Я навчився на власному досвіді, що таке SPF насправді означає. Одного п’ятничного післяобіддя я переключив наш продакшн-домен із режиму softfail у режим hardfail, повністю забувши про платформу подій, яку налаштовували місяцями раніше. Електронні листи просто зникли. Цей п’ятничний день навчив мене чогось важливого: чи справді ви знаєте, звідки походить кожне ваше повідомлення, і чи готові ви до наслідків доставки, якщо щось піде не так?

З того часу я ставлюся до змін SPF так само методично, як пілоти — з перевірками, запобіжниками і ніколи не поспішаючи.

Дозвольте мені пояснити, що насправді відбувається під капотом. SPF (система політики відправника) — це система автентифікації електронної пошти на основі DNS. Ви публікуєте запис SPF у вигляді TXT-запису DNS у своєму домені, який повідомляє приймальним серверам, які хости мають право надсилати пошту від вашого імені. Ці сервери перевіряють ваші механізми (ip4, ip6, a, mx, include) і кваліфікатори, потім видають результат: pass, none, neutral, softfail, hardfail, temperror або permerror.

Ключова різниця полягає у кінцевому кваліфікаторі. Softfail (~all) означає «це виглядає неавторизованим, але рухайтеся обережно». Hardfail (-all) означає «лише вказані хости є легітимними — блокувати все інше». Цей один символ змінює ставлення поштових провайдерів до ваших повідомлень.

Ось де це стає практичним. З softfail зазвичай листи потрапляють до папки спаму або карантину. З hardfail, особливо коли налаштовано DMARC, ви можете отримати outright-відхилення на поштовому сервері. Microsoft 365 і Outlook зазвичай поєднують SPF з DKIM і фільтрами контенту. Google і Yahoo сильно покладаються на DMARC і репутацію відправника. Тому softfail може потрапити до папки «Рекламні», а hardfail із DMARC-налаштуванням — означає рішуче блокування.

Я ніколи не переходжу одразу до hardfail. Мій шлях завжди: нейтраль (?all) → softfail (~all) → hardfail (-all). Під час досліджень, коли я не впевнений у старих потоках пошти або IP-діапазонах постачальників, я використовую softfail. Це позначає неправильне використання домену без зниження доставляємості, поки я не інвентаризую всі джерела відправки — CRM, автоматизація маркетингу, квиткові системи, HR, фінанси, навіть принтери.

Після того, як я підтверджу кожного авторизованого відправника і DKIM буде послідовним скрізь, я переходжу до hardfail. Ризик справді існує: softfail дає кращу доставляємость під час інвентаризації, але з більшим ризиком, що фішинг пройде як спам, а не буде заблокований. Hardfail забезпечує сильніший захист, але може зламати легітимну пошту, якщо ви пропустили когось.

Я бачив, як команди перевищують ліміт у 10 DNS-запитів через надмірне вкладення include. Бачив, як вони забувають сезонних постачальників, таких як Livestorm або Prismic webhook-и. І спостерігав, як люди вважають, що DMARC врятує зламаний SPF — ні, без налаштування на відповідність це не спрацює.

Головний урок: ставте SPF, DKIM і DMARC у систему, а не розглядайте їх ізольовано. Пересилання пошти порушує SPF, бо IP-адреса змінюється. Якщо ви використовуєте SRS (Sender Rewriting Scheme), все гаразд. Якщо ні — softfail може бути єдиним захистом від дружнього вогню. Саме тому я ретельно слідкую за звітами DMARC і читаю заголовки Authentication-Results, коли щось не так.

Мій безпечний план розгортання: спершу картографую всі поштові сервери і робочі процеси, підтверджую DKIM скрізь, активую DMARC у політиці p=none для збору даних, переводжу SPF у режим softfail і спостерігаю за двома циклами відправки, досліджую всі неавторизовані відправники, а потім проводжу сухе тестування політики відхилення перед перемиканням у режим hardfail.

За останні кілька років Google і Yahoo посилили вимоги до автентифікації. Впровадження політики стає все більш багатосигнальним: режим SPF, підпис DKIM, політика DMARC, контент і репутація — все має значення. Тому я ніколи не ставлю SPF у ізоляції. Hardfail без надійного DKIM може все одно погіршити доставляємость, якщо поширене пересилання.

Найбільша помилка, яку я все ще бачу: команди переходять до hardfail раніше, ніж DKIM стане скрізь доступним, або довго користуються softfail, поки зловмисники адаптуються і підробка пошти процвітає в цій невизначеності. Це баланс, але шлях зрозумілий, якщо діяти методично.