Defaults.Exposed

Defaults.Exposedसुधार › SPF (Sender Policy Framework)

SPF (Sender Policy Framework) को कैसे ठीक करें

SPF आपके डोमेन की सेटिंग में वह पंक्ति है जो यह सूचीबद्ध करती है कि आपके व्यवसाय के रूप में ईमेल भेजने की अनुमति किन मेल सेवाओं को है। इसके बिना, दुनिया में कोई भी ईमेल भेज सकता है जो ऐसा दिखे जैसे यह आपसे आया हो — और आपका अपना वास्तविक ईमेल ग्राहकों के स्पैम में जाने की अधिक संभावना है।

आपके व्यवसाय के लिए मुख्य बात: कोई भी आपके व्यवसाय के रूप में दिखावा करते हुए ईमेल भेज सकता है — आपके ग्राहकों, कर्मचारियों और आपूर्तिकर्ताओं को — चालान, भुगतान-परिवर्तन अनुरोध, सब कुछ। साथ ही आपके वास्तविक उद्धरण और चालान स्पैम में जाने की अधिक संभावना है, इसलिए सौदे चुपचाप रुक जाते हैं।

यह आपको क्या खर्च कर सकता है

यह क्यों मायने रखता है। ईमेल पर 'from' पता जाली बनाना तुच्छ रूप से आसान है और एक हमलावर को कुछ भी खर्च नहीं होता। SPF आपके डोमेन को प्रतिरूपित करना कठिन बनाने और आपके वैध मेल को स्पैम से बाहर रखने का सबसे सस्ता, सबसे तेज तरीका है। Google और Yahoo अब सक्रिय रूप से उन डोमेन से मेल जंक या अस्वीकार कर रहे हैं जो प्रमाणित नहीं हैं।

इसे कैसे ठीक करें, चरण दर चरण

  1. हर सेवा सूचीबद्ध करें जो आपके रूप में भेजती है. हर सेवा लिखें जो आपके डोमेन का उपयोग करके ईमेल भेजती है — आपका मेलबॉक्स प्रदाता साथ ही कोई भी इनवॉइसिंग, CRM, न्यूज़लेटर या हेल्पडेस्क टूल।
  2. एक SPF रिकॉर्ड बनाएं. अपने डोमेन रूट पर v=spf1 से शुरू होने वाला एक एकल TXT रिकॉर्ड बनाएं, प्रत्येक प्रेषक के लिए एक include: के साथ, ~all में समाप्त होते हुए। कभी भी दो SPF रिकॉर्ड प्रकाशित न करें।
  3. 10 DNS लुकअप के अंतर्गत रहें. SPF अधिकतम 10 DNS लुकअप की अनुमति देता है; इससे अधिक पर रिकॉर्ड विफल होता है। अप्रयुक्त includes हटाएं या सीमा के अंतर्गत रहने के लिए उन्हें flatten करें।
  4. DMARC के साथ लागू करें, -all नहीं. ~all प्रकाशित करें और reject की DMARC नीति के साथ इसे लागू करें बजाय केवल -all पर निर्भर रहने के।
  5. सत्यापित करें कि यह काम किया. पुष्टि करने के लिए अपने डोमेन की दोबारा जांच करें कि SPF पास होता है और soft-failing या चुपचाप टूटा नहीं है।

संक्षिप्त संस्करण

अभी, जब तक आपने SPF सही तरीके से सेट नहीं किया है, दुनिया में कोई भी ईमेल भेज सकता है जो आपके व्यवसाय से आया दिखता है। वे आपके ग्राहकों को नकली चालान, आपके कर्मचारियों को नकली भुगतान अनुरोध, और आपके आपूर्तिकर्ताओं को ईमेल कर सकते हैं जैसे कि वे आप हों — और संदेश वास्तविक दिखेंगे, क्योंकि आपके डोमेन पर कुछ भी अन्यथा नहीं कहता।

SPF (Sender Policy Framework) सुधार है। यह आपके डोमेन की DNS सेटिंग में टेक्स्ट की एक पंक्ति है जो सूचीबद्ध करती है कि वास्तव में कौन सी मेल सेवाएं आपके रूप में ईमेल भेजने की अनुमति हैं।

यह आपको क्या नुकसान पहुंचा सकता है

यह वास्तव में क्या है

जब एक ईमेल आता है, तो प्राप्त मेल सर्वर एक चीज़ जानना चाहता है: क्या यह वास्तव में उसी से है जो यह दावा करता है? SPF उस सवाल का हिस्सा जवाब देता है।

आप अपने डोमेन की DNS सेटिंग में टेक्स्ट की एक छोटी पंक्ति प्रकाशित करते हैं — एक “TXT रिकॉर्ड” — जो आपकी ओर से भेजने की अनुमति वाली मेल सेवाओं का नाम देता है:

v=spf1 include:_spf.google.com include:sendgrid.net -all

वे दो भाग जो आपके ग्रेड के लिए मायने रखते हैं:

  1. क्या रिकॉर्ड मौजूद है? कोई रिकॉर्ड नहीं का मतलब है कि प्राप्तकर्ताओं के पास जांचने के लिए कोई सूची नहीं है।

  2. क्या नीति पर्याप्त सख्त है?

    • -all (hard fail) — सूची में नहीं होने वाली किसी भी चीज़ को अस्वीकार करें। सबसे मजबूत।
    • ~all (soft fail) + DMARC reject पर सेट — आधुनिक अनुशंसित सेटअप। Hard fail के समान सुरक्षा।
    • ~all अकेले (DMARC enforcement नहीं) — कमज़ोर। स्पूफ्ड मेल अभी भी आ जाती है।
    • +all — सक्रिय रूप से खतरनाक: यह दुनिया को बताता है कि कोई भी आपके रूप में भेज सकता है। इसे कभी उपयोग न करें।

इसे कैसे ठीक करें (मुफ्त, ~10 मिनट)

इस अनुभाग को जो भी आपका डोमेन या वेबसाइट प्रबंधित करता है उसे सौंपें — और ध्यान दें कि सुधार मुफ्त है।

चरण 1 — हर सेवा सूचीबद्ध करें जो आपके रूप में ईमेल भेजती है। आपका मेलबॉक्स प्रदाता (Google Workspace, Microsoft 365, आदि), साथ ही कोई भी न्यूज़लेटर टूल, CRM, हेल्पडेस्क, ई-कॉमर्स प्लेटफ़ॉर्म, इनवॉइसिंग/अकाउंटिंग ऐप।

चरण 2 — एक TXT रिकॉर्ड प्रकाशित करें अपने रूट डोमेन पर। सामान्य प्लेटफ़ॉर्म:

एक संयुक्त रिकॉर्ड:

v=spf1 include:_spf.google.com include:spf.protection.outlook.com include:sendgrid.net -all

चरण 3 — सुरक्षित शुरू करें, फिर लागू करें। ~all (soft fail) के साथ प्रकाशित करें जबकि आप पुष्टि करते हैं कि आपकी प्रेषक सूची पूर्ण है। एक बार पुष्टि होने के बाद, -all (hard fail) पर कसें — या बेहतर, ~all रखें और p=reject का DMARC नीति जोड़ें।

चरण 4 — सुनिश्चित करें कि आपके पास बिल्कुल एक रिकॉर्ड है। दो v=spf1 रिकॉर्ड एक-दूसरे को रद्द करते हैं।

चरण 5 — लुकअप संख्या देखें। यदि आपके पास कई प्रेषक हैं, तो आप 10-लुकअप सीमा से अधिक हो सकते हैं।

सामान्य गलतियाँ

यह कहाँ फिट बैठता है

SPF नींव है, लेकिन यह तीन परतों में से एक है। DKIM एक क्रिप्टोग्राफिक हस्ताक्षर जोड़ता है, और DMARC वह निर्देश है जो SPF और DKIM को एक साथ जोड़ता है और प्राप्तकर्ताओं को बताता है कि विफल मेल के साथ वास्तव में क्या करें। SPF पहले सही करें, फिर DKIM और DMARC जोड़ें।

अपने होस्ट पर इसे सेट करें

लोकप्रिय प्रदाताओं के लिए चरण-दर-चरण:

सामान्य स्थितियाँ

अक्सर पूछे जाने वाले प्रश्न

मैं तकनीकी नहीं हूँ — क्या मैं इसे खुद संभाल सकता हूँ?

आपको विवरण समझने की जरूरत नहीं है। बदलाव आपके डोमेन की सेटिंग में एक या दो पंक्तियां हैं, जो जो भी आपकी वेबसाइट या IT प्रदाता प्रबंधित करता है उसके द्वारा की जाती हैं। नीचे 'इसे कैसे ठीक करें' अनुभाग उन्हें सौंपें।

हमारे पास पहले से एक SPF रिकॉर्ड है — क्या इसका मतलब है कि हम सुरक्षित हैं?

जरूरी नहीं। रिकॉर्ड होना पहला आधा है; इसे सख्ती से सेट करना दूसरा है। '~all' (soft fail) पर समाप्त होने वाला रिकॉर्ड प्राप्त सर्वरों को बताता है 'यह नकली हो सकता है, लेकिन इसे वैसे भी वितरित करें' — जो न्यूनतम सुरक्षा प्रदान करता है।

क्या इसे ठीक करने से गलती से मेरा अपना ईमेल टूट जाएगा?

यह हो सकता है यदि रिकॉर्ड में एक वैध प्रेषक छूट जाए। इसीलिए सुरक्षित दृष्टिकोण पहले प्रत्येक सेवा को सूचीबद्ध करना है जो आपके नाम से मेल भेजती है, '~all' के साथ publish करें, पुष्टि करें कि कुछ छूटा नहीं, फिर hard fail पर कसें।

'~all' और '-all' के बीच क्या अंतर है, और हमें कौन सा उपयोग करना चाहिए?

'-all' (hard fail) प्राप्तकर्ताओं को आपकी सूची में नहीं होने वाली किसी भी चीज़ को अस्वीकार करने के लिए कहता है। '~all' (soft fail) कहता है 'शायद वैध नहीं, लेकिन इसे स्वीकार करें।' आधुनिक सर्वोत्तम-प्रथा '~all' है जो 'reject' की DMARC नीति के साथ संयुक्त है।

क्या SPF अकेले सभी ईमेल स्पूफिंग रोकेगा?

नहीं — यह आवश्यक पहली परत है, पूरा जवाब नहीं। SPF कहता है कि कौन से सर्वर आपके लिए भेज सकते हैं, लेकिन यह प्राप्तकर्ताओं को नहीं बताता कि जब कोई संदेश विफल हो तो क्या करें। आपको DKIM और DMARC भी चाहिए।

कितने समय में प्रभाव पड़ेगा, और क्या इसका कोई खर्च हो सकता है?

DNS बदलाव आमतौर पर मिनटों से कुछ घंटों में प्रभावी होते हैं। सुधार हमेशा मुफ्त है — यह आपके DNS प्रदाता पर एक सेटिंग संपादित करना है।