التعريف
سجل SPF (Sender Policy Framework) سجل DNS من نوع TXT منشور في منطقة DNS العامة لنطاق، يعدّ عناوين IP وبادئات IPv6 وأسماء مضيفي خوادم البريد المخوَّلة بإرسال البريد نيابة عن ذلك النطاق. عندما يقبل خادم بريد مستلم رسالة واردة، يستعلم DNS للمرسل عن سجل SPF ويقارن عنوان IP المتصل بالسياسة. إذا لم يكن IP في القائمة، يمكن للخادم المستلم وضع علامة على الرسالة كـsoftfail، أو رفضها كليًا، أو الإشارة إلى تقييم إضافي — حسب مُعدِّل السياسة الذي حدده مالك النطاق.
أُسس SPF رسميًا كمعيار IETF في RFC 4408 (2006) ثم حُدّث إلى المواصفة المعتمدة الحالية في RFC 7208 المنشورة من قبل IETF في أبريل 2014. هو أحد ثلاثة معايير مكملة لمصادقة البريد إلى جانب DKIM (DomainKeys Identified Mail) وDMARC (Domain-based Message Authentication, Reporting, and Conformance).
كيف يعمل
تتضمن عملية تقييم SPF عدة خطوات متتابعة يؤديها محرك SMTP في خادم البريد المستلم خلال مرحلة MAIL FROM من اتصال SMTP.
ينشر مالك النطاق سجل SPF TXT في DNS. سجل نموذجي يتبع البنية التالية: v=spf1 include:_spf.google.com ip4:203.0.113.5 ~all. المكونات هي: v=spf1 (معرّف الإصدار)، وآلية واحدة أو أكثر (include أو ip4 أو ip6 أو a أو mx أو exists)، ومُعدِّل أخير (+all أو -all أو ~all أو ?all). المُعدِّل -all يعني فشلًا صعبًا — أي خادم غير مدرج صراحة غير مخوَّل. والمُعدِّل ~all (softfail) يمرر الرسالة لكن يلاحظ التناقض في السياسة، ويُستخدم بكثرة في فترات الترحيل.
عند وصول رسالة، يستخرج MTA المستلم نطاق المرسل في المظروف (عنوان MAIL FROM، يُسمى أيضًا عنوان RFC5321.MailFrom) ويُجري بحث TXT في DNS لـ_spf.<النطاق> أو على جذر النطاق مباشرة. تُقيّم مكتبة SPF كل آلية بالترتيب حتى تتطابق واحدة أو يُبلغ حد عشر عمليات بحث DNS (حد “SPF PermError” المعرّف في RFC 7208 القسم 4.6.4). تُدرج النتيجة — Pass أو Fail أو SoftFail أو Neutral أو TempError أو PermError — في رأس Received-SPF للرسالة وتُمرَّر إلى فلتر البريد العشوائي وأي محرك سياسة DMARC.
من المهم ملاحظة أن SPF يصادق على مرسل المظروف (MAIL FROM)، وليس على رأس From الظاهر في جسم الرسالة. هذا التمييز يعني أن SPF وحده لا يمنع انتحال اسم العرض في عملاء البريد، ولهذا فإن محاذاة DMARC — التي تتطلب أن تتطابق نتائج SPF و/أو DKIM مع نطاق RFC5322.From — ضرورية للحماية الكاملة.
أين تصادفه
تظهر سجلات SPF في أي سياق تكون فيه قابلية تسليم البريد وسمعة المرسل مهمة. تتطلب بنية البريد المعاملاتي التي تُشغّلها خدمات مثل Amazon SES وSendGrid وMailgun وPostmark وSparkPost من مالكي النطاقات إضافة آليات include لـSPF تشير إلى بنية إرسال المزود قبل أن تجتاز الرسائل فحوصات المصادقة.
تعتمد منصات المسابقات التي ترسل أصوات تأكيد عبر البريد — بما فيها Woobox وShortStack والأنظمة المخصصة المبنية باستخدام Mailchimp Transactional (Mandrill) — على وجود سجل SPF صالح للنطاق المرسِل. يُقيّم مزودو صناديق البريد بمن فيهم Google (Gmail) وMicrosoft (Outlook / Exchange Online Protection) وYahoo Mail SPF كمدخل في خوارزميات قابلية التسليم. سجل SPF مفقود أو سيء التهيئة يزيد كثيرًا من احتمالية تسليم رسائل التأكيد بصمت إلى مجلدات البريد العشوائي أو رفضها كليًا، مما يجعل الأصوات غير مؤكدة.
تكشف لوحات استضافة DNS من مزودين مثل Cloudflare وAWS Route 53 وGoDaddy وNamecheap تحرير سجلات SPF TXT عبر واجهات إدارتها. تتيح أدوات تشخيصية مثل MXToolbox SPF Lookup وGoogle Admin Toolbox وSPF Surveyor من DMARCIAN لمالكي النطاقات فحص السجلات المنشورة والتحقق من صلاحيتها.
أمثلة عملية
ترسل منصة مسابقة رسائل تأكيد التصويت من [email protected]. النطاق votes.example.com لديه سجل SPF v=spf1 include:sendgrid.net -all. عندما يستلم Gmail رسالة تأكيد، يستعلم خادم SMTP الوارد في DNS عن سجل SPF لـvotes.example.com، ويوسّع آلية sendgrid.net include، ويتحقق من IP المتصل مقابل قائمة الخوادم المخوَّلة لـSendGrid. إذا تطابق IP، تكون نتيجة SPF هي Pass وتمضي الرسالة إلى صندوق الوارد. إذا لم يكن للنطاق سجل SPF، سيعامل فلتر Gmail الرسالة كغير مصادق عليها، فيقلل احتمال وضعها في صندوق الوارد.
تغيّر مسابقة صحيفة إقليمية مزود البريد المعاملاتي من Mailchimp إلى Amazon SES دون تحديث سجل SPF. تبدأ رسائل التأكيد في الفشل في فحوصات SPF لدى Microsoft Outlook وتُوضع جماعيًا في مجلد البريد العشوائي، فيفوّت الناخبون نافذة التأكيد. يشخّص مدير المسابقة المشكلة باستخدام MXToolbox، ويضيف include:amazonses.com إلى سجل SPF، فتتعافى قابلية التسليم خلال نافذة انتشار DNS (عادة 0–48 ساعة بحسب إعدادات TTL).
مفاهيم ذات صلة
SPF أحد أعمدة حزمة مصادقة البريد ذات المعايير الثلاثة: راجع DKIM للتحقق من التوقيع التشفيري و**DMARC** لطبقة السياسة التي تتصرف بناءً على نتائج SPF وDKIM. يُوصف الأثر العملي على عمليات المسابقات في تأكيد الصوت بالبريد، حيث قابلية تسليم رسالة التأكيد هي الاعتماد التشغيلي الأكثر أهمية. BIMI (Brand Indicators for Message Identification)، معيار أحدث مبني على DMARC، يتيح للمرسلين المتحقَّق منهم عرض شعار العلامة في مزودي صناديق البريد الداعمين — إشارة ثقة ناشئة لا نتطرق لها هنا.
