Defaults.Exposed › सुधार › SPF (Sender Policy Framework)
SPF (Sender Policy Framework) को कैसे ठीक करें
SPF आपके डोमेन की सेटिंग में वह पंक्ति है जो यह सूचीबद्ध करती है कि आपके व्यवसाय के रूप में ईमेल भेजने की अनुमति किन मेल सेवाओं को है। इसके बिना, दुनिया में कोई भी ईमेल भेज सकता है जो ऐसा दिखे जैसे यह आपसे आया हो — और आपका अपना वास्तविक ईमेल ग्राहकों के स्पैम में जाने की अधिक संभावना है।
आपके व्यवसाय के लिए मुख्य बात: कोई भी आपके व्यवसाय के रूप में दिखावा करते हुए ईमेल भेज सकता है — आपके ग्राहकों, कर्मचारियों और आपूर्तिकर्ताओं को — चालान, भुगतान-परिवर्तन अनुरोध, सब कुछ। साथ ही आपके वास्तविक उद्धरण और चालान स्पैम में जाने की अधिक संभावना है, इसलिए सौदे चुपचाप रुक जाते हैं।
यह आपको क्या खर्च कर सकता है
- एक स्कैमर आपके ग्राहक को 'आपसे' एक चालान ईमेल करता है अपने स्वयं के बैंक विवरण के साथ, और भुगतान पा लेता है। आपको हफ्तों बाद पता चलता है जब ग्राहक पूछता है कि उनका सामान कहाँ है।
- आपके उद्धरण, चालान और उत्तर चुपचाप ग्राहकों के स्पैम फ़ोल्डर में उतरते हैं। सौदे ठंडे पड़ जाते हैं और आपको कभी पता नहीं चलता क्यों।
- एक स्कैमर आपके स्वामी या वित्त व्यक्ति का प्रतिरूपण करता है और कर्मचारियों को एक तत्काल भुगतान या गिफ्ट कार्ड के लिए ईमेल करता है।
- एक बड़े संभावित ग्राहक की IT या सुरक्षा समीक्षा आपके डोमेन की जांच करती है, कोई प्रेषक सुरक्षा नहीं देखती।
- आप सोचते हैं कि आप सुरक्षित हैं क्योंकि एक SPF रिकॉर्ड मौजूद है — लेकिन यह 'soft fail' पर सेट है और कुछ भी लागू नहीं हो रहा।
यह क्यों मायने रखता है। ईमेल पर 'from' पता जाली बनाना तुच्छ रूप से आसान है और एक हमलावर को कुछ भी खर्च नहीं होता। SPF आपके डोमेन को प्रतिरूपित करना कठिन बनाने और आपके वैध मेल को स्पैम से बाहर रखने का सबसे सस्ता, सबसे तेज तरीका है। Google और Yahoo अब सक्रिय रूप से उन डोमेन से मेल जंक या अस्वीकार कर रहे हैं जो प्रमाणित नहीं हैं।
इसे कैसे ठीक करें, चरण दर चरण
- हर सेवा सूचीबद्ध करें जो आपके रूप में भेजती है. हर सेवा लिखें जो आपके डोमेन का उपयोग करके ईमेल भेजती है — आपका मेलबॉक्स प्रदाता साथ ही कोई भी इनवॉइसिंग, CRM, न्यूज़लेटर या हेल्पडेस्क टूल।
- एक SPF रिकॉर्ड बनाएं. अपने डोमेन रूट पर v=spf1 से शुरू होने वाला एक एकल TXT रिकॉर्ड बनाएं, प्रत्येक प्रेषक के लिए एक include: के साथ, ~all में समाप्त होते हुए। कभी भी दो SPF रिकॉर्ड प्रकाशित न करें।
- 10 DNS लुकअप के अंतर्गत रहें. SPF अधिकतम 10 DNS लुकअप की अनुमति देता है; इससे अधिक पर रिकॉर्ड विफल होता है। अप्रयुक्त includes हटाएं या सीमा के अंतर्गत रहने के लिए उन्हें flatten करें।
- DMARC के साथ लागू करें, -all नहीं. ~all प्रकाशित करें और reject की DMARC नीति के साथ इसे लागू करें बजाय केवल -all पर निर्भर रहने के।
- सत्यापित करें कि यह काम किया. पुष्टि करने के लिए अपने डोमेन की दोबारा जांच करें कि SPF पास होता है और soft-failing या चुपचाप टूटा नहीं है।
संक्षिप्त संस्करण
अभी, जब तक आपने SPF सही तरीके से सेट नहीं किया है, दुनिया में कोई भी ईमेल भेज सकता है जो आपके व्यवसाय से आया दिखता है। वे आपके ग्राहकों को नकली चालान, आपके कर्मचारियों को नकली भुगतान अनुरोध, और आपके आपूर्तिकर्ताओं को ईमेल कर सकते हैं जैसे कि वे आप हों — और संदेश वास्तविक दिखेंगे, क्योंकि आपके डोमेन पर कुछ भी अन्यथा नहीं कहता।
SPF (Sender Policy Framework) सुधार है। यह आपके डोमेन की DNS सेटिंग में टेक्स्ट की एक पंक्ति है जो सूचीबद्ध करती है कि वास्तव में कौन सी मेल सेवाएं आपके रूप में ईमेल भेजने की अनुमति हैं।
यह आपको क्या नुकसान पहुंचा सकता है
-
चालान रीडायरेक्ट। एक अपराधी आपके ग्राहकों में से एक को एक ईमेल भेजता है जो ठीक आपसे आया दिखता है, उनके अपने बैंक खाते के साथ वास्तविक दिखने वाला चालान संलग्न करता है। आपका ग्राहक भुगतान करता है।
-
CEO/वित्त घोटाला। कोई आपके बुककीपर को “स्वामी से” ईमेल करता है: “जल्दी एहसान — क्या आप दिन के अंत से पहले इस भुगतान को आगे बढ़ा सकते हैं?”
-
शांत डिलिवरेबिलिटी टैक्स। आपके उद्धरण और चालान ग्राहकों के स्पैम फ़ोल्डर में जाने लगते हैं क्योंकि Gmail और Yahoo सत्यापित नहीं कर पाते कि वे वास्तव में आपसे हैं।
-
खोया अनुबंध। एक बड़े ग्राहक की खरीद या सुरक्षा टीम आपके डोमेन पर एक बुनियादी जांच चलाती है। वे कोई प्रेषक प्रमाणीकरण नहीं देखते और आपको जोखिम के रूप में चिह्नित करते हैं।
-
ब्रांड-विषाक्तता लहर। आपका डोमेन सार्वजनिक को लक्षित फ़िशिंग अभियान में उपयोग किया जाता है।
यह वास्तव में क्या है
जब एक ईमेल आता है, तो प्राप्त मेल सर्वर एक चीज़ जानना चाहता है: क्या यह वास्तव में उसी से है जो यह दावा करता है? SPF उस सवाल का हिस्सा जवाब देता है।
आप अपने डोमेन की DNS सेटिंग में टेक्स्ट की एक छोटी पंक्ति प्रकाशित करते हैं — एक “TXT रिकॉर्ड” — जो आपकी ओर से भेजने की अनुमति वाली मेल सेवाओं का नाम देता है:
v=spf1 include:_spf.google.com include:sendgrid.net -all
वे दो भाग जो आपके ग्रेड के लिए मायने रखते हैं:
-
क्या रिकॉर्ड मौजूद है? कोई रिकॉर्ड नहीं का मतलब है कि प्राप्तकर्ताओं के पास जांचने के लिए कोई सूची नहीं है।
-
क्या नीति पर्याप्त सख्त है?
-all(hard fail) — सूची में नहीं होने वाली किसी भी चीज़ को अस्वीकार करें। सबसे मजबूत।~all(soft fail) + DMARC reject पर सेट — आधुनिक अनुशंसित सेटअप। Hard fail के समान सुरक्षा।~allअकेले (DMARC enforcement नहीं) — कमज़ोर। स्पूफ्ड मेल अभी भी आ जाती है।+all— सक्रिय रूप से खतरनाक: यह दुनिया को बताता है कि कोई भी आपके रूप में भेज सकता है। इसे कभी उपयोग न करें।
इसे कैसे ठीक करें (मुफ्त, ~10 मिनट)
इस अनुभाग को जो भी आपका डोमेन या वेबसाइट प्रबंधित करता है उसे सौंपें — और ध्यान दें कि सुधार मुफ्त है।
चरण 1 — हर सेवा सूचीबद्ध करें जो आपके रूप में ईमेल भेजती है। आपका मेलबॉक्स प्रदाता (Google Workspace, Microsoft 365, आदि), साथ ही कोई भी न्यूज़लेटर टूल, CRM, हेल्पडेस्क, ई-कॉमर्स प्लेटफ़ॉर्म, इनवॉइसिंग/अकाउंटिंग ऐप।
चरण 2 — एक TXT रिकॉर्ड प्रकाशित करें अपने रूट डोमेन पर। सामान्य प्लेटफ़ॉर्म:
- Google Workspace:
include:_spf.google.com - Microsoft 365:
include:spf.protection.outlook.com - SendGrid:
include:sendgrid.net - Mailchimp:
include:servers.mcsv.net
एक संयुक्त रिकॉर्ड:
v=spf1 include:_spf.google.com include:spf.protection.outlook.com include:sendgrid.net -all
चरण 3 — सुरक्षित शुरू करें, फिर लागू करें। ~all (soft fail) के साथ प्रकाशित करें जबकि आप पुष्टि करते हैं कि आपकी प्रेषक सूची पूर्ण है। एक बार पुष्टि होने के बाद, -all (hard fail) पर कसें — या बेहतर, ~all रखें और p=reject का DMARC नीति जोड़ें।
चरण 4 — सुनिश्चित करें कि आपके पास बिल्कुल एक रिकॉर्ड है। दो v=spf1 रिकॉर्ड एक-दूसरे को रद्द करते हैं।
चरण 5 — लुकअप संख्या देखें। यदि आपके पास कई प्रेषक हैं, तो आप 10-लुकअप सीमा से अधिक हो सकते हैं।
सामान्य गलतियाँ
- दो SPF रिकॉर्ड। सबसे आम शांत विफलता।
~allपर रुकना और मानना कि आप पूरे हो गए। पीछे बिना DMARC के Soft fail कमज़ोर है।- एक प्रेषक भूलना।
- 10-लुकअप सीमा तोड़ना।
+allउपयोग करना। इसे कभी प्रकाशित न करें।
यह कहाँ फिट बैठता है
SPF नींव है, लेकिन यह तीन परतों में से एक है। DKIM एक क्रिप्टोग्राफिक हस्ताक्षर जोड़ता है, और DMARC वह निर्देश है जो SPF और DKIM को एक साथ जोड़ता है और प्राप्तकर्ताओं को बताता है कि विफल मेल के साथ वास्तव में क्या करें। SPF पहले सही करें, फिर DKIM और DMARC जोड़ें।
अपने होस्ट पर इसे सेट करें
लोकप्रिय प्रदाताओं के लिए चरण-दर-चरण:
- GoDaddy पर SPF सेट करें
- Namecheap पर SPF सेट करें
- Cloudflare पर SPF सेट करें
- Google Workspace पर SPF सेट करें
- Microsoft 365 पर SPF सेट करें
- Squarespace पर SPF सेट करें
- Wix पर SPF सेट करें
- AWS Route 53 पर SPF सेट करें
- Hostinger पर SPF सेट करें
- Porkbun पर SPF सेट करें
- IONOS पर SPF सेट करें
- Bluehost पर SPF सेट करें
सामान्य स्थितियाँ
- SPF failing for your SaaS tools
- PermError: too many DNS lookups
- 'SPF record not found' but you have one
- SPF broke after switching provider
- Forwarded email fails SPF
- Contact-form emails going to spam
अक्सर पूछे जाने वाले प्रश्न
मैं तकनीकी नहीं हूँ — क्या मैं इसे खुद संभाल सकता हूँ?
आपको विवरण समझने की जरूरत नहीं है। बदलाव आपके डोमेन की सेटिंग में एक या दो पंक्तियां हैं, जो जो भी आपकी वेबसाइट या IT प्रदाता प्रबंधित करता है उसके द्वारा की जाती हैं। नीचे 'इसे कैसे ठीक करें' अनुभाग उन्हें सौंपें।
हमारे पास पहले से एक SPF रिकॉर्ड है — क्या इसका मतलब है कि हम सुरक्षित हैं?
जरूरी नहीं। रिकॉर्ड होना पहला आधा है; इसे सख्ती से सेट करना दूसरा है। '~all' (soft fail) पर समाप्त होने वाला रिकॉर्ड प्राप्त सर्वरों को बताता है 'यह नकली हो सकता है, लेकिन इसे वैसे भी वितरित करें' — जो न्यूनतम सुरक्षा प्रदान करता है।
क्या इसे ठीक करने से गलती से मेरा अपना ईमेल टूट जाएगा?
यह हो सकता है यदि रिकॉर्ड में एक वैध प्रेषक छूट जाए। इसीलिए सुरक्षित दृष्टिकोण पहले प्रत्येक सेवा को सूचीबद्ध करना है जो आपके नाम से मेल भेजती है, '~all' के साथ publish करें, पुष्टि करें कि कुछ छूटा नहीं, फिर hard fail पर कसें।
'~all' और '-all' के बीच क्या अंतर है, और हमें कौन सा उपयोग करना चाहिए?
'-all' (hard fail) प्राप्तकर्ताओं को आपकी सूची में नहीं होने वाली किसी भी चीज़ को अस्वीकार करने के लिए कहता है। '~all' (soft fail) कहता है 'शायद वैध नहीं, लेकिन इसे स्वीकार करें।' आधुनिक सर्वोत्तम-प्रथा '~all' है जो 'reject' की DMARC नीति के साथ संयुक्त है।
क्या SPF अकेले सभी ईमेल स्पूफिंग रोकेगा?
नहीं — यह आवश्यक पहली परत है, पूरा जवाब नहीं। SPF कहता है कि कौन से सर्वर आपके लिए भेज सकते हैं, लेकिन यह प्राप्तकर्ताओं को नहीं बताता कि जब कोई संदेश विफल हो तो क्या करें। आपको DKIM और DMARC भी चाहिए।
कितने समय में प्रभाव पड़ेगा, और क्या इसका कोई खर्च हो सकता है?
DNS बदलाव आमतौर पर मिनटों से कुछ घंटों में प्रभावी होते हैं। सुधार हमेशा मुफ्त है — यह आपके DNS प्रदाता पर एक सेटिंग संपादित करना है।