Defaults.Exposed

Defaults.Exposedการแก้ไข › SPF (Sender Policy Framework)

วิธีแก้ไข SPF (Sender Policy Framework)

SPF คือบรรทัดในการตั้งค่าโดเมนของคุณที่แสดงรายชื่อบริการเมลใดที่ได้รับอนุญาตให้ส่งอีเมลในนามธุรกิจของคุณ หากไม่มี ใครก็ตามทั่วโลกสามารถส่งอีเมลที่ดูเหมือนมาจากคุณ — และอีเมลแท้จริงของคุณเองมีแนวโน้มมากขึ้นที่จะตกอยู่ใน spam ของลูกค้า

สรุปสำหรับธุรกิจของคุณ: ใครก็ตามสามารถส่งอีเมลแอบอ้างเป็นธุรกิจของคุณ — ไปยังลูกค้า พนักงาน และซัพพลายเออร์ของคุณ — ใบแจ้งหนี้ คำขอเปลี่ยนการชำระเงิน ทุกอย่าง ในเวลาเดียวกันใบเสนอราคาและใบแจ้งหนี้แท้จริงของคุณมีแนวโน้มมากขึ้นที่จะถูกทิ้ง ดังนั้นดีลจึงค่อยๆ หยุดนิ่ง

สิ่งนี้อาจทำให้คุณเสียค่าใช้จ่าย

เหตุใดจึงสำคัญ การปลอมแปลงที่อยู่ 'from' บนอีเมลทำได้ง่ายอย่างเหลือเชื่อและไม่มีค่าใช้จ่ายสำหรับผู้โจมตี SPF เป็นวิธีที่ถูกที่สุดและเร็วที่สุดในการทำให้โดเมนของคุณยากต่อการแอบอ้างและรักษาเมลที่ถูกต้องของคุณออกจาก spam Google และ Yahoo ตอนนี้ junk หรือปฏิเสธเมลจากโดเมนที่ไม่ได้รับการรับรองอย่างแข็งขัน ดังนั้นนี่ไม่ใช่ตัวเลือกอีกต่อไป — มันเป็นสิ่งจำเป็นสำหรับการส่งอีเมลของคุณเลย

วิธีแก้ไข ทีละขั้นตอน

  1. แสดงรายการทุกบริการที่ส่งในนามของคุณ. เขียนทุกบริการที่ส่งอีเมลโดยใช้โดเมนของคุณ — ผู้ให้บริการกล่องรับจดหมายของคุณบวกกับเครื่องมือออกใบแจ้งหนี้ CRM จดหมายข่าว หรือ helpdesk
  2. สร้างระเบียน SPF หนึ่งอัน. สร้าง TXT record เดียวที่ domain root เริ่มต้นด้วย v=spf1 พร้อม include: สำหรับแต่ละ sender ลงท้ายด้วย ~all อย่าเผยแพร่ระเบียน SPF สองอัน
  3. อยู่ใต้ 10 DNS lookups. SPF อนุญาตสูงสุด 10 DNS lookups หากเกินกว่านั้น ระเบียนล้มเหลว ลบ include ที่ไม่ใช้หรือทำให้แบนเพื่ออยู่ใต้ขีดจำกัด
  4. บังคับใช้ด้วย DMARC ไม่ใช่ -all. เผยแพร่ ~all และบังคับใช้ด้วย DMARC policy ของ reject แทนที่จะพึ่งพา -all คนเดียว — การป้องกันเดียวกันโดยไม่ทำลายเมลที่ forward
  5. ยืนยันว่ามันทำงาน. ตรวจสอบโดเมนของคุณใหม่เพื่อยืนยันว่า SPF ผ่านและไม่ใช่ soft-failing หรือเสียหายอย่างเงียบๆ

เวอร์ชันสั้น

ตอนนี้ เว้นแต่คุณตั้งค่า SPF อย่างถูกต้อง ใครก็ตามทั่วโลกสามารถส่งอีเมลที่ปรากฏว่ามาจากธุรกิจของคุณ พวกมันสามารถส่งอีเมลให้ลูกค้าของคุณด้วยใบแจ้งหนี้ปลอม ส่งอีเมลให้พนักงานของคุณด้วยคำขอชำระเงินปลอม และส่งอีเมลให้ซัพพลายเออร์ของคุณราวกับว่าพวกมันเป็นคุณ — และข้อความจะดูของแท้เพราะไม่มีอะไรบนโดเมนของคุณที่บอกเป็นอย่างอื่น

SPF (Sender Policy Framework) คือการแก้ไข มันเป็นบรรทัดข้อความเดียวในการตั้งค่า DNS ของโดเมนของคุณที่แสดงรายชื่อบริการเมลใดที่ได้รับอนุญาตจริงๆ ให้ส่งอีเมลในนามของคุณ ผู้ให้บริการเมลรับ — Gmail, Outlook, ทุกคน — ตรวจสอบรายการนั้นก่อนตัดสินใจว่าข้อความจริงหรือไม่ ไม่มีรายการ หรือรายการที่อ่อนแอ และพวกมันไม่มีอะไรให้ยึด

หน้านี้ครอบคลุมสองสิ่งที่ต้องถูกต้องทั้งคู่: ว่าระเบียน SPF มีอยู่หรือไม่ และ ว่ามันเข้มงวดพอที่จะทำงานจริงๆ ไหม

สิ่งนี้อาจทำให้คุณสูญเสียอะไร

มันคืออะไรจริงๆ

เมื่ออีเมลมาถึง เซิร์ฟเวอร์เมลรับต้องการรู้สิ่งหนึ่ง: นี่มาจากคนที่อ้างจริงๆ ไหม? SPF ตอบบางส่วนของคำถามนั้น

คุณเผยแพร่บรรทัดข้อความสั้นๆ ในการตั้งค่า DNS ของโดเมนของคุณ — “TXT record” — ที่ตั้งชื่อบริการเมลที่ได้รับอนุญาตส่งในนามของคุณ บางอย่างเช่น:

v=spf1 include:_spf.google.com include:sendgrid.net -all

เป็นคำพูดง่ายๆ นั่นอ่านว่า: “เมลแท้จริงจากเราก็มาจากเซิร์ฟเวอร์ของ Google และเซิร์ฟเวอร์ของ SendGrid — ปฏิเสธสิ่งใดก็ตามที่อ้างว่าเป็นเรา”

สองส่วนที่สำคัญสำหรับเกรดของคุณ:

  1. ระเบียนมีอยู่ไหม? นี่เป็นส่วนใหญ่ (มันแบกน้ำหนักสูงสุดของการตรวจสอบอีเมลเดียวใดๆ) ไม่มีระเบียนหมายความว่าผู้รับไม่มีรายการที่จะตรวจสอบ ดังนั้นการแอบอ้างเปิดกว้าง ยังมีโหมดความล้มเหลวที่ละเอียดอ่อน: ถ้าโดเมนของคุณมีระเบียน SPF สองอันหรือมากกว่า กฎบอกว่าทั้งหมดไม่ถูกต้อง — ดังนั้นคุณไม่มี SPF เลย แม้ว่าดูเหมือนว่ามี

  2. นโยบายเข้มงวดพอไหม? ระเบียนสามารถมีอยู่แต่ยังไม่มีประสิทธิภาพ การลงท้าย — กลไก “all” — เป็นคำสั่งให้ผู้รับ:

    • -all (hard fail) — ปฏิเสธสิ่งใดก็ตามที่ไม่อยู่ในรายการ แข็งแกร่งที่สุด คะแนนเต็ม
    • ~all (soft fail) + DMARC ที่ตั้งเป็น reject — การตั้งค่าที่แนะนำสมัยใหม่ การป้องกันเทียบเท่ากับ hard fail โดยไม่มีความเสี่ยงของเมลที่ forward ที่ถูกต้องตีกลับ คะแนนเต็ม
    • ~all + DMARC ที่ตั้งเป็น quarantine — ยอมรับได้ อ่อนแอกว่าเล็กน้อย
    • ~all คนเดียว (ไม่มีการบังคับ DMARC) — อ่อนแอ กับดักที่ธุรกิจหลายรายตกเข้าไปคิดว่าพวกมันได้รับการปกป้อง
    • ?all (neutral) — ไม่ให้การป้องกัน
    • +all — อันตรายอย่างแข็งขัน: มันบอกโลกว่าใครก็ตามอาจส่งในนามของคุณ อย่าใช้สิ่งนี้

ยังมีความล้มเหลวล่องหนอีกอัน: SPF อนุญาตให้ trigger ได้สูงสุด 10 DNS lookups เมื่อมันถูกประเมิน ซ้อน include: มากเกินไปและระเบียนเกินขีดจำกัดนั้น ณ จุดนั้นผู้รับถือว่าทั้งอันเสียหาย

สิ่งที่ “ดี” ดูเหมือน: ระเบียน SPF หนึ่งอันพอดี แสดงรายการทุกบริการที่ส่งเมลในนามของคุณอย่างถูกต้อง ลงท้ายด้วย -all (หรือ ~all คู่กับ DMARC ที่ p=reject) และอยู่ใต้ขีดจำกัด 10-lookup อย่างสบาย

วิธีแก้ไข (ฟรี ~10 นาที)

ส่งส่วนนี้ให้ผู้ที่จัดการโดเมนหรือเว็บไซต์ของคุณ — และสังเกตว่าการแก้ไขฟรี เป็นการเปลี่ยนแปลงการตั้งค่า DNS ไม่ใช่ผลิตภัณฑ์ที่คุณซื้อ

ขั้นที่ 1 — แสดงรายการทุกบริการที่ส่งอีเมลในนามของคุณ นี่คือส่วนที่คนทำผิด เขียนทั้งหมดออกมา: ผู้ให้บริการกล่องรับจดหมาย (Google Workspace, Microsoft 365, ฯลฯ) บวกกับเครื่องมือจดหมายข่าว CRM helpdesk แพลตฟอร์ม e-commerce app ออกใบแจ้งหนี้/บัญชี และระบบจอง

ขั้นที่ 2 — เผยแพร่ TXT record หนึ่งอัน ที่ root domain ของคุณ รวมบรรทัด “include” สำหรับ sender ทั้งหมดของคุณในระเบียนเดียว:

ระเบียนรวมมีลักษณะเช่น:

v=spf1 include:_spf.google.com include:spf.protection.outlook.com include:sendgrid.net -all

ขั้นที่ 3 — เริ่มอย่างปลอดภัย จากนั้นบังคับใช้ ในขณะที่คุณยืนยันว่ารายการ sender ของคุณครบถ้วน เผยแพร่ด้วย ~all (soft fail) เพื่อไม่มีอะไรที่ถูกต้องถูกบล็อกโดยบังเอิญ เมื่อคุณยืนยันว่าเมลแท้จริงทั้งหมดยังไหล เพิ่มความเข้มงวดเป็น -all (hard fail) — หรือดีกว่า เก็บ ~all และเพิ่ม DMARC policy ของ p=reject

ขั้นที่ 4 — ตรวจสอบให้แน่ใจว่าคุณมีระเบียน ONE อย่างแน่นอน ถ้ามีระเบียน SPF เก่าอยู่แล้ว แก้ไขอันนั้นแทนที่จะเพิ่มอันที่สอง

ขั้นที่ 5 — ดูจำนวน lookup ถ้าคุณมี sender หลายราย คุณสามารถเกิน 10-lookup limit บางผู้ให้บริการเสนอ “SPF flattening” หรือลบ sender ที่คุณไม่ใช้อีกต่อไป

ขั้นที่ 6 — ตรวจสอบโดเมนของคุณใหม่ เพื่อยืนยันว่ามันผ่านตอนนี้

ข้อผิดพลาดทั่วไป

SPF อยู่ที่ไหนในแผนของคุณ

SPF เป็นรากฐาน แต่มันเป็นสามชั้น DKIM เพิ่มลายเซ็นการเข้ารหัสที่พิสูจน์ว่าข้อความไม่ถูกดัดแปลง และ DMARC คือคำสั่งที่ผูก SPF และ DKIM เข้าด้วยกันและบอกผู้รับว่าจะทำอะไรกับเมลที่ล้มเหลว — รวมถึงการบล็อกการแอบอ้างชื่อ “from” ที่มองเห็นที่ลูกค้าของคุณเห็น แก้ไข SPF ก่อน (มันเป็นชัยชนะที่เร็วที่สุดและแบกน้ำหนักมากที่สุด) จากนั้นเพิ่ม DKIM และ DMARC เพื่อปิดประตูอย่างสมบูรณ์

ตั้งค่าบนโฮสต์ของคุณ

ทีละขั้นตอนสำหรับผู้ให้บริการยอดนิยม:

สถานการณ์ทั่วไป

คำถามที่พบบ่อย

ฉันไม่ใช่คนเทคนิค — ฉันสามารถจัดการสิ่งนี้เองได้ไหม?

คุณไม่จำเป็นต้องเข้าใจรายละเอียด การเปลี่ยนแปลงคือหนึ่งหรือสองบรรทัดที่เพิ่มลงในการตั้งค่าโดเมนของคุณ ทำโดยผู้ที่จัดการเว็บไซต์หรือผู้ให้บริการ IT ของคุณ ส่งส่วน 'วิธีแก้ไข' ด้านล่างให้พวกมัน — มักใช้เวลาไม่กี่นาทีและฟรี เราเรียกเก็บเงินเฉพาะเพื่อ monitor ว่ามันยังคงถูกต้องตลอดเวลา

เรามีระเบียน SPF แล้ว — นั้นหมายความว่าเราได้รับการคุ้มครองไหม?

ไม่จำเป็น การมีระเบียนเป็นครึ่งแรก การตั้งมันอย่างเข้มงวดเป็นครึ่งที่สอง ระเบียนที่ลงท้ายด้วย '~all' (soft fail) โดยไม่มี DMARC ข้างหลังบอกเซิร์ฟเวอร์รับว่า 'สิ่งนี้อาจเป็นของปลอม แต่ส่งมันอยู่ดี' — ซึ่งให้การป้องกันน้อยมาก ระเบียน SPF สองอัน หรืออันที่ทำ lookup มากเกินไป ถือว่าเสียหายและให้การป้องกันไม่มีเลยแม้จะดูเหมือนมีอยู่ ทั้งสองครึ่งต้องถูกต้อง

การแก้ไขสิ่งนี้จะทำให้อีเมลของตัวเองเสียหายโดยบังเอิญไหม?

มันสามารถทำได้ถ้าระเบียนพลาด sender ที่ถูกต้อง — เช่น app ออกใบแจ้งหนี้หรือเครื่องมือจดหมายข่าวที่ส่งเมลโดยใช้ชื่อของคุณ นั่นคือเหตุผลที่แนวทางที่ปลอดภัยคือการแสดงรายการทุกบริการที่ส่งเมลในนามของคุณก่อน เผยแพร่ด้วย '~all' แบบ soft ในขณะที่คุณยืนยันว่าไม่มีอะไรถูกพลาด จากนั้นเพิ่มความเข้มงวดเป็น hard fail

อะไรคือความแตกต่างระหว่าง '~all' และ '-all' และเราควรใช้อะไร?

'-all' (hard fail) บอกผู้รับให้ปฏิเสธสิ่งใดก็ตามที่ไม่อยู่ในรายการของคุณ — การตั้งค่าที่แข็งแกร่งที่สุด '~all' (soft fail) บอกว่า 'อาจไม่ถูกต้อง แต่ยอมรับมันอยู่ดี' คำแนะนำ best-practice สมัยใหม่คือ '~all' รวมกับ DMARC policy ของ 'reject' — คู่นั้นให้การป้องกันเดียวกับ '-all' โดยไม่มีความเสี่ยงของ forward mail ที่ตีกลับ '~all' โดยไม่มี DMARC บังคับ เป็นการกำหนดค่าที่อ่อนแอที่ควรหลีกเลี่ยง

SPF จะหยุด email spoofing ทั้งหมดด้วยตัวเองไหม?

ไม่ — มันเป็นชั้นแรกที่สำคัญ ไม่ใช่คำตอบทั้งหมด SPF บอกว่าเซิร์ฟเวอร์ใดอาจส่งให้คุณ แต่ไม่บอกผู้รับว่าจะทำอะไรเมื่อข้อความล้มเหลว และไม่ครอบคลุมชื่อ 'from' ที่มองเห็นที่ผู้ใช้เห็น เพื่อล็อคการแอบอ้างอย่างสมบูรณ์คุณยังต้องการ DKIM และ DMARC

ใช้เวลานานแค่ไหนกว่าจะมีผล และมีค่าใช้จ่ายไหม?

การเปลี่ยนแปลง DNS มักมีผลภายในไม่กี่นาทีถึงไม่กี่ชั่วโมง การแก้ไขตัวเองฟรีเสมอ — มันเป็นเพียงการแก้ไขการตั้งค่าที่ผู้ให้บริการ DNS ของคุณ