BetaSPFWise jest w wersji Beta, a wszystkie funkcje są bezpłatne do jej zakończenia. Więcej informacji otrzymasz po rejestracji.
basics

Czym jest Return-Path (adres zwrotny koperty)?

Return-Path (adres zwrotny koperty) to ukryty adres, który SPF faktycznie sprawdza i pod który trafiają odbicia. Dowiedz się, czym różni się od widocznego pola From, dlaczego decyduje o zgodności SPF na potrzeby DMARC i jak własna domena odbić naprawia ruch z ESP.

5 lip 20267 min czytania

Return-Path, nazywany też adresem zwrotnym koperty, adresem odbić lub MAIL FROM, to adres, którego serwer odbierający używa do dostarczania powiadomień o odbiciach, oraz domena, którą SPF w rzeczywistości weryfikuje. Jest ustawiany podczas rozmowy SMTP, a nie wpisywany przez osobę tworzącą wiadomość, i w większości skrzynek pozostaje ukryty za widocznym nagłówkiem From. Poprawne ustawienie tego adresu decyduje o tym, czy SPF jedynie przechodzi pomyślnie, czy też pomaga Ci przejść DMARC.

Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.

Dwa różne adresy nadawcy

Każdy e-mail niesie dwie odrębne tożsamości nadawcy, które łatwo pomylić, ponieważ często wyglądają tak samo.

  • Adres zwrotny koperty (RFC5321.MailFrom) jest negocjowany podczas transakcji SMTP za pomocą polecenia MAIL FROM:. Serwer odbierający zapisuje go i po zaakceptowaniu wiadomości umieszcza w niej jako nagłówek Return-Path:. Odbiorcy rzadko go widzą.
  • Nagłówek From (RFC5322.From) to adres wewnątrz treści wiadomości, który Twój program pocztowy wyświetla jako nadawcę. To tożsamość widoczna dla człowieka.

Pomocna jest pewna analogia. Papierowy list ma adres zwrotny wydrukowany na tylnej stronie koperty oraz podpis w środku listu. Poczta czyta kopertę, aby zdecydować, dokąd trafi list niemożliwy do doręczenia; czytelnik patrzy na podpis, aby ustalić, kto go napisał. Poczta e-mail działa tak samo. Adres zwrotny koperty kieruje niepowodzeniami, a nagłówek From to element, któremu ufa czytelnik.

Ponieważ te dwa adresy mogą się różnić, wiadomość może wyświetlać w skrzynce billing@yourbrand.com, podczas gdy jej Return-Path to coś w rodzaju bounces@esp-provider.net. Samo w sobie nie jest to niczym złym, ale ma bezpośrednie konsekwencje dla uwierzytelniania.

Dlaczego SPF sprawdza Return-Path, a nie widoczne pole From

To najczęściej źle rozumiany fakt na temat SPF. SPF (Sender Policy Framework, RFC 7208) nie patrzy na nagłówek From, który widzą Twoi odbiorcy. Uwierzytelnia domenę w adresie zwrotnym koperty MAIL FROM oraz nazwę hosta HELO/EHLO, którą ogłasza serwer wysyłający.

Gdy serwer odbierający ocenia SPF, pobiera domenę z Return-Path, wyszukuje rekord SPF TXT tej domeny i sprawdza, czy łączący się adres IP jest autoryzowany. Jeśli domeną Twojego Return-Path jest esp-provider.net, to SPF sprawdza esp-provider.net, a odpowiedź zależy wyłącznie od rekordu SPF tego dostawcy, a nie Twojego. Twój starannie napisany rekord SPF dla yourbrand.com nigdy nie jest brany pod uwagę przy tej wiadomości.

Właśnie dlatego SPF i DKIM różnią się tym, co chronią. SPF wiąże ścieżkę transportu z domeną koperty, natomiast DKIM podpisuje treść wiadomości i może bezpośrednio obejmować nagłówek From. Pełne porównanie znajdziesz w artykule SPF a DKIM: jaka jest różnica oraz w szerszym opracowaniu SPF, DKIM i DMARC wyjaśnione.

SPF pass to nie to samo co zgodność SPF

Tutaj zespoły utykają. SPF może zwrócić czysty wynik pass, a DMARC i tak może zakończyć się niepowodzeniem. DMARC nie interesuje to, że SPF przeszedł w izolacji; interesuje go, czy domena, którą SPF uwierzytelnił, jest zgodna z domeną w nagłówku From.

Zgodność DMARC porównuje dwie domeny:

TożsamośćŹródłoWykorzystywana przez
RFC5321.MailFrom (Return-Path)koperta SMTPzgodność SPF
RFC5322.From (widoczny nadawca)nagłówek wiadomościpunkt odniesienia DMARC

Aby SPF mógł przyczynić się do zaliczenia DMARC, domena Return-Path musi być zgodna z domeną From. Istnieją dwa tryby:

  • Zgodność złagodzona (domyślna) pozwala na dopasowanie domen organizacyjnych. Return-Path bounce.yourbrand.com jest zgodny z From yourbrand.com, ponieważ mają tę samą domenę rejestrowalną.
  • Zgodność ścisła wymaga dokładnego, znak po znaku, dopasowania domen.

Jeśli więc wysyłasz jako yourbrand.com, ale Twój ESP oznacza Return-Path jako esp-provider.net, SPF przechodzi dla esp-provider.net, a następnie nie osiąga zgodności, ponieważ esp-provider.net to nie yourbrand.com. DMARC traktuje to jako niepowodzenie SPF. Mechanikę trybu złagodzonego i ścisłego omawia zgodność złagodzona a ścisła w DMARC, a powiązaną stronę DKIM - jak naprawić zgodność DKIM.

Jak własny (markowy) Return-Path naprawia zgodność

Rozwiązaniem jest umieszczenie adresu zwrotnego koperty w obrębie Twojej własnej domeny. Niemal każdy dostawca usług e-mail obsługuje to poprzez własny Return-Path, nazywany czasem własną domeną odbić, własną domeną MAIL FROM lub subdomeną return-path.

Typowa konfiguracja:

  1. Wybierasz subdomenę, na przykład bounce.yourbrand.com lub em.yourbrand.com.
  2. Dodajesz rekord CNAME, który wskazuje tę subdomenę na nazwę hosta podaną przez ESP. Ten CNAME łączy się łańcuchowo z rekordem SPF i infrastrukturą odbić dostawcy, dzięki czemu dziedziczysz jego autoryzowane adresy IP nadawania bez ponownego publikowania ich samodzielnie.
  3. ESP oznacza wtedy bounce.yourbrand.com jako Return-Path na Twojej wychodzącej poczcie zamiast swojej współdzielonej wartości domyślnej.

Teraz cała sekwencja działa od początku do końca. SPF uwierzytelnia bounce.yourbrand.com, ta subdomena współdzieli domenę organizacyjną yourbrand.com, nagłówek From to yourbrand.com, a w trybie zgodności złagodzonej te dwa elementy się dopasowują. SPF jednocześnie przechodzi i jest zgodny, więc liczy się na potrzeby DMARC.

Amazon SES to częsty wyjątek od schematu opartego wyłącznie na CNAME. Jego własna domena MAIL FROM wymaga rekordu MX, aby można było odbierać odbicia, oraz rekordu TXT zawierającego wartość SPF v=spf1 include:amazonses.com ~all, zamiast pojedynczego CNAME. SES wymaga też dokładnie jednego rekordu MX na tej subdomenie; dodatkowe rekordy MX powodują niepowodzenie konfiguracji. Kroki właściwe dla poszczególnych dostawców znajdziesz w przewodnikach takich jak uwierzytelnianie domeny w SendGrid oraz konfiguracja SPF, DKIM i DMARC w Amazon SES.

Obsługa odbić: drugie zadanie Return-Path

Poza uwierzytelnianiem Return-Path istnieje w swoim pierwotnym celu: przechwytywaniu niepowodzeń. Gdy wiadomości nie da się dostarczyć, serwer odbierający lub pośredni przeskok generuje powiadomienie o statusie dostarczenia (odbicie) i wysyła je na adres Return-Path, a nie na nagłówek From.

Ma to znaczenie z dwóch powodów.

  • Higiena listy. Odbicia to sposób, w jaki dowiadujesz się, które adresy są martwe. Jeśli Return-Path wskazuje na domyślną domenę Twojego ESP, dostawca przetwarza te odbicia i automatycznie blokuje niepoprawne adresy. Przy własnym Return-Path w obrębie Twojej domeny ESP nadal odbiera i analizuje odbicia, ponieważ CNAME lub MX kierują je z powrotem do jego infrastruktury. Zachowujesz zgodność i utrzymujesz automatyczne blokowanie. Różnicę między trwałym niepowodzeniem 5xx a tymczasową ponowną próbą 4xx wyjaśnia twarde odbicie a miękkie odbicie oraz kody błędów SMTP wyjaśnione.
  • Pusty Return-Path jest w pełni prawidłowy. Wiadomości automatyczne, w tym same powiadomienia o odbiciach, używają pustego adresu zwrotnego koperty zapisywanego jako <>. Ten pusty Return-Path zapobiega pętlom pocztowym, ponieważ w przeciwnym razie odbicie odbicia odbijałoby się w nieskończoność. Gdy koperta jest pusta, SPF nie ma skrzynki MAIL FROM do sprawdzenia i zamiast tego ocenia tożsamość HELO/EHLO serwera wysyłającego.

Odczytywanie Return-Path w prawdziwej wiadomości

Możesz potwierdzić to wszystko z surowych nagłówków dowolnego otrzymanego e-maila. Poszukaj wiersza Return-Path:, który wstawia ostatni serwer odbierający, i porównaj jego domenę z wierszem From:. Następnie sprawdź nagłówek Authentication-Results:, który zapisuje wnioski SPF i DMARC, w tym frazy takie jak spf=pass obok domeny smtp.mailfrom, która została sprawdzona.

Jeśli smtp.mailfrom pokazuje domenę dostawcy, podczas gdy From pokazuje Twoją, znalazłeś lukę w zgodności. Instrukcję krok po kroku znajdziesz w jak czytać nagłówki e-maili, aby sprawdzić SPF, DKIM i DMARC. Przekazywanie wiadomości to powiązana pułapka: przekierowujący przepisuje ścieżkę dostarczania i często psuje SPF względem koperty, dlatego przekazywanie e-maili psuje SPF i dlatego DMARC opiera się na DKIM, aby to przetrwać.

Częste błędy związane z Return-Path

  • Publikowanie idealnego rekordu SPF dla yourbrand.com, ale nieskonfigurowanie własnego Return-Path, przez co SPF wciąż weryfikuje domenę ESP i nigdy nie osiąga zgodności.
  • Zakładanie, że spf=pass w nagłówkach oznacza spełnienie DMARC. Zawsze porównuj domenę smtp.mailfrom z domeną From.
  • Używanie ścisłej zgodności SPF (aspf=s), podczas gdy Twój Return-Path to subdomena taka jak bounce.yourbrand.com. W trybie ścisłym bounce.yourbrand.com nie równa się yourbrand.com i zgodność zawodzi. Używaj trybu złagodzonego, chyba że masz konkretny powód, by tego nie robić.
  • Wskazywanie własnej subdomeny odbić na niewłaściwą nazwę hosta ESP, co zrywa łańcuch CNAME i pozbawia zarówno autoryzacji SPF, jak i przetwarzania odbić.

Najczęściej zadawane pytania

Czy Return-Path to to samo co adres From?

Nie. Return-Path (adres zwrotny koperty) jest ustawiany podczas transakcji SMTP i jest miejscem, do którego trafiają odbicia, natomiast adres From to widoczny nadawca, którego wyświetla Twój program pocztowy. Mogą używać różnych domen, a SPF sprawdza Return-Path, a nie From.

Dlaczego mój SPF przechodzi, ale DMARC wciąż zawodzi?

DMARC potrzebuje zgodności, a nie samego wyniku SPF pass. Jeśli domena Twojego Return-Path należy do Twojego dostawcy poczty, podczas gdy nagłówek From używa Twojej własnej domeny, SPF przechodzi dla domeny dostawcy, ale nie jest zgodny z Twoją domeną From, więc DMARC zapisuje to jako niepowodzenie. Skonfigurowanie własnego Return-Path w obrębie Twojej domeny rozwiązuje ten problem.

Czym jest pusty Return-Path (<>)?

Pusty adres zwrotny koperty jest używany dla automatycznych wiadomości systemowych, zwłaszcza powiadomień o odbiciach, aby zapobiec nieskończonym pętlom pocztowym. Gdy Return-Path jest pusty, SPF nie ma domeny MAIL FROM do oceny i zamiast tego sprawdza nazwę hosta HELO/EHLO serwera wysyłającego.

Czy potrzebuję własnego Return-Path, jeśli już używam DKIM?

DKIM może samodzielnie spełnić DMARC, gdy jest zgodny, więc sama zgodność DKIM może Cię wystarczająco zabezpieczyć. Skonfigurowanie własnego Return-Path dodaje drugą zgodną metodę uwierzytelniania, co zwiększa odporność, gdy wiadomości są przekazywane lub gdy jeden podpis zostaje usunięty w tranzycie.

Nie masz pewności, czy Twój Return-Path jest zgodny z domeną From? Uruchom bezpłatne skanowanie za pomocą SPFWise, aby dokładnie zobaczyć, którą domenę uwierzytelnia SPF, czy jest ona zgodna na potrzeby DMARC i co należy naprawić.

Sprawdź własną domenę

Uruchom darmowe skanowanie i uzyskaj swoją ocenę wraz z dokładnymi rekordami do poprawienia.

Skanuj domenę

Powiązane poradniki