הגדרה
רשומת SPF (רשומת מסגרת מדיניות שולח) היא רשומת משאב DNS TXT המתפרסמת באזור ה-DNS הציבורי של דומיין המונה את כתובות ה-IP, קידומות IPv6 ושמות מארח של שרתי דואר המורשים לשלוח דוא״ל בשם אותו דומיין. כאשר שרת דואר קולט מקבל הודעה נכנסת, הוא שולח שאילתה ל-DNS של השולח עבור רשומת ה-SPF ומשווה את כתובת ה-IP המתחברת מול המדיניות. אם ה-IP אינו מופיע ברשימה, השרת הקולט יכול לסמן את ההודעה ככשל רך, לדחות אותה כליל או לסמן אותה להערכה נוספת — בהתאם למסמן המדיניות שנקבע על ידי בעל הדומיין.
SPF פורמלית לראשונה כתקן IETF ב-RFC 4408 (2006) ועודכנה מאוחר יותר למפרט הסמכותי הנוכחי ב-RFC 7208, שפורסם על ידי Internet Engineering Task Force (IETF) באפריל 2014. זה אחד משלושת תקני אימות הדוא״ל המשלימים לצד DKIM (DomainKeys Identified Mail) ו-DMARC (Domain-based Message Authentication, Reporting, and Conformance).
כיצד זה פועל
תהליך הערכת SPF כולל מספר שלבים רציפים המבוצעים על ידי מנוע SMTP של שרת הדואר הקולט במהלך שלב ה-MAIL FROM של לחיצת היד SMTP.
בעל הדומיין מפרסם רשומת SPF TXT ב-DNS. רשומה טיפוסית עוקבת אחר תחביר זה: v=spf1 include:_spf.google.com ip4:203.0.113.5 ~all. הרכיבים הם: v=spf1 (מזהה גרסה), אחד או יותר מנגנונים (include, ip4, ip6, a, mx, exists), ומסמן סופי (+all, -all, ~all, ?all). מסמן ה—all פירושו כשל קשה — כל שרת שאינו רשום במפורש אינו מורשה. מסמן ה-~all (כשל רך) מעביר את ההודעה אך מציין את אי ההתאמה במדיניות, בשימוש נפוץ במהלך תקופות הגירה.
כאשר הודעה מגיעה, ה-MTA הקולט (סוכן העברת דואר) מחלץ את דומיין שולח המעטפה (כתובת ה-MAIL FROM, הנקראת גם כתובת RFC5321.MailFrom) ומבצע חיפוש DNS TXT עבור _spf.
חשוב לציין ש-SPF מאמת את שולח המעטפה (MAIL FROM), לא את כותרת From הנראית בגוף ההודעה. הבחנה זו אומרת ש-SPF לבדה אינה מונעת התחזות שם תצוגה בלקוחות דוא״ל, ולכן יישור DMARC — הדורש שתוצאות SPF ו/או DKIM יתאימו לדומיין RFC5322.From — נחוץ להגנה מלאה.
היכן אתם נתקלים בכך
רשומות SPF מופיעות בכל הקשר שבו יכולת מסירת דוא״ל ומוניטין שולח חשובים. תשתית דוא״ל עסקאות המופעלת על ידי שירותים כגון Amazon SES, SendGrid, Mailgun, Postmark ו-SparkPost דורשת מבעלי דומיין להוסיף מנגנוני SPF include המצביעים לתשתית השליחה של הספק לפני שהודעות יעברו בדיקות אימות.
פלטפורמות תחרות השולחות הצבעות אישור דוא״ל — כולל Woobox, ShortStack ומערכות מותאמות אישית המשתמשות ב-Mailchimp Transactional (Mandrill) — מסתמכות על כך שלדומיין השולח יש רשומת SPF תקפה. ספקי תיבת דואר כולל Google (Gmail), Microsoft (Outlook / Exchange Online Protection) ו-Yahoo Mail מעריכים SPF כקלט לאלגוריתמי יכולת המסירה שלהם. רשומת SPF חסרה או מוגדרת בצורה שגויה מגדילה משמעותית את ההסתברות שדוא״ל אישור ימסרו בשקט לתיקיות ספאם או יידחו כליל, וגורמת להצבעות לא מאושרות.
לוחות אירוח DNS מספקים כגון Cloudflare, AWS Route 53, GoDaddy ו-Namecheap חושפים עריכת רשומות SPF TXT דרך ממשקי הניהול שלהם. כלי אבחון כגון MXToolbox SPF Lookup, Google Admin Toolbox ו-DMARCIAN’s SPF Surveyor מאפשרים לבעלי דומיין לבדוק ולאמת רשומות שפורסמו.
דוגמאות מעשיות
פלטפורמת תחרות שולחת דוא״ל אישור הצבעה מ[email protected]. לדומיין votes.example.com יש את רשומת ה-SPF v=spf1 include:sendgrid.net -all. כאשר Gmail מקבלת הודעת אישור, שרת ה-SMTP הנכנס שלה שולח שאילתה ל-DNS עבור רשומת ה-SPF של votes.example.com, מרחיב את מנגנון ה-include של sendgrid.net, ובודק את ה-IP המתחבר מול רשימת השרתים המורשים של SendGrid. אם ה-IP מתאים, תוצאת SPF היא Pass וההודעה ממשיכה לתיבת הדואר הנכנס. אם לדומיין לא הייתה רשומת SPF, המסנן של Gmail היה מתייחס להודעה כלא מאומתת, ומפחית את הסתברות השמת תיבת הדואר הנכנס.
תחרות עיתון אזורי משנה את ספק הדוא״ל העסקאות שלה מ-Mailchimp ל-Amazon SES מבלי לעדכן את רשומת ה-SPF שלה. דוא״ל אישור מתחיל להיכשל בבדיקות SPF ב-Microsoft Outlook ומופנה לתיקיות זבל בנפח, גורם למצביעים לפספס את חלון האישור. מנהל התחרות מאבחן את הבעיה באמצעות MXToolbox, מוסיף include:amazonses.com לרשומת ה-SPF, ויכולת המסירה מתאוששת בתוך חלון התפשטות ה-DNS (בדרך כלל 0-48 שעות בהתאם להגדרות TTL).
מושגים קשורים
SPF הוא עמוד אחד של מחסנית אימות הדוא״ל בעלת שלושת התקנים: ראו DKIM לאימות חתימה קריפטוגרפית ו-DMARC לשכבת המדיניות הפועלת על תוצאות SPF ו-DKIM. ההשפעה המעשית על פעולות תחרות מתוארת ב-הצבעת אישור דוא״ל, שבה יכולת מסירה של הודעת האישור היא התלות התפעולית הקריטית ביותר. BIMI (אינדיקטורי מותג לזיהוי הודעה), תקן חדש יותר הבונה על DMARC, מאפשר לשולחים מאומתים להציג לוגו מותג בספקי תיבת דואר תומכים — אות אמון מתפתח שאינו מכוסה כאן.
