Czym jest Include (SPF)?
Mechanizm include w SPF (Sender Policy Framework) pozwala domenie odwołać się do rekordu SPF innej domeny podczas definiowania autoryzowanych serwerów pocztowych. Jest powszechnie używany, gdy zewnętrzni dostawcy wysyłają pocztę w imieniu Twojej organizacji, na przykład platformy marketingowe, narzędzia CRM lub usługi poczty w chmurze. Dyrektywa include upraszcza zarządzanie SPF, ponieważ pozwala odziedziczyć reguły autoryzacji innej domeny zamiast ręcznego kopiowania każdego adresu IP.
Na przykład, jeśli Twoja firma korzysta z zewnętrznej usługi takiej jak SendGrid lub Microsoft 365 do wysyłania prawidłowej poczty, możesz umieścić ich rekord SPF we własnym. Informuje to serwery odbiorcy, że infrastruktura dostawcy ma prawo wysyłać pocztę w Twoim imieniu.
Gdy ewaluacja SPF napotka instrukcję include, wykonuje rekurencyjne zapytanie DNS, aby pobrać i przetworzyć rekord SPF wskazanej domeny. Jeśli którykolwiek z adresów IP wymienionych w tym rekordzie odpowiada serwerowi wysyłającemu, weryfikacja SPF przechodzi pomyślnie. Jeśli nie, ewaluacja jest kontynuowana od następnego mechanizmu w pierwotnej polityce.
Przykład rekordu SPF z mechanizmami include:
v=spf1 include:_spf.google.com include:spf.protection.outlook.com -allW tym przykładzie domena autoryzuje pocztę wysyłaną przez Google Workspace i Microsoft 365, importując ich konfiguracje SPF. Każda wiadomość wysłana z adresów IP wymienionych w tych dołączonych rekordach przejdzie walidację SPF dla tej domeny.
Dozwolonych jest wiele mechanizmów include, ale każdy z nich wlicza się do limitu zapytań DNS SPF wynoszącego 10. Nadmierna liczba mechanizmów include może prowadzić do błędów permerror w SPF, jeśli podczas ewaluacji zostanie uruchomionych zbyt wiele zapytań DNS.
Chociaż mechanizm include jest wygodny, trzeba go używać ostrożnie, aby utrzymać prawidłową i wydajną konfigurację SPF.
Zalecane dobre praktyki obejmują:
-all lub ~all, aby jasno zdefiniować domyślną politykę dla nadawców spoza listyUtrzymując prostą strukturę i unikając zbędnego zagnieżdżania, zapewniasz szybsze rozwiązywanie zapytań i mniej fałszywych niepowodzeń SPF.
DMARCeye analizuje rekordy SPF we wszystkich Twoich domenach i wykrywa potencjalne zagrożenia spowodowane nadmierną liczbą lub nieaktualnymi instrukcjami include. Platforma rozwija i mapuje każde odwołanie, aby pokazać, które adresy IP i usługi są autoryzowane w ramach Twojej polityki SPF.
Ta widoczność pomaga zidentyfikować zależności od zewnętrznych dostawców, znaleźć uszkodzone lub wycofane mechanizmy include i utrzymać się w granicach limitów zapytań SPF. Dzięki szczegółowej analizie DNS i raportowaniu DMARCeye możesz pewnie zarządzać zewnętrznymi nadawcami, utrzymując czystą i zgodną konfigurację SPF.
Sprawdź swój rekord SPF:
Wypróbuj DMARCeye za darmo i zabezpiecz swoją domenę e-mail.
Aby dowiedzieć się więcej o DMARC i powiązanych pojęciach, zajrzyj do Słownika pojęć DMARCeye.