Bản ghi SPF xác định các máy chủ thư và miền được phép gửi email thay mặt miền của bạn. Mỗi miền có thể có một bản ghi SPF, nhưng bản ghi đó có thể chỉ định thêm các máy chủ và bên thứ ba được phép gửi email từ miền của bạn.
- Máy chủ nhận thư sẽ kiểm tra bản ghi SPF của bạn để xác minh rằng những thư có vẻ như được gửi từ miền của bạn là do các máy chủ mà bạn uỷ quyền gửi.
- Bản ghi SPF cũng cho máy chủ nhận thư biết phải làm gì với thư sau khi kiểm tra.
Định dạng bản ghi SPF
Bản ghi SPF là một dòng văn bản thuần tuý bao gồm danh sách các thẻ và giá trị. Các thẻ này được gọi là cơ chế. Các giá trị thường là địa chỉ IP và tên miền.
Bản ghi SPF được thêm vào nhà cung cấp miền của bạn dưới dạng bản ghi TXT DNS. Tìm hiểu thêm về bản ghi TXT.
Bản ghi SPF có thể chứa tối đa 255 ký tự. Kích thước tệp bản ghi TXT không được lớn hơn 512 byte.
Tìm hiểu về địa chỉ IP
Địa chỉ IP được dùng để xác định thiết bị và kết nối với Internet. Địa chỉ IP cho phép các thiết bị như máy tính, thiết bị di động và máy chủ giao tiếp với nhau. Các máy chủ gửi và nhận email được xác định bằng địa chỉ IP riêng biệt của chúng. Bản ghi SPF cho miền của bạn có thể cần địa chỉ IP của các máy chủ gửi email cho miền của bạn.
- Địa chỉ IP phiên bản 4 (IPv4) có dạng như sau: 203.0.113.42
- Địa chỉ IP phiên bản 6 (IPv6) có dạng như sau: 2001:db8:14:5:1:2:bf35:2610
Địa chỉ IP thường được gán cho các mạng theo khối. Địa chỉ IP có dấu gạch chéo (/) cho biết một khối địa chỉ IP:
- IPv4: 192.0.2.0/24
- IPv6: 2001:db8:1234::/48
Khi bạn sử dụng địa chỉ khối IP trong bản ghi SPF, bản ghi SPF sẽ được áp dụng cho tất cả địa chỉ IP trong khối đó.
Cơ chế bản ghi SPF
Sử dụng các cơ chế trong bảng này để tạo bản ghi SPF. Máy chủ thư nhận thư sẽ kiểm tra thư dựa trên các cơ chế theo thứ tự được liệt kê trong bản ghi SPF.
Lưu ý:
- Bạn có thể sử dụng các bộ hạn định bản ghi SPF không bắt buộc (sau này trên trang này) với các cơ chế.
- Bản ghi TXT cho SPF không được chứa quá 10 tham chiếu đến các miền hoặc máy chủ khác. Các tham chiếu này được gọi là tra cứu. Tìm hiểu thêm trong bài viết Kiểm tra các lượt tra cứu DNS trong bản ghi SPF record.
| Cơ chế | Mô tả và giá trị |
|---|---|
| v |
(Bắt buộc) Đây là phiên bản SPF. Thẻ này phải là thẻ đầu tiên trong bản ghi. Cơ chế này phải là: v=spf1. |
| ip4 |
Uỷ quyền cho máy chủ thư theo địa chỉ IPv4 hoặc dải địa chỉ. Giá trị này phải là địa chỉ hoặc dải địa chỉ IPv4 ở định dạng tiêu chuẩn, ví dụ: ip4:192.168.0.1 hoặc ip4:192.0.2.0/24. |
| ip6 |
Uỷ quyền cho máy chủ thư theo địa chỉ IPv6 hoặc dải địa chỉ. Giá trị này phải là địa chỉ hoặc dải địa chỉ IPv6 ở định dạng tiêu chuẩn, ví dụ: ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF hoặc ip6:2001:db8:1234::/48. |
| a |
Uỷ quyền cho máy chủ thư theo tên miền, ví dụ: a:example.com |
| mx |
Uỷ quyền cho một hoặc nhiều máy chủ thư theo bản ghi MX của miền, ví dụ: mx:mail.example.com. Nếu cơ chế này không có trong bản ghi SPF, thì giá trị mặc định là bản ghi MX của miền nơi sử dụng bản ghi SPF. |
| include |
Uỷ quyền cho người gửi email bên thứ ba theo miền, ví dụ: include:servers.mail.net. |
| all |
Chỉ định rằng tất cả thư đều khớp. Bạn nên luôn đưa cơ chế này vào bản ghi SPF. Đây phải là cơ chế cuối cùng trong bản ghi SPF. Mọi cơ chế xuất hiện sau cơ chế all trong bản ghi SPF đều bị bỏ qua. Tôi nên sử dụng ~all hay -all?
Mẹo: Để ngăn chặn việc mạo danh các miền không gửi email, hãy sử dụng vspf1 ~all làm bản ghi SPF cho miền đó. |
| exists |
Thực hiện một truy vấn A trên miền được chỉ định bằng cơ chế exists trong bản ghi SPF. Khi tìm thấy kết quả, miền sẽ được phân giải và quá trình xác thực thành công. Nếu miền không phân giải được, quá trình xác thực sẽ không thành công. |
Bộ hạn định bản ghi SPF
Bộ hạn định là tiền tố không bắt buộc mà bạn có thể thêm vào bất kỳ cơ chế nào trong bản ghi SPF. Bộ hạn định cho máy chủ thư nhận thư biết có nên coi thư là đã xác thực hay không khi có giá trị khớp với cơ chế, ví dụ:
v=spf1 include:_spf.google.com ~all
Các cơ chế được kiểm tra theo thứ tự xuất hiện trong bản ghi SPF. Nếu một cơ chế không có bộ hạn định và có giá trị khớp, thì hành động mặc định là vượt qua quá trình xác thực. Khi không có giá trị khớp với cơ chế, hành động mặc định là bình thường: thư không vượt qua cũng không không vượt qua được quá trình xác thực.
Sử dụng các bộ hạn định không bắt buộc này để cho máy chủ thư nhận thư biết cách xử lý những thư khớp với các cơ chế trong bản ghi SPF.
| Bộ hạn định | Hành động mà máy chủ nhận thư thực hiện khi có giá trị khớp |
|---|---|
| + | Vượt qua quá trình xác thực. Máy chủ có địa chỉ IP khớp được uỷ quyền gửi cho miền của bạn. Thư được xác thực. Đây là hành động mặc định khi cơ chế không sử dụng bộ hạn định. |
| - | Không xác thực được. Máy chủ có địa chỉ IP khớp không được uỷ quyền gửi cho miền. Bản ghi SPF không chứa địa chỉ IP hoặc miền của máy chủ gửi, vì vậy, thư sẽ không vượt qua được quá trình xác thực. |
| ~ | Không xác thực được (lỗi mềm). Máy chủ có địa chỉ IP khớp không có khả năng được uỷ quyền gửi cho miền. Máy chủ nhận thư thường sẽ chấp nhận thư nhưng đánh dấu là đáng ngờ. |
| ? | Bình thường. Không vượt qua cũng không không vượt qua được quá trình xác thực. Bản ghi SPF không nêu rõ rằng địa chỉ IP được uỷ quyền gửi cho miền. Bản ghi SPF có kết quả bình thường thường sử dụng ?all. |
Thành phần bổ trợ bản ghi SPF (nâng cao)
Thành phần bổ trợ SPF là các cặp tên hoặc giá trị được phân tách bằng = xuất hiện ở cuối chuỗi văn bản bản ghi SPF. Thành phần bổ trợ chỉ định thông tin bổ sung, các trường hợp ngoại lệ đối với quy tắc và sự khác biệt so với giá trị mặc định. Ví dụ: bản ghi SPF này sử dụng cơ chế include để kiểm tra bản ghi SPF của Google và thành phần bổ trợ redirect để tham chiếu đến bản ghi SPF cho một miền khác.
v=spf1 include:_spf.google.com redirect=example.com
| Bổ từ | Mô tả |
|---|---|
| redirect |
Chuyển hướng đến bản ghi SPF của một miền khác để xác thực. Sử dụng thành phần bổ trợ redirect khi bạn muốn nhiều miền sử dụng cùng một bản ghi SPF. Chỉ sử dụng thành phần bổ trợ redirect khi bạn quản lý tất cả các miền bị ảnh hưởng. Đối với các miền mà bạn không quản lý, hãy sử dụng cơ chế include. Nếu bản ghi SPF của bạn sử dụng cơ chế all, thì thành phần bổ trợ redirect sẽ bị bỏ qua. |
| exp |
Cung cấp lý do tuỳ chỉnh cho biết tại sao một thư không vượt qua được SPF. Chỉ có khi bản ghi SPF chứa bộ hạn định lỗi hoặc lỗi mềm qualifier. Thành phần bổ trợ này kích hoạt một lượt tra cứu DNS đến bản ghi TXT chứa nội dung giải thích về lỗi. Sử dụng macro SPF để tuỳ chỉnh nội dung giải thích này. |