine envoie des messages via ses serveurs MX, ainsi qu'un autre ensemble de serveurs dont le travail consiste à réessayer le courrier pour différer des domaines.

"V = spf1 mx / 24 mx: hors site.domaine.com/24 -all"
Peut-être que les serveurs MX d'un domaine reçoivent du courrier sur une adresse IP, mais envoient du courrier sur une adresse IP différente mais proche.

Le mécanisme "ptr"

ptr
ptr: <domaine>

Le ou les noms d'hôte de l'IP du client sont recherchés à l'aide de requêtes PTR. Les noms d’hôte sont ensuite validés: au moins un des enregistrements A pour un nom d’hôte PTR doit correspondre à l’IP du client d’origine. Les noms d'hôte non valides sont supprimés. Si un nom d'hôte valide se termine par un domaine, ce mécanisme correspond.

Si le domaine n'est pas spécifié, le domaine actuel est utilisé.

Dans la mesure du possible, évitez d’utiliser ce mécanisme dans votre SPF enregistrer, car il en résultera un plus grand nombre de recherches DNS coûteuses.

exemples:

"V = spf1 ptr -all"
Un domaine qui contrôle directement toutes ses machines (contrairement à un FAI haut débit ou à distance) permet à tous ses serveurs d'envoyer du courrier. Par exemple, hotmail.com ou paypal.com peut le faire.

"V = spf1 ptr: otherdomain.com -all"
Tout serveur dont le nom d'hôte se termine par otherdomain.com est désigné.

Le mécanisme "existe"

existe: <domaine>

Effectuer une requête A sur le domaine fourni. Si un résultat est trouvé, cela constitue une correspondance. Peu importe le résultat de la recherche, il peut s'agir de 127.0.0.2.

Lorsque vous utilisez des macros avec ce mécanisme, vous pouvez effectuer des recherches IP inversées de style RBL ou configurer des exceptions par utilisateur.

exemples:

Dans l'exemple suivant, l'adresse IP du client est 1.2.3.4 et le domaine actuel est example.com.

"V = spf1 existe: exemple.com -all"

Si example.com ne se résout pas, le résultat est un échec. Si cela se résout, ce mécanisme donne lieu à une correspondance.

Le mécanisme d'inclusion

inclure: <domaine>

Le spécifié domaine est recherché pour une correspondance. Si la recherche ne renvoie pas de correspondance ou d'erreur, le traitement passe à la directive suivante. Attention,: Si la domaine n'a pas de valide SPF record, le résultat est une erreur permanente. Certains destinataires de courrier refuseront en fonction d'un PermError.

exemples:

Dans l'exemple suivant, l'adresse IP du client est 1.2.3.4 et le domaine actuel est example.com.

"V = spf1 include: example.com -all"

Si exemple.com n'a pas SPF record, le résultat est PermError.
Supposons que example.com SPF record étaient "V = spf1 a -all".
Recherchez l'enregistrement A pour example.com. Si cela correspond à 1.2.3.4, renvoyez Pass.
S'il n'y a pas de correspondance, autre que «-all» du domaine inclus, l'inclusion dans son ensemble ne correspond pas; le résultat éventuel est toujours Echec de la directive externe définie dans cet exemple

Relations de confiance - Le mécanisme «inclure:» vise à dépasser les frontières administratives. Il faut faire très attention à ce que les mécanismes «d’inclusion» ne mettent pas les domaines en danger de donner SPF Transmettre les résultats aux messages résultant d'une falsification entre utilisateurs. À moins que des mécanismes techniques ne soient en place dans l'autre domaine spécifié pour empêcher la falsification entre utilisateurs, les mécanismes "inclure:" doivent donner un résultat Neutre plutôt que Passe. Ceci est fait en ajoutant “?” Devant “include:”.

L'exemple serait alors:

"V = spf1? Include: example.com -all"

Modificateurs

Les modificateurs sont facultatifs. Un modificateur peut apparaître une seule fois par enregistrement. Les modificateurs inconnus sont ignorés.

Le modificateur "redirection"

redirection = <domaine>

Le SPF record pour domaine remplacer l'enregistrement en cours. La macro élargie domaine est également substitué à la domaine actuel dans ces recherches.

Si un modificateur 'redirect' est utilisé, le SPF l'enregistrement ne devrait pas inclure également le mécanisme «tous». Si les deux sont présents, le modificateur 'redirect' est ignoré. Tous les modificateurs de «redirection» au-delà du premier seront ignorés.

exemples:

Dans l'exemple suivant, l'adresse IP du client est 1.2.3.4 et le domaine actuel est example.com.

“V = spf1 redirect = example.com”

Si exemple.com n'a pas SPF record, c'est une erreur; le résultat est inconnu.
Supposons que example.com SPF le disque était "V = spf1 a -all".
Recherchez l'enregistrement A pour example.com. Si cela correspond à 1.2.3.4, renvoyez Pass.
S'il n'y a pas de correspondance, l'exécutable échoue et la valeur -all est utilisée.

Le modificateur "exp"

exp = <domaine>

Si un destinataire SMTP rejette un message, il peut inclure une explication. Un SPF L'éditeur peut spécifier la chaîne d'explication que les expéditeurs voient. De cette manière, un fournisseur de services Internet peut diriger les utilisateurs non conformes vers une page Web fournissant des instructions supplémentaires sur la configuration de SASL.

Le domaine est étendu; une recherche TXT est effectuée. Le résultat de la requête TXT est ensuite développé en macro et affiché à l'expéditeur. D'autres macros peuvent être utilisées pour fournir une explication personnalisée.

Le modificateur exp ne peut contenir que des caractères ASCII imprimables.

Trop de recherches?

Au cours de la dernière décennie, l'envoi de courrier électronique est devenu de plus en plus facile. Innombrable Sources sont entrés sur le marché, chacun fournissant un ensemble d’outils spécialisés sur mesure pour répondre aux besoins modernes des spécialistes du marketing, des développeurs et des petites entreprises. Parallèlement à cette extension, l’authentification par courrier électronique, en particulier SPF, est devenu un sujet de plus en plus complexe à naviguer.

au sein de la SPF Spécification RFC (essentiellement le droit de l’Internet), leur limite pratique est de savoir combien de «mécanismes d’interrogation DNS» SPF enregistrement peut contenir. Cette limite est dix. La recherche dix max indique qu’un administrateur de domaine (c’est vous!) N’aura pas besoin de Gmail ou d’autres destinataires pour effectuer plus de dix recherches DNS consécutives pour voir si vous autorisez une adresse IP particulière à envoyer du courrier en votre nom.

Comme il est devenu assez courant pour une seule organisation d'autoriser un grand nombre de blocages réseau (en raison de la nature externalisée de l'infrastructure de messagerie), il semble subsister ce qui semble être un empiétement constant et inutile sur la recherche de 10 max. Cette limite reste toutefois tout à fait pratique et doit être respectée pour assurer une livraison rapide et des taux de boîte de réception favorables. En outre, la solution pour éviter la limite est clairement abordée par les autres pratiques recommandées en matière de courrier électronique, longtemps encouragées par les principaux destinataires entrants tels que Gmail et Yahoo.

La solution la plus pratique pour éviter le problème de «trop de recherches» consiste à utiliser des sous-domaines. Chaque sous-domaine discret ayant sa propre recherche de dix maximum, SPF est effectivement illimité. Exemple: hello.com est autorisé à dix recherches + sub.hello.com est autorisé à dix recherches. En clair, vous ne devriez jamais vous plier à la condition de recherche dix max si vous segmentez correctement différents flux de courrier (par exemple, transactionnels, professionnels, marketing, etc.) en un espace de noms discret.

Dans cette sous-section «Conseils de livraison» du Site Gmail postmaster, il est recommandé de:

  • Utilisez des adresses électroniques distinctes
  • Envoi de courrier depuis différents domaines et / ou adresses IP

En résumé, vous ne devriez jamais vous lancer dans la recherche 10 max. Si vous le faites, nous avons présenté des stratégies supplémentaires et des matériaux de base de connaissances sur la façon de naviguer.

Lectures complémentaires:

- Vidéo: Comment SPF travaux - Lien
- Lectures supplémentaires sur 'Trop de recherches' - Lien
- idées fausses communes sur SPF - Lien
- SPF Outil d'arpenteur - Lien

Voulez-vous continuer la conversation? Dirigez-vous vers le dmarcian Forum