Я усвоил на собственном опыте, что такое SPF на самом деле. В один пятничный послеобеденный час я переключил наш производственный домен с режима softfail на hardfail, полностью забыв о платформе событий, которую мы настроили несколько месяцев назад. Электронные письма просто исчезли. Этот пятничный день научил меня важному: вы действительно знаете, откуда исходит вся ваша почта, и готовы ли вы к последствиям доставки, если ошибетесь?

С тех пор я меняю настройки SPF так же методично, как пилоты проверяют списки перед полетом — с осторожностью, с мерами предосторожности и никогда не торопясь.

Позвольте мне объяснить, что на самом деле происходит за кулисами. SPF (sender policy framework) — это система аутентификации электронной почты на основе DNS. Вы публикуете SPF-запись в виде TXT-записи DNS для вашего домена, которая сообщает принимающим серверам, какие хосты разрешены для отправки почты от вашего имени. Эти серверы проверяют ваши механизмы (ip4, ip6, a, mx, include) и квалификаторы, затем выдают результат: pass, none, neutral, softfail, hardfail, temperror или permerror.

Ключевое отличие заключается в конечном квалификаторе. Softfail (~all) говорит: «Это выглядит неавторизованным, но продолжайте осторожно». Hardfail (-all) говорит: «Только указанные хосты являются легитимными — блокируйте все остальное». Этот один символ меняет отношение почтовых провайдеров к вашим сообщениям.

Вот где это становится практическим. При softfail обычно письма попадают в папку спама или карантин. При hardfail, особенно если настроен DMARC, вы можете получить полное отклонение на почтовом сервере. Microsoft 365 и Outlook обычно комбинируют SPF с DKIM и фильтрами по содержимому. Google и Yahoo сильно полагаются на DMARC и репутацию отправителя. Поэтому softfail может оказаться в папке «Промоакции», а hardfail с DMARC-выравниванием — в блокировке.

Я никогда не перехожу сразу к hardfail. Мой путь всегда: нейтраль (?all) → softfail (~all) → hardfail (-all). В процессе обнаружения, когда я не уверен в старых потоках электронной почты или диапазонах IP поставщиков, я использую softfail. Он отмечает неправильное использование домена, не мешая доставке, пока я проверяю все источники отправки — CRM, автоматизацию маркетинга, тикетинг, HR, финансы, даже принтеры.

Когда я подтверждаю, что все авторизованные отправители проверены, и DKIM везде согласован, я перехожу к hardfail. Риск при этом реальный: softfail обеспечивает лучшую доставляемость во время инвентаризации, но увеличивает риск, что фишинг пройдет как спам, а не будет заблокирован. Hardfail обеспечивает более сильную безопасность, но может нарушить работу легитимной почты, если вы пропустили отправителя.

Я видел, как команды превышают лимит в 10 DNS-запросов за счет чрезмерной вложенности include. Я видел, как они забывают сезонных поставщиков, таких как Livestorm или Prismic webhooks. И я наблюдал, как люди полагают, что DMARC спасет сломанный SPF — не спасет, если нет выравнивания.

Настоящий урок: рассматривайте SPF, DKIM и DMARC как систему, а не отдельные части. Пересылка ломает SPF, потому что IP-адрес соединения меняется. Если вы используете SRS (Sender Rewriting Scheme), все в порядке. Если нет, softfail — это единственная защита от дружественного огня. Поэтому я obsessively слежу за отчетами DMARC и читаю заголовки Authentication-Results, когда что-то не так.

Мой безопасный план внедрения: сначала картировать все почтовые серверы и рабочие процессы, проверить DKIM везде, включить DMARC с p=none для сбора данных, перевести SPF в режим softfail и наблюдать за двумя циклами отправки, расследовать все неавторизованные отправители, а затем провести тестовую политику reject перед переходом на hardfail.

За последние пару лет Google и Yahoo ужесточили требования к аутентификации. Политика все больше основывается на множественных сигналах: режим SPF, подписи DKIM, политика DMARC, содержимое и репутация — все важно. Поэтому я никогда не рассматриваю SPF изолированно. Hardfail по SPF без надежного DKIM все равно может негативно сказаться на доставляемости, если часто пересылается.

Самая большая ошибка, которую я все еще вижу: команды переключают на hardfail раньше, чем DKIM становится везде распространен, или используют softfail вечно, пока злоумышленники адаптируются, а спуфинг почты процветает в этой неопределенности. Это баланс, но путь ясен, если действовать методично.