Include (mechanizm SPF)
Mechanizm include w SPF pozwala domenie odwołać się do rekordu SPF innej domeny i autoryzować zewnętrznych nadawców bez kopiowania adresów IP.
Czym jest Include (SPF)?
Mechanizm include w SPF (Sender Policy Framework) pozwala domenie odwołać się do rekordu SPF innej domeny podczas definiowania autoryzowanych serwerów pocztowych. Jest powszechnie używany, gdy zewnętrzni dostawcy wysyłają pocztę w imieniu Twojej organizacji, na przykład platformy marketingowe, narzędzia CRM lub usługi poczty w chmurze. Dyrektywa include upraszcza zarządzanie SPF, ponieważ pozwala odziedziczyć reguły autoryzacji innej domeny zamiast ręcznego kopiowania każdego adresu IP.
Na przykład, jeśli Twoja firma korzysta z zewnętrznej usługi takiej jak SendGrid lub Microsoft 365 do wysyłania prawidłowej poczty, możesz umieścić ich rekord SPF we własnym. Informuje to serwery odbiorcy, że infrastruktura dostawcy ma prawo wysyłać pocztę w Twoim imieniu.
Jak działa mechanizm Include
Gdy ewaluacja SPF napotka instrukcję include, wykonuje rekurencyjne zapytanie DNS, aby pobrać i przetworzyć rekord SPF wskazanej domeny. Jeśli którykolwiek z adresów IP wymienionych w tym rekordzie odpowiada serwerowi wysyłającemu, weryfikacja SPF przechodzi pomyślnie. Jeśli nie, ewaluacja jest kontynuowana od następnego mechanizmu w pierwotnej polityce.
Przykład rekordu SPF z mechanizmami include:
v=spf1 include:_spf.google.com include:spf.protection.outlook.com -allW tym przykładzie domena autoryzuje pocztę wysyłaną przez Google Workspace i Microsoft 365, importując ich konfiguracje SPF. Każda wiadomość wysłana z adresów IP wymienionych w tych dołączonych rekordach przejdzie walidację SPF dla tej domeny.
Dozwolonych jest wiele mechanizmów include, ale każdy z nich wlicza się do limitu zapytań DNS SPF wynoszącego 10. Nadmierna liczba mechanizmów include może prowadzić do błędów permerror w SPF, jeśli podczas ewaluacji zostanie uruchomionych zbyt wiele zapytań DNS.
Dobre praktyki stosowania Include w SPF
Chociaż mechanizm include jest wygodny, trzeba go używać ostrożnie, aby utrzymać prawidłową i wydajną konfigurację SPF.
Zalecane dobre praktyki obejmują:
- Używaj mechanizmów include tylko dla zaufanych zewnętrznych dostawców, którzy utrzymują aktualne rekordy SPF
- Ogranicz liczbę mechanizmów include, aby pozostać poniżej limitu 10 zapytań
- Unikaj łączenia mechanizmów include od wielu dostawców (scenariusze include w include)
- Okresowo weryfikuj, czy dołączone rekordy SPF nie zmieniły się w nieoczekiwany sposób
- Spłaszcz swój rekord SPF (zamień mechanizmy include na adresy IP), jeśli jest to konieczne dla wydajności
- Używaj mechanizmów takich jak
-alllub~all, aby jasno zdefiniować domyślną politykę dla nadawców spoza listy
Utrzymując prostą strukturę i unikając zbędnego zagnieżdżania, zapewniasz szybsze rozwiązywanie zapytań i mniej fałszywych niepowodzeń SPF.
Mechanizm Include a DMARCeye
DMARCeye analizuje rekordy SPF we wszystkich Twoich domenach i wykrywa potencjalne zagrożenia spowodowane nadmierną liczbą lub nieaktualnymi instrukcjami include. Platforma rozwija i mapuje każde odwołanie, aby pokazać, które adresy IP i usługi są autoryzowane w ramach Twojej polityki SPF.
Ta widoczność pomaga zidentyfikować zależności od zewnętrznych dostawców, znaleźć uszkodzone lub wycofane mechanizmy include i utrzymać się w granicach limitów zapytań SPF. Dzięki szczegółowej analizie DNS i raportowaniu DMARCeye możesz pewnie zarządzać zewnętrznymi nadawcami, utrzymując czystą i zgodną konfigurację SPF.
Sprawdź swój rekord SPF:
Wypróbuj DMARCeye za darmo i zabezpiecz swoją domenę e-mail.
Aby dowiedzieć się więcej o DMARC i powiązanych pojęciach, zajrzyj do Słownika pojęć DMARCeye.