ما هو SPF؟
SPF (إطار سياسة المرسل) هو بروتوكول لمصادقة البريد الإلكتروني محدد في RFC 7208. يعمل عن طريق نشر سجل DNS من نوع TXT تحت نطاقك يسرد كل عنوان IP أو اسم مضيف مسموح له بإرسال بريد "من" هذا النطاق. عندما يتلقى خادم بريد مستلم رسالة تدعي أنها منك، فإنه يستعلم عن DNS الخاص بك للتحقق مما إذا كان عنوان IP للخادم المرسل مدرجاً في قائمتك المعتمدة.
بدون SPF، يمكن لأي شخص تزوير مسار العودة (envelope From) لبريد إلكتروني وجعله يبدو وكأنه قادم من نطاقك - وهي تقنية تستخدم بشكل شائع في حملات التصيد والاحتيال والرسائل المزعجة.
لماذا تحتاج إلى SPF؟
1يمنع الانتحال
يوقف الجهات السيئة من تزوير نطاقك كعنوان مرسل
2يحسن قابلية التسليم
تثق الخوادم المستلمة بالمرسلين المصرح لهم وتقلل من درجات الرسائل المزعجة
3مطلوب لـ DMARC
SPF هو أحد الآليتين اللتين يعتمد عليهما DMARC للمحاذاة
4حماية السمعة
لا يمكن للمرسلين غير المصرح لهم الإضرار بسمعة إرسال نطاقك
كيف يعمل SPF — خطوة بخطوة
تقوم بنشر سجل TXT في `_your-domain.com` يسرد عناوين IP المصرح بها وعمليات التضمين (includes).
يقوم خادم البريد الخاص بك بإرسال بريد إلكتروني؛ يحمل عنوان "From" الخاص بالغلاف نطاقك.
يستخرج الخادم المستلم عنوان IP المرسل ونطاق "From" الخاص بالغلاف.
يستعلم عن DNS الخاص بك لسجل SPF ويتحقق مما إذا كان عنوان IP المرسل مدرجاً.
النتيجة تكون `pass` (نجاح)، `fail` (فشل)، `softfail` (فشل جزئي)، `neutral` (محايد)، أو `permerror` (خطأ دائم) — وتستخدم في قرارات تصفية الرسائل المزعجة.
بنية سجل SPF
v=spf1 ip4:203.0.113.10 include:_spf.google.com include:sendgrid.net -allتحليل الآليات
v=spf1— الإصدار، دائماً في البدايةip4:— ترخيص عنوان/نطاق IPv4ip6:— ترخيص عنوان/نطاق IPv6include:— وراثة SPF لنطاق آخرa— ترخيص عنوان IP الخاص بسجل A للنطاقmx— ترخيص خوادم MX الخاصة بالنطاقredirect=— تفويض إلى SPF كامل لنطاق آخرالمحددات (تسبق كل آلية)
+ (افتراضي)Pass — مصرح به-Fail — رفض المرسلين غير المصرح لهم~SoftFail — وضع علامة كمشبوه، وعدم الرفض?Neutral — لا يوجد تأكيدإخفاقات SPF الشائعة وحلولها
عمليات بحث DNS كثيرة جداً
قم بتبسيط (Flatten) سجل SPF الخاص بك عن طريق استبدال includes بعناوين IP مباشرة، أو استخدم خدمة تبسيط SPF
فقدان خدمة إرسال
أضف علامة include: الخاصة بالخدمة (مثل Mailchimp، Zendesk) إلى سجل SPF الخاص بك
سجلات SPF متعددة
يُسمح بسجل TXT واحد فقط يبدأ بـ v=spf1 — قم بدمجها في سجل واحد
الرسائل الإلكترونية المعاد توجيهها
يتعطل SPF عند إعادة التوجيه لأن عنوان IP للخادم المعيد للتوجيه ليس في قائمتك — DKIM يحل هذه المشكلة
الأسئلة الأكثر شيوعاً
سجل SPF (إطار سياسة المرسل) هو إدخال TXT في DNS الخاص بك يسرد جميع عناوين IP والنطاقات المصرح لها بإرسال بريد إلكتروني نيابة عنك. من خلال تحديد المرسلين المصرح لهم، فإنك تمنع مرسلي البريد العشوائي من استخدام نطاقك للتصيد الاحتيالي، مما يحمي سمعة نطاقك.
سجلات SPF لها حد صارم يبلغ 10 عمليات بحث DNS لمنع هجمات 'حجب الخدمة'. كل آليات 'include' و 'a' و 'mx' وغيرها تحتسب ضمن هذا الحد. إذا تجاوزت 10، سيفشل سجل SPF (PermError). يمكنك تجنب ذلك عن طريق تبسيط سجلك أو استخدام عناوين IP بدلاً من أسماء المضيفين.
تشير آلية '~all' (SoftFail) إلى أنه إذا فشل البريد في SPF، فيجب قبوله ولكن مع وضع علامة مريب عليه. أما '-all' (Fail) فهي تعليمات أكثر صرامة تطلب من الخوادم رفض البريد تمامًا. يوصي الخبراء بالبدء بـ '~all' ثم الانتقال إلى '-all' بمجرد التحقق من الإعدادات.
يحدث 'PermError' (خطأ دائم) عادةً عندما يكون سجل SPF غير صحيح من حيث القواعد النحوية أو يتجاوز حد الـ 10 عمليات بحث. الأخطاء الشائعة تشمل وجود سجلات SPF متعددة أو أخطاء إملائية في نطاقات IP. يحدد مدقق SPF الخاص بنا هذه الأخطاء لتتمكن من إصلاحها.
لا، يجب أن يكون للنطاق سجل SPF واحد بالضبط يبدأ بـ 'v=spf1'. سيؤدي وجود سجلات متعددة إلى فشل تلقائي (PermError). إذا كنت بحاجة إلى ترخيص خدمات متعددة، يجب عليك دمجها في سلسلة واحدة داخل سجل واحد.
ليس بشكل مباشر. يتحقق SPF من عنوان 'Return-Path' الذي تستخدمه خوادم البريد. لحماية عنوان 'From' المرئي الذي يراه المستخدمون، تحتاج إلى DMARC، الذي يتحقق مما إذا كان نطاق 'From' المرئي يتماشى مع النطاق الذي تم التحقق منه بواسطة SPF أو DKIM.