المصادقة باستخدام SPF: نظرة عامة وأفضل الممارسات

Bird

19‏/12‏/2016

البريد الإلكتروني

1 min read

المصادقة باستخدام SPF: نظرة عامة وأفضل الممارسات

النقاط الرئيسية

    • SPF (إطار سياسة المرسل) هو بروتوكول مصادقة بريد إلكتروني يعتمد على المسار الذي يتحقق مما إذا كان الخادم المرسل مخولاً بإرسال بريد لاسم نطاق معين.

    • تعيش سياسات SPF كـ سجلات DNS TXT، يتم تنسيقها بآليات تحدد الخوادم أو عناوين IP أو الشبكات المسموح لها بالإرسال نيابة عن نطاق.

    • يرتبط تحقق SPF بـ نطاق مسار العودة (نطاق الارتداد) أو اسم مضيف HELO وليس العنوان الظاهر في From.

    • لأن SPF يتحقق من مسار الإرسال فقط، يمكن التحقق منه مبكرًا في معاملة SMTP، مما يجعله مفيدًا لرفض البريد غير المصرح به بسرعة.

    • SPF فعال ولكن ليس مثاليًا - فهو عرضة لـ نتائج سلبية خاطئة، خاصة مع إعادة توجيه البريد الإلكتروني والقوائم البريدية.

    • تعتمد سجلات SPF على آليات مثل mx، a، ipv4، ipv6، include، redirect، exists، ويجب أن تنتهي بمحدد all (-all، ~all، ?all، +all).

    • تنطبق حدود استعلام DNS: لا يمكن تقييم SPF أن يتجاوز 10 استفسارات DNS، مما يجعل تخطيط السجلات مهمًا.

    • يعتبر آلية ptr الآن "لا تستخدم"، لكن لا يزال يجب قبولها من قبل المدققين. لا يزال بعض المرسلين يستخدمونها بسبب فجوات التوافق.

    • لا يضمن SPF بمفرده أن البريد الإلكتروني مشروع - فقط أنه تم إرساله من خادم معتمد. تعمل بشكل أفضل عند دمجها مع DKIM، DMARC، وتقنيات مكافحة الاحتيال الأخرى.

أبرز الأسئلة والأجوبة

  • ما هو SPF بعبارات بسيطة؟

    تسمح SPF للنطاق بتحديد أي الخوادم مسموح لها بإرسال البريد الإلكتروني نيابة عنه. تقوم الخوادم المستقبلة بالتحقق من ذلك لاكتشاف المرسلين غير المصرح لهم.

  • لماذا يتم تسمية SPF بـ "المسار المستند"؟

    لأن SPF يحقق من صحة المسار الذي سلكته الرسالة - وتحديداً، عنوان IP الخاص بالخادم المرسل - بدلاً من أي شيء في محتوى الرسالة.

  • أين يتم تخزين سياسة SPF؟

    س: كـ سجل DNS TXT، بدءًا من v=spf1، يليه الآليات التي تحدد المرسلين المسموح بهم.

  • أي نطاق يقوم SPF بالتحقق منه؟

    مسار العودة (المعروف أيضًا باسم نطاق الارتداد).

    إذا كان مسار العودة فارغًا (مرسل NULL)، فإن SPF يفحص نطاق HELO بدلاً من ذلك.

  • هل يمكن فحص SPF مبكرًا في معاملة SMTP؟

    نعم. لأنه يعتمد فقط على عنوان IP واسم النطاق للخادم المرسل، يمكن التحقق من صحة SPF قبل تلقي محتوى الرسالة—مما يجعله فعالًا في التصفية.

  • لماذا يفشل SPF أحيانًا حتى بالنسبة للبريد الإلكتروني الشرعي؟

    الأسباب الشائعة تشمل:

    • إعادة توجيه البريد الإلكتروني (المُعيد ليس في سجل SPF للنطاق الأصلي)

    • قوائم البريد (يتم إعادة إرسال الرسائل بواسطة خادم مختلف)
      يؤدي هذا إلى سلبيات كاذبة، وهي متأصلة في المصادقة القائمة على المسار.

  • ما هو دور الآليات مثل include، redirect، و exists؟

    • include — تفويض سجل SPF لنطاق آخر (على سبيل المثال، مزود خدمة البريد الإلكتروني الخاص بك)

    • redirect — إعادة استخدام سياسة SPF لنطاق آخر

    • exists — التفويض ديناميكيًا بناءً على بحث DNS (مفيد للبنية التحتية المعقدة)

  • كيف تعمل المعدلات "all"؟

    • -all → رفض أي شيء غير مدرج (صارم)

    • ~all → فشل غير صارم (قبول ولكن مع علامة)

    • ?all → محايد

    • +all → تمرير كل شيء (يعطل SPF بشكل فعال)

  • لماذا يُثبط استخدام آلية ptr؟

    إنها بطيئة، غير موثوقة، وقديمة في المواصفات الحديثة—لكن يجب أن يدعمها مدققو SPF.

  • هل يكفي SPF بمفرده لمصادقة البريد الإلكتروني؟

    لا. يحقق SPF من البنية التحتية للإرسال، ولكن:

    • لا يحمي تكامل الرسائل

    • لا يتماشى مع النطاقات الظاهرة في الرسالة

    • ينكسر عند التوجيه
      SPF يكون قويًا عند اقترانه بـ DKIM وDMARC.

قبل الغوص في التنفيذ التقني، من الجدير فهم تطور وتنوع تقنيات التحقق من صحة البريد الإلكتروني المتاحة. من فحص النحو البسيط إلى الأساليب الحديثة القائمة على البيانات، تقدم طرق التحقق المختلفة مستويات متفاوتة من الدقة والموثوقية.

عند التحدث عن "مصادقة البريد الإلكتروني"، نشير إلى تقنية تهدف إلى توفير مستوى من اليقين للمستلم بأن الرسالة في الحقيقة صدرت عن المصدر المعلن عنه للرسالة. الفكرة هي تحقيق مستوى من الدفاع ضد البريد الإلكتروني الاحتيالي، مثل التصيد والاحتيال البريدي، الذي قد يضعف ثقة المستلم في استلام البريد الإلكتروني. بالنسبة للمنظمات التي تتطلب تشفير الرسائل على مستوى الرسالة إضافة إلى المصادقة، توفر S/MIME الأمان من طرف إلى طرف، مع جمع المفتاح العمومي للمستلم تلقائيًا مما يجعل التنفيذ أكثر قابلية للتوسع. ومع ذلك، فإن إرسال بريد إلكتروني مؤكد المصدر لا يعني بذاته أن البريد الإلكتروني جيد أو مرغوب فيه؛ وإنما يعني فقط أن البريد يمكن أن يتم تحديد سمعة للجهة المصدقة يمكن استخدامها بثقة في قرارات قبول البريد الإلكتروني ومكانته.

هناك شكلان رئيسيان لمصادقة البريد الإلكتروني يُستخدمان اليوم—إطار سياسة المرسل (SPF) و بريد التعريفات المفاتيح البريدية (DKIM). في هذه المقالة التدوينية، سأشرح ما هو SPF، وكيف يعمل.

قبل الغوص في التنفيذ التقني، من الجدير فهم تطور وتنوع تقنيات التحقق من صحة البريد الإلكتروني المتاحة. من فحص النحو البسيط إلى الأساليب الحديثة القائمة على البيانات، تقدم طرق التحقق المختلفة مستويات متفاوتة من الدقة والموثوقية.

عند التحدث عن "مصادقة البريد الإلكتروني"، نشير إلى تقنية تهدف إلى توفير مستوى من اليقين للمستلم بأن الرسالة في الحقيقة صدرت عن المصدر المعلن عنه للرسالة. الفكرة هي تحقيق مستوى من الدفاع ضد البريد الإلكتروني الاحتيالي، مثل التصيد والاحتيال البريدي، الذي قد يضعف ثقة المستلم في استلام البريد الإلكتروني. بالنسبة للمنظمات التي تتطلب تشفير الرسائل على مستوى الرسالة إضافة إلى المصادقة، توفر S/MIME الأمان من طرف إلى طرف، مع جمع المفتاح العمومي للمستلم تلقائيًا مما يجعل التنفيذ أكثر قابلية للتوسع. ومع ذلك، فإن إرسال بريد إلكتروني مؤكد المصدر لا يعني بذاته أن البريد الإلكتروني جيد أو مرغوب فيه؛ وإنما يعني فقط أن البريد يمكن أن يتم تحديد سمعة للجهة المصدقة يمكن استخدامها بثقة في قرارات قبول البريد الإلكتروني ومكانته.

هناك شكلان رئيسيان لمصادقة البريد الإلكتروني يُستخدمان اليوم—إطار سياسة المرسل (SPF) و بريد التعريفات المفاتيح البريدية (DKIM). في هذه المقالة التدوينية، سأشرح ما هو SPF، وكيف يعمل.

قبل الغوص في التنفيذ التقني، من الجدير فهم تطور وتنوع تقنيات التحقق من صحة البريد الإلكتروني المتاحة. من فحص النحو البسيط إلى الأساليب الحديثة القائمة على البيانات، تقدم طرق التحقق المختلفة مستويات متفاوتة من الدقة والموثوقية.

عند التحدث عن "مصادقة البريد الإلكتروني"، نشير إلى تقنية تهدف إلى توفير مستوى من اليقين للمستلم بأن الرسالة في الحقيقة صدرت عن المصدر المعلن عنه للرسالة. الفكرة هي تحقيق مستوى من الدفاع ضد البريد الإلكتروني الاحتيالي، مثل التصيد والاحتيال البريدي، الذي قد يضعف ثقة المستلم في استلام البريد الإلكتروني. بالنسبة للمنظمات التي تتطلب تشفير الرسائل على مستوى الرسالة إضافة إلى المصادقة، توفر S/MIME الأمان من طرف إلى طرف، مع جمع المفتاح العمومي للمستلم تلقائيًا مما يجعل التنفيذ أكثر قابلية للتوسع. ومع ذلك، فإن إرسال بريد إلكتروني مؤكد المصدر لا يعني بذاته أن البريد الإلكتروني جيد أو مرغوب فيه؛ وإنما يعني فقط أن البريد يمكن أن يتم تحديد سمعة للجهة المصدقة يمكن استخدامها بثقة في قرارات قبول البريد الإلكتروني ومكانته.

هناك شكلان رئيسيان لمصادقة البريد الإلكتروني يُستخدمان اليوم—إطار سياسة المرسل (SPF) و بريد التعريفات المفاتيح البريدية (DKIM). في هذه المقالة التدوينية، سأشرح ما هو SPF، وكيف يعمل.

SPF ليس دليلاً كاملاً

على الرغم من أنه يبدو وسيلة بسيطة نسبيًا لمصادقة البريد الإلكتروني، فإن SPF عرضة للفشل في شكل سلبيات كاذبة. يمكن أن تحدث هذه الإخفاقات بشكل أكثر تكرارًا مما يرتاح له الكثيرون.

فيما يلي حالتان شائعتان يمكن أن يفشل فيهما البريد الإلكتروني السليم التحقق من SPF ويبدو أنه احتيالي:

  • إعادة توجيه تلقائية، حيث يتم إرسال رسالة إلى jsmith@alumni.university.edu، وهو صندوق بريد معد لإعادة توجيه جميع البريد تلقائيًا إلى jsmith@isp.com

  • قوائم البريد، حيث يتم إرسال البريد إلى talk-about-stuff@listserv.foo.com ويتم "تفجيرها" وإرسالها إلى كل مشترك

في كلتا الحالتين، إذا كانت المسار المرتجع لم تتغير عن الأصل، فقد يفشل البريد في اختبارات SPF (اعتمادًا على المعدل المستخدم مع آلية 'all'). وذلك لأنه يصل إلى وجهته النهائية من خادم وسيط، وليس الخادم الأصلي، ومن غير المرجح أن يكون هذا الخادم الوسيط في سجل SPF الخاص بالنطاق. يمكن لتقنية تُسمى "نظام إعادة كتابة المرسل" أو "SRS" أن تقلل هذا المخاطر، وقد اعتمدتها بعض المواقع الكبيرة، لكنها ليست عالمية.

على الرغم من أنه يبدو وسيلة بسيطة نسبيًا لمصادقة البريد الإلكتروني، فإن SPF عرضة للفشل في شكل سلبيات كاذبة. يمكن أن تحدث هذه الإخفاقات بشكل أكثر تكرارًا مما يرتاح له الكثيرون.

فيما يلي حالتان شائعتان يمكن أن يفشل فيهما البريد الإلكتروني السليم التحقق من SPF ويبدو أنه احتيالي:

  • إعادة توجيه تلقائية، حيث يتم إرسال رسالة إلى jsmith@alumni.university.edu، وهو صندوق بريد معد لإعادة توجيه جميع البريد تلقائيًا إلى jsmith@isp.com

  • قوائم البريد، حيث يتم إرسال البريد إلى talk-about-stuff@listserv.foo.com ويتم "تفجيرها" وإرسالها إلى كل مشترك

في كلتا الحالتين، إذا كانت المسار المرتجع لم تتغير عن الأصل، فقد يفشل البريد في اختبارات SPF (اعتمادًا على المعدل المستخدم مع آلية 'all'). وذلك لأنه يصل إلى وجهته النهائية من خادم وسيط، وليس الخادم الأصلي، ومن غير المرجح أن يكون هذا الخادم الوسيط في سجل SPF الخاص بالنطاق. يمكن لتقنية تُسمى "نظام إعادة كتابة المرسل" أو "SRS" أن تقلل هذا المخاطر، وقد اعتمدتها بعض المواقع الكبيرة، لكنها ليست عالمية.

على الرغم من أنه يبدو وسيلة بسيطة نسبيًا لمصادقة البريد الإلكتروني، فإن SPF عرضة للفشل في شكل سلبيات كاذبة. يمكن أن تحدث هذه الإخفاقات بشكل أكثر تكرارًا مما يرتاح له الكثيرون.

فيما يلي حالتان شائعتان يمكن أن يفشل فيهما البريد الإلكتروني السليم التحقق من SPF ويبدو أنه احتيالي:

  • إعادة توجيه تلقائية، حيث يتم إرسال رسالة إلى jsmith@alumni.university.edu، وهو صندوق بريد معد لإعادة توجيه جميع البريد تلقائيًا إلى jsmith@isp.com

  • قوائم البريد، حيث يتم إرسال البريد إلى talk-about-stuff@listserv.foo.com ويتم "تفجيرها" وإرسالها إلى كل مشترك

في كلتا الحالتين، إذا كانت المسار المرتجع لم تتغير عن الأصل، فقد يفشل البريد في اختبارات SPF (اعتمادًا على المعدل المستخدم مع آلية 'all'). وذلك لأنه يصل إلى وجهته النهائية من خادم وسيط، وليس الخادم الأصلي، ومن غير المرجح أن يكون هذا الخادم الوسيط في سجل SPF الخاص بالنطاق. يمكن لتقنية تُسمى "نظام إعادة كتابة المرسل" أو "SRS" أن تقلل هذا المخاطر، وقد اعتمدتها بعض المواقع الكبيرة، لكنها ليست عالمية.

نظرة عامة على SPF

إطار سياسة المرسل (SPF)، للتعبير بشكل مختلف RFC 7208، هو بروتوكول يسمح لمنظمة ما بترخيص المضيفين والشبكات لاستخدام أسماء نطاقاتها عند إرسال البريد الإلكتروني، ويوفر أيضًا طريقة يمكن للمضيف المستلم التحقق من هذا الترخيص.

عند الانتهاء من قراءة هذا المقال، آمل أن تكون قد تعلمت ما يلي:

  • SPF هو نظام مصادقة يستند إلى "المسار".

  • سياسات SPF يتم الإعلان عنها في سجلات DNS TXT.

  • التحقق يتم تعيينه إلى نطاق Return-Path (ما نسميه هنا في SparkPost بـ "نطاق الارتداد") أو نطاق HELO.

  • يمكن تنفيذ التحقق مبكرًا في صفقة SMTP، لذا فهو فحص جيد لاستخدامه لرفض البريد غير الموثق بسرعة.

  • إنه عرضة لنسبة عالية نسبيًا من السلبيات الكاذبة.

إطار سياسة المرسل (SPF)، للتعبير بشكل مختلف RFC 7208، هو بروتوكول يسمح لمنظمة ما بترخيص المضيفين والشبكات لاستخدام أسماء نطاقاتها عند إرسال البريد الإلكتروني، ويوفر أيضًا طريقة يمكن للمضيف المستلم التحقق من هذا الترخيص.

عند الانتهاء من قراءة هذا المقال، آمل أن تكون قد تعلمت ما يلي:

  • SPF هو نظام مصادقة يستند إلى "المسار".

  • سياسات SPF يتم الإعلان عنها في سجلات DNS TXT.

  • التحقق يتم تعيينه إلى نطاق Return-Path (ما نسميه هنا في SparkPost بـ "نطاق الارتداد") أو نطاق HELO.

  • يمكن تنفيذ التحقق مبكرًا في صفقة SMTP، لذا فهو فحص جيد لاستخدامه لرفض البريد غير الموثق بسرعة.

  • إنه عرضة لنسبة عالية نسبيًا من السلبيات الكاذبة.

إطار سياسة المرسل (SPF)، للتعبير بشكل مختلف RFC 7208، هو بروتوكول يسمح لمنظمة ما بترخيص المضيفين والشبكات لاستخدام أسماء نطاقاتها عند إرسال البريد الإلكتروني، ويوفر أيضًا طريقة يمكن للمضيف المستلم التحقق من هذا الترخيص.

عند الانتهاء من قراءة هذا المقال، آمل أن تكون قد تعلمت ما يلي:

  • SPF هو نظام مصادقة يستند إلى "المسار".

  • سياسات SPF يتم الإعلان عنها في سجلات DNS TXT.

  • التحقق يتم تعيينه إلى نطاق Return-Path (ما نسميه هنا في SparkPost بـ "نطاق الارتداد") أو نطاق HELO.

  • يمكن تنفيذ التحقق مبكرًا في صفقة SMTP، لذا فهو فحص جيد لاستخدامه لرفض البريد غير الموثق بسرعة.

  • إنه عرضة لنسبة عالية نسبيًا من السلبيات الكاذبة.

المصادقة القائمة على المسار

يُعتبر SPF نظام مصادقة قائم على المسار لأنه مرتبط فقط بالمسار الذي سلكته الرسالة للوصول من مصدرها إلى وجهتها. عندما يبدأ خادم الإرسال معاملة SMTP مع خادم الاستقبال، سيحدد خادم الاستقبال ما إذا كان مسموحًا لخادم الإرسال إرسال تلك الرسالة بناءً على سياسة SPF للنطاق. إنه قرار يستند فقط إلى المكان الذي تأتي منه الرسالة، دون أي علاقة بمحتوى الرسالة.

يُعتبر SPF نظام مصادقة قائم على المسار لأنه مرتبط فقط بالمسار الذي سلكته الرسالة للوصول من مصدرها إلى وجهتها. عندما يبدأ خادم الإرسال معاملة SMTP مع خادم الاستقبال، سيحدد خادم الاستقبال ما إذا كان مسموحًا لخادم الإرسال إرسال تلك الرسالة بناءً على سياسة SPF للنطاق. إنه قرار يستند فقط إلى المكان الذي تأتي منه الرسالة، دون أي علاقة بمحتوى الرسالة.

يُعتبر SPF نظام مصادقة قائم على المسار لأنه مرتبط فقط بالمسار الذي سلكته الرسالة للوصول من مصدرها إلى وجهتها. عندما يبدأ خادم الإرسال معاملة SMTP مع خادم الاستقبال، سيحدد خادم الاستقبال ما إذا كان مسموحًا لخادم الإرسال إرسال تلك الرسالة بناءً على سياسة SPF للنطاق. إنه قرار يستند فقط إلى المكان الذي تأتي منه الرسالة، دون أي علاقة بمحتوى الرسالة.

إعلان سياسة SPF

أحد سجلات سياسة SPF للنطاق هو مجرد سجل DNS TXT مُنسق بشكل محدد، وعادةً ما يحتوي على واحد أو أكثر من المكونات التالية:

  • v=spf1 - الرمز الأول المطلوب للإشارة إلى أن السجل TXT هو سجل SPF (يمكن أن يكون للنطاق عدة سجلات TXT)

  • ipv4, ipv6 - يُستخدم لتحديد عناوين IP والشبكات التي يُسمح لها بإرسال البريد للنطاق

  • a - إذا كان للنطاق المرسل سجل DNS “A” الذي يحل إلى IP المرسل، يُسمح بـ IP

  • mx - إذا كان IP المرسل هو أيضًا أحد سجلات MX للنطاق المرسل، يُسمح بـ IP

  • all - الرمز الأخير المطلوب، دائمًا مُعدّل:

    • -all - فقط ما هو مذكور هنا يمكن أن يمر؛ رفض الفشل.

    • ~all - ما ليس هنا يجب أن يفشل نرمياً؛ قبوله ولكن تدوين ذلك.

    • ?all - غير متأكد إذا كان ما ليس هنا يجب أن يمر.

    • +all - نعتقد أن SPF غير مجدي؛ يمرر كل شيء.

آليات أخرى أقل شيوعًا لا تزال قيد الاستخدام بشكل واسع هي:

  • include - يُستخدم عندما لا يكون للنطاق خوادمه الخاصة فقط، بل يستخدم أيضًا خوادم شخص آخر. يجب استخدامه بحكمة. كل تضمين هو استعلام DNS آخر، ولا يمكن أن تتطلب سجلات SPF أكثر من عشرة استعلامات DNS للحل.

  • redirect - عندما يكون النطاقان A وB مملوكين لنفس الكيان ويستخدمان نفس البنية التحتية. يريد المالكون عادةً الحفاظ على نسخة واحدة من سجل SPF لكلا النطاقين، وتكوين B لإعادة توجيه الاستعلامات إلى A.

  • exists - إذا كان للنطاق الكثير من كتل الشبكة الصغيرة وغير المتجاورة، يمكنه استخدام هذه الآلية لتحديد سجل SPF الخاص به، بدلاً من سردها جميعًا. مفيد للبقاء ضمن حد الحجم (512 بايت) لاستجابة DNS.

ملاحظة حول آلية “ptr”

كانت هناك آلية أخيرة،

أحد سجلات سياسة SPF للنطاق هو مجرد سجل DNS TXT مُنسق بشكل محدد، وعادةً ما يحتوي على واحد أو أكثر من المكونات التالية:

  • v=spf1 - الرمز الأول المطلوب للإشارة إلى أن السجل TXT هو سجل SPF (يمكن أن يكون للنطاق عدة سجلات TXT)

  • ipv4, ipv6 - يُستخدم لتحديد عناوين IP والشبكات التي يُسمح لها بإرسال البريد للنطاق

  • a - إذا كان للنطاق المرسل سجل DNS “A” الذي يحل إلى IP المرسل، يُسمح بـ IP

  • mx - إذا كان IP المرسل هو أيضًا أحد سجلات MX للنطاق المرسل، يُسمح بـ IP

  • all - الرمز الأخير المطلوب، دائمًا مُعدّل:

    • -all - فقط ما هو مذكور هنا يمكن أن يمر؛ رفض الفشل.

    • ~all - ما ليس هنا يجب أن يفشل نرمياً؛ قبوله ولكن تدوين ذلك.

    • ?all - غير متأكد إذا كان ما ليس هنا يجب أن يمر.

    • +all - نعتقد أن SPF غير مجدي؛ يمرر كل شيء.

آليات أخرى أقل شيوعًا لا تزال قيد الاستخدام بشكل واسع هي:

  • include - يُستخدم عندما لا يكون للنطاق خوادمه الخاصة فقط، بل يستخدم أيضًا خوادم شخص آخر. يجب استخدامه بحكمة. كل تضمين هو استعلام DNS آخر، ولا يمكن أن تتطلب سجلات SPF أكثر من عشرة استعلامات DNS للحل.

  • redirect - عندما يكون النطاقان A وB مملوكين لنفس الكيان ويستخدمان نفس البنية التحتية. يريد المالكون عادةً الحفاظ على نسخة واحدة من سجل SPF لكلا النطاقين، وتكوين B لإعادة توجيه الاستعلامات إلى A.

  • exists - إذا كان للنطاق الكثير من كتل الشبكة الصغيرة وغير المتجاورة، يمكنه استخدام هذه الآلية لتحديد سجل SPF الخاص به، بدلاً من سردها جميعًا. مفيد للبقاء ضمن حد الحجم (512 بايت) لاستجابة DNS.

ملاحظة حول آلية “ptr”

كانت هناك آلية أخيرة،

أحد سجلات سياسة SPF للنطاق هو مجرد سجل DNS TXT مُنسق بشكل محدد، وعادةً ما يحتوي على واحد أو أكثر من المكونات التالية:

  • v=spf1 - الرمز الأول المطلوب للإشارة إلى أن السجل TXT هو سجل SPF (يمكن أن يكون للنطاق عدة سجلات TXT)

  • ipv4, ipv6 - يُستخدم لتحديد عناوين IP والشبكات التي يُسمح لها بإرسال البريد للنطاق

  • a - إذا كان للنطاق المرسل سجل DNS “A” الذي يحل إلى IP المرسل، يُسمح بـ IP

  • mx - إذا كان IP المرسل هو أيضًا أحد سجلات MX للنطاق المرسل، يُسمح بـ IP

  • all - الرمز الأخير المطلوب، دائمًا مُعدّل:

    • -all - فقط ما هو مذكور هنا يمكن أن يمر؛ رفض الفشل.

    • ~all - ما ليس هنا يجب أن يفشل نرمياً؛ قبوله ولكن تدوين ذلك.

    • ?all - غير متأكد إذا كان ما ليس هنا يجب أن يمر.

    • +all - نعتقد أن SPF غير مجدي؛ يمرر كل شيء.

آليات أخرى أقل شيوعًا لا تزال قيد الاستخدام بشكل واسع هي:

  • include - يُستخدم عندما لا يكون للنطاق خوادمه الخاصة فقط، بل يستخدم أيضًا خوادم شخص آخر. يجب استخدامه بحكمة. كل تضمين هو استعلام DNS آخر، ولا يمكن أن تتطلب سجلات SPF أكثر من عشرة استعلامات DNS للحل.

  • redirect - عندما يكون النطاقان A وB مملوكين لنفس الكيان ويستخدمان نفس البنية التحتية. يريد المالكون عادةً الحفاظ على نسخة واحدة من سجل SPF لكلا النطاقين، وتكوين B لإعادة توجيه الاستعلامات إلى A.

  • exists - إذا كان للنطاق الكثير من كتل الشبكة الصغيرة وغير المتجاورة، يمكنه استخدام هذه الآلية لتحديد سجل SPF الخاص به، بدلاً من سردها جميعًا. مفيد للبقاء ضمن حد الحجم (512 بايت) لاستجابة DNS.

ملاحظة حول آلية “ptr”

كانت هناك آلية أخيرة،

بعض سجلات SPF المثال

إليك بعض السجلات النموذجية ومعانيها. يوضح هذا المثال عناوين RFC 1918، لكني أدرك أن مثل هذه العناوين لن تظهر أبدًا في سجلات SPF الحقيقية.

  • سجل MX، عنوان IP واحد، شبكة IP واحدة، حالة فشل ناعم لكل شيء آخر:

    • “v=spf1 mx ipv4:10.0.0.1 ipv4:192.168.24.0/24 ~all”

  • سجل A، شبكتان IP، رفض كل شيء آخر:

    • “v=spf1 a ipv4:10.0.3.0/23 ipv4:192.168.55.0/26 -all”

  • نحن لا نرسل بريد:

    • “v=spf1 -all”

  • نعتقد أن SPF غبي:

    • “v=spf1 +all”

  • سجل SPF للنطاق sparkpostmail.com (آلية التوجيه المستخدمة)

    • “v=spf1 redirect=_spf.sparkpostmail.com”

  • سجل SPF لـ _spf.sparkpostmail.com (الميكانيزمات وجود وptr المستخدمة):

    • “v=spf1 exists:%{i}._spf.sparkpostmail.com ptr:sparkpostmail.com ptr:spmta.com ptr:flyingenvelope.com ~all”

في SparkPost، نستخدم حاليًا آلية ptr في سجل SPF الخاص بنا. وجدنا أنه ضروري بسبب نقص الدعم العالمي للتحقق من آلية الوجود. وحتى الآن، لم نشهد أي فشل في SPF بسبب استخدامنا لآلية ptr.

إليك بعض السجلات النموذجية ومعانيها. يوضح هذا المثال عناوين RFC 1918، لكني أدرك أن مثل هذه العناوين لن تظهر أبدًا في سجلات SPF الحقيقية.

  • سجل MX، عنوان IP واحد، شبكة IP واحدة، حالة فشل ناعم لكل شيء آخر:

    • “v=spf1 mx ipv4:10.0.0.1 ipv4:192.168.24.0/24 ~all”

  • سجل A، شبكتان IP، رفض كل شيء آخر:

    • “v=spf1 a ipv4:10.0.3.0/23 ipv4:192.168.55.0/26 -all”

  • نحن لا نرسل بريد:

    • “v=spf1 -all”

  • نعتقد أن SPF غبي:

    • “v=spf1 +all”

  • سجل SPF للنطاق sparkpostmail.com (آلية التوجيه المستخدمة)

    • “v=spf1 redirect=_spf.sparkpostmail.com”

  • سجل SPF لـ _spf.sparkpostmail.com (الميكانيزمات وجود وptr المستخدمة):

    • “v=spf1 exists:%{i}._spf.sparkpostmail.com ptr:sparkpostmail.com ptr:spmta.com ptr:flyingenvelope.com ~all”

في SparkPost، نستخدم حاليًا آلية ptr في سجل SPF الخاص بنا. وجدنا أنه ضروري بسبب نقص الدعم العالمي للتحقق من آلية الوجود. وحتى الآن، لم نشهد أي فشل في SPF بسبب استخدامنا لآلية ptr.

إليك بعض السجلات النموذجية ومعانيها. يوضح هذا المثال عناوين RFC 1918، لكني أدرك أن مثل هذه العناوين لن تظهر أبدًا في سجلات SPF الحقيقية.

  • سجل MX، عنوان IP واحد، شبكة IP واحدة، حالة فشل ناعم لكل شيء آخر:

    • “v=spf1 mx ipv4:10.0.0.1 ipv4:192.168.24.0/24 ~all”

  • سجل A، شبكتان IP، رفض كل شيء آخر:

    • “v=spf1 a ipv4:10.0.3.0/23 ipv4:192.168.55.0/26 -all”

  • نحن لا نرسل بريد:

    • “v=spf1 -all”

  • نعتقد أن SPF غبي:

    • “v=spf1 +all”

  • سجل SPF للنطاق sparkpostmail.com (آلية التوجيه المستخدمة)

    • “v=spf1 redirect=_spf.sparkpostmail.com”

  • سجل SPF لـ _spf.sparkpostmail.com (الميكانيزمات وجود وptr المستخدمة):

    • “v=spf1 exists:%{i}._spf.sparkpostmail.com ptr:sparkpostmail.com ptr:spmta.com ptr:flyingenvelope.com ~all”

في SparkPost، نستخدم حاليًا آلية ptr في سجل SPF الخاص بنا. وجدنا أنه ضروري بسبب نقص الدعم العالمي للتحقق من آلية الوجود. وحتى الآن، لم نشهد أي فشل في SPF بسبب استخدامنا لآلية ptr.

كيف تعمل مصادقة SPF؟

إليك كيف تبدو معاملة SMTP نموذجية عند وجود SPF:

  • يتصل الخادم المرسل (العميل) بالخادم المستلم

  • يسجل الخادم المستلم عنوان IP الخاص بالخادم المتصل

  • يتبادلون التحيات، بما في ذلك اسم المضيف HELO للعميل

  • يصدر العميل أمر SMTP MAIL FROM

يمكن للخادم المستلم الآن التحقق من سجل SPF لأي من نطاق MAIL FROM أو اسم المضيف HELO لتحديد ما إذا كان عنوان IP المتصل مخولًا بإرسال البريد للنطاق، واتخاذ القرار بقبول الرسالة أم لا.

إليك كيف تبدو معاملة SMTP نموذجية عند وجود SPF:

  • يتصل الخادم المرسل (العميل) بالخادم المستلم

  • يسجل الخادم المستلم عنوان IP الخاص بالخادم المتصل

  • يتبادلون التحيات، بما في ذلك اسم المضيف HELO للعميل

  • يصدر العميل أمر SMTP MAIL FROM

يمكن للخادم المستلم الآن التحقق من سجل SPF لأي من نطاق MAIL FROM أو اسم المضيف HELO لتحديد ما إذا كان عنوان IP المتصل مخولًا بإرسال البريد للنطاق، واتخاذ القرار بقبول الرسالة أم لا.

إليك كيف تبدو معاملة SMTP نموذجية عند وجود SPF:

  • يتصل الخادم المرسل (العميل) بالخادم المستلم

  • يسجل الخادم المستلم عنوان IP الخاص بالخادم المتصل

  • يتبادلون التحيات، بما في ذلك اسم المضيف HELO للعميل

  • يصدر العميل أمر SMTP MAIL FROM

يمكن للخادم المستلم الآن التحقق من سجل SPF لأي من نطاق MAIL FROM أو اسم المضيف HELO لتحديد ما إذا كان عنوان IP المتصل مخولًا بإرسال البريد للنطاق، واتخاذ القرار بقبول الرسالة أم لا.

MAIL FROM أو HELO - أيهما يجب التحقق منه؟

تحدد مواصفات SPF أنه يجب على المواقع المستقبلة التحقق من SPF للنطاق MAIL FROM، ويوصي بالتحقق من اسم المضيف HELO. في الممارسة العملية، يحدث التحقق فقط على نطاق MAIL FROM، باستثناء ربما في الأوقات التي يكون فيها عنوان MAIL FROM هو المرسل الفارغ (أي، “<>”)، وفي هذه الحالة يكون اسم المضيف HELO هو الهوية الوحيدة المتاحة.

تحدد مواصفات SPF أنه يجب على المواقع المستقبلة التحقق من SPF للنطاق MAIL FROM، ويوصي بالتحقق من اسم المضيف HELO. في الممارسة العملية، يحدث التحقق فقط على نطاق MAIL FROM، باستثناء ربما في الأوقات التي يكون فيها عنوان MAIL FROM هو المرسل الفارغ (أي، “<>”)، وفي هذه الحالة يكون اسم المضيف HELO هو الهوية الوحيدة المتاحة.

تحدد مواصفات SPF أنه يجب على المواقع المستقبلة التحقق من SPF للنطاق MAIL FROM، ويوصي بالتحقق من اسم المضيف HELO. في الممارسة العملية، يحدث التحقق فقط على نطاق MAIL FROM، باستثناء ربما في الأوقات التي يكون فيها عنوان MAIL FROM هو المرسل الفارغ (أي، “<>”)، وفي هذه الحالة يكون اسم المضيف HELO هو الهوية الوحيدة المتاحة.

أخبار أخرى

اقرأ المزيد من هذه الفئة

A person is standing at a desk while typing on a laptop.

المنصة الأصلية للذكاء الاصطناعي التي تتوسع مع عملك.

اتصل بالمبيعات

ابدأ مجانًا

© 2025 Bird

اتصل بالدعم

A person is standing at a desk while typing on a laptop.

المنصة الأصلية للذكاء الاصطناعي التي تتوسع مع عملك.

اتصل بالمبيعات

ابدأ مجانًا

© 2025 Bird

اتصل بالدعم

A person is standing at a desk while typing on a laptop.

المنصة الأصلية للذكاء الاصطناعي التي تتوسع مع عملك.

اتصل بالمبيعات

ابدأ مجانًا

© 2025 Bird

اتصل بالدعم