✉️ SPF
🔐 Что такое SPF-запись?
SPF (Sender Policy Framework) — это механизм аутентификации электронной почты, который позволяет владельцу домена указать, какие почтовые серверы могут отправлять письма от имени его домена. SPF-запись — это DNS-запись типа TXT, которая указывается в настройках домена.
🧱 Формат SPF-записи
SPF-запись размещается в DNS как TXT и выглядит примерно так:
v=spf1 ip4:192.0.2.1 include:_spf.google.com -all
Разберем её по частям:
| Часть | Значение |
|---|---|
| v=spf1 | Обязательное начало SPF-записи. Указывает на версию SPF. Сейчас актуальна только v=spf1. |
| ip4:192.0.2.1 | Разрешено отправлять почту с IP-адреса 192.0.2.1. |
| include:_spf.google.com | Разрешено использовать все IP-адреса, которые указаны в SPF-записи _spf.google.com. |
| -all | Всё остальное запрещено (жесткий отказ). |
🔍 Механизмы в SPF
Вот список поддерживаемых механизмов, которые можно использовать в SPF-записи:
| Механизм | Описание |
|---|---|
| all | Совпадает со всеми адресами. Обычно используется в конце. |
| ip4: | IPv4-адрес или подсеть, с которой разрешена отправка. |
| ip6: | IPv6-адрес или подсеть. |
| a | Разрешены IP-адреса, указанные в A-записи домена. |
| mx | Разрешены IP-адреса, указанные в MX-записи домена. |
| ptr | Не рекомендуется. Проверяет обратное разрешение IP-адреса. |
| exists: | Проверяет существование домена. |
| include: | Включает SPF-запись другого домена. |
✅ Квалификаторы
Квалификаторы указывают, как следует интерпретировать результат проверки:
| Символ | Поведение | |
|---|---|---|
| + | Pass | Разрешено (по умолчанию). |
| - | Fail | Запрещено — письмо отклоняется. |
| ~ | SoftFail | Не рекомендуется — может быть помечено как спам. |
| ? | Neutral | Нет четкого правила — оставлено на усмотрение получателя. |
Примеры:
- -all — только указанные источники разрешены, остальным отказ.
- ~all — мягкий отказ (чаще используется при тестировании).
- ?all — нейтрально, ничего не запрещено.
📌 Примеры SPF-записей
Простой пример:
v=spf1 ip4:203.0.113.5 -all
Только IP 203.0.113.5 может отправлять почту от домена.
Google Workspace:
v=spf1 include:_spf.google.com ~all
Несколько отправителей:
v=spf1 ip4:198.51.100.10 include:mailgun.org include:_spf.google.com -all
🚨 Ограничения SPF
- DNS-запросов не более 10 (включая include, a, mx, ptr, exists).
- Общая длина TXT-записи — до 255 символов на строку, но может быть разбита на несколько строк, смотри spf у alfabank.ru
- Использовать только один SPF-запись TXT типа на домен. Если их две — это ошибка.
🧪 Проверка SPF
Через команду:
nslookup -type=txt example.com | grep "spf"
Онлайн-инструменты:
📣 SPF и HELO
Проверка SPF осуществляется по домену и это является обязательным. Рекомендованым является проверка по имени хоста, который передаётся в HELO. Например домен mydomain.ru, а имя хоста HELO mail.mydomain.ru. Необходимо продублировать SPF запись для домена mail.mydomain.ru, чтобы проверка по имени хоста тоже проходила.
mydomain.ru v=spf1 ip4:203.0.113.5 -all mail.mydomain.ru v=spf1 ip4:203.0.113.5 -all
💡 Рекомендации
- Используй -all только когда точно уверен в списке серверов.
- Начни с ~all, протестируй отправку, потом переходи на -all.
- Не превышай 10 DNS-запросов (следи за количеством include, a, mx).(я попадал в ситуацию, когда из-за вложений проверок было больше 10 и статутс PermError, письма не доставлялись).
- Если у вас внешние ip адреса меняются редко, то лучше не использовать проверки A MX, а указывать только ip4.
- Все проверки сводятся к преобразованию A→IP, MX→A→IP, поэтому лучше использовать ipv4
- Разбор spf идёт слева направо и если первый IP или преобразование в IP совпадает с IP сервера, то дальше обработка не осуществляется.
- Публикуйте запись "v=spf1 -all" для доменов, которые принадлежат вам, но не посылают почту, смотри spf для example.com.