ברשומת SPF מוגדרים שרתי הדואר והדומיינים שמורשים לשלוח אימיילים בשם הדומיין שלכם. לכל דומיין יכולה להיות רשומת SPF אחת, אבל אפשר לציין ברשומה עוד שרתים וצדדים שלישיים שמורשים לשלוח אימיילים מהדומיין.
- השרתים שמקבלים אימיילים בודקים את רשומת ה-SPF כדי לוודא שההודעות שנראה כאילו נשלחו מהדומיין שלכם אכן נשלחו מהשרתים שאישרתם.
- רשומת ה-SPF גם מנחה את השרתים המקבלים מה לעשות עם הודעות אחרי שהן נבדקות.
הפורמט של רשומת ה-SPF
רשומת SPF היא שורה של טקסט פשוט עם רשימה של תגים וערכים. התגים נקראים מנגנונים. הערכים הם בדרך כלל כתובות IP ושמות של דומיינים.
רשומת ה-SPF נוספת לספק הדומיין בתור רשומת TXT של ה-DNS. מידע נוסף על רשומות TXT
רשומות SPF יכולות להכיל עד 255 תווים. גודל הקובץ של רשומת TXT צריך להיות קטן מ-512 בייטים.
הסבר על כתובות IP
כתובת IP משמשת לזיהוי מכשירים ולחיבור לאינטרנט. כתובות IP מאפשרות למכשירים כמו מחשבים, מכשירים ניידים ושרתים לתקשר ביניהם. שרתים ששולחים ומקבלים אימיילים מזוהים לפי כתובת ה-IP הייחודית שלהם. יכול להיות שרשומת ה-SPF של הדומיין שלכם צריכה לכלול את כתובות ה-IP של השרתים ששולחים אימיילים מהדומיין.
- דוגמה לכתובת IP בגרסה 4 (IPv4): 203.0.113.42
- דוגמה לכתובת IP בגרסה 6 (IPv6): 2001:db8:14:5:1:2:bf35:2610
בדרך כלל כתובות IP מוקצות בטווחים. קו נטוי (/) בכתובת IP מציין טווח של כתובות IP:
- IPv4: 192.0.2.0/24
- IPv6: 2001:db8:1234::/48
כשמשתמשים בטווח כתובות IP ברשומת ה-SPF, רשומת ה-SPF חלה על כל כתובות ה-IP בטווח.
מנגנונים של רשומות SPF
אתם יכולים להשתמש במנגנונים בטבלה שכאן כדי ליצור את רשומת ה-SPF. שרתי הדואר הנכנס בודקים את ההודעות לפי המנגנונים, בסדר שבו הם מופיעים ברשומת ה-SPF.
חשוב לזכור:
- אתם יכולים לשלב את המנגנונים עם מגדירים של רשומות SPF (בהמשך הדף הזה).
- אתם לא יכולים לכלול יותר מ-10 הפניות לדומיינים או לשרתים אחרים ברשומת TXT ל-SPF. ההפניות האלה נקראות חיפושים. מידע נוסף זמין במאמר בנושא בדיקת חיפושי ה-DNS ברשומת ה-SPF.
| מנגנון | תיאור וערכים |
|---|---|
| v |
(חובה) זאת גרסת ה-SPF. התג הזה חייב להיות התג הראשון ברשומה. המנגנון צריך להיות: v=spf1. |
| ip4 |
מאשר שרתי דואר לפי כתובת IPv4 או טווח כתובות. הערך חייב להיות כתובת IPv4 או טווח כתובות IPv4 בפורמט סטנדרטי, לדוגמה: ip4:192.168.0.1 או ip4:192.0.2.0/24. |
| ip6 |
מאשר שרתי דואר לפי כתובת IPv6 או טווח כתובות. הערך הזה חייב להיות כתובת IPv6 או טווח כתובות IPv6 בפורמט סטנדרטי, לדוגמה: ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF או ip6:2001:db8:1234::/48. |
| a |
מאשר שרתי דואר לפי שם דומיין, לדוגמה: a:example.com |
| mx |
מאשר שרת דואר אחד או יותר באמצעות רשומת MX של דומיין, לדוגמה: mx:mail.example.com. אם המנגנון הזה לא נמצא ברשומת ה-SPF, ערך ברירת המחדל הוא רשומות ה-MX של הדומיין שנעשה בו שימוש ברשומת ה-SPF. |
| include |
מאשר שולחי אימיילים של צד שלישי לפי דומיין, לדוגמה: include:servers.mail.net. |
| הכול |
קובע שכל ההודעות תואמות. מומלץ תמיד להוסיף את המנגנון הזה לרשומת ה-SPF. המנגנון הזה חייב להיות המנגנון האחרון ברשומת ה-SPF. המערכת מתעלמת מכל מנגנון שמופיע אחרי המנגנון all ברשומת SPF. כדאי להשתמש ב-~all או ב-all?
טיפ: כדי למנוע זיוף של דומיינים שלא שולחים אימיילים, כדאי להשתמש במנגנון הזה בתור רשומת ה-SPF של הדומיין: vspf1 ~all. |
| exists |
מבצע שאילתה מסוג A על הדומיין שצוין עם מנגנון exists ברשומת ה-SPF. כשהשאילתה מניבה תוצאה, הדומיין מתורגם לכתובת והאימות מצליח. אם הדומיין לא מתורגם לכתובת, האימות נכשל. |
מגדירים של רשומות SPF
מגדיר הוא קידומת שאפשר להוסיף לכל מנגנון ברשומת SPF. המגדירים קובעים אם שרת הדואר הנכנס מחשיב הודעה כמאומתת כשיש התאמה לערך של מנגנון, לדוגמה:
v=spf1 include:_spf.google.com ~all
המנגנונים נבדקים לפי הסדר שבו הם מופיעים ברשומת ה-SPF. אם במנגנון אין מגדיר ויש התאמה, ברירת המחדל היא שההודעה תעבור את האימות. אם אין התאמה למנגנון, ברירת המחדל היא ניטרלית: ההודעה לא תעבור את האימות וגם לא תיכשל בו.
אפשר להשתמש במגדירים האלה כדי להורות לשרתי הדואר הנכנס איך לטפל בהודעות שתואמות למנגנונים ברשומת ה-SPF.
| מוקדמות | מה השרת המקבל עושה כשיש התאמה |
|---|---|
| + | האימות הצליח. השרת שתואם לכתובת ה-IP מורשה לשלוח הודעות בשם הדומיין. ההודעות מאומתות. זאת ברירת המחדל כשהמנגנון לא משתמש במגדיר. |
| - | האימות נכשל. השרת שתואם לכתובת ה-IP לא מורשה לשלוח הודעות בשם הדומיין. ברשומת ה-SPF לא מצוינים כתובת ה-IP או הדומיין של השרת השולח, ולכן ההודעות לא עוברות אימות. |
| ~ | כשל גמיש באימות. לא סביר שהשרת שתואם לכתובת ה-IP מורשה לשלוח הודעות בשם הדומיין. בדרך כלל, השרת המקבל יקבל את ההודעה אבל יסמן אותה כחשודה. |
| ? | ניטרלי. האימות לא הצליח ולא נכשל. ברשומת ה-SPF לא מצוין בפירוש שכתובת ה-IP מורשית לשלוח אימיילים בשם הדומיין. במקרים רבים רשומות SPF שמניבות תוצאות ניטרליות כוללות את הערך ?all. |
הרחבות ברשומת SPF (מתקדם)
ההרחבות ברשומת SPF הן זוגות של שם או ערך שמופרדות באמצעות הסימן = ומופיעות בסוף מחרוזת הטקסט של הרשומה. ההרחבות מציינות מידע נוסף, חריגים לכללים ושינויים מהגדרות ברירת המחדל. לדוגמה, רשומת ה-SPF הזו משתמשת במנגנון include כדי לבדוק את רשומות ה-SPF של Google, ובהרחבה redirect כדי להפנות לרשומת SPF של דומיין אחר.
v=spf1 include:_spf.google.com redirect=example.com
| מגביל | תיאור |
|---|---|
| redirect |
מפנה לרשומת ה-SPF של דומיין אחר לצורך אימות. הרחבת redirect מאפשרת ליותר מדומיין אחד להשתמש באותה רשומת SPF. צריך להשתמש בהרחבה redirect רק אם אתם מנהלים את כל הדומיינים המושפעים. לדומיינים שלא אתם מנהלים צריך להשתמש במנגנון include. אם רשומת ה-SPF משתמשת במנגנון all, היא מתעלמת מההרחבה redirect. |
| exp |
מציינת סיבה מותאמת אישית לכך שההודעה נכשלה באימות SPF. זמינה רק אם רשומת ה-SPF כוללת מגדיר של כשל או של כשל גמיש. ההרחבה הזו מפעילה חיפוש DNS לרשומת TXT שכוללת את ההסברים לכשל. אפשר להשתמש בפקודות מאקרו של SPF כדי להתאים אישית את ההסבר. |