Logo agencji ROAN24 Gorzów Wielkopolski Pozycjonowanie Tworzenie Projektowanie Hosting Stron Sklepów internetowych
Wirtualny serwer prywatny

SPF w celu ochrony poczty

SPF (Sender Policy Framework) – Czyli narzędzie do określenia, które serwery są upoważnione do wysyłania poczty w imieniu naszej domeny. Czyli wpis dla domeny example.com będzie określał co należy zrobić z wiadomościami od jakiejkolwiek osoby z @example.com. Pozwala on na odrzucenie wiadomości lub tylko oznaczenie jej i powiadomienie o ewentualnej próbie podszycia się pod tą domenę.

Sprawdzenie SPF

Prosta zasada sprawdzenia SPF odbywa się przez odpytanie serwera DNS o rekord txt domeny adresu email (np. info@roan24.pl to domena roan24.pl). Czyli „dig roan24.pl txt” zwróci nam: „v=spf1 a mx ip4:178.33.3.224 -all” czyli domena posiada wpis spf wersji 1 (v=spf1) i z danej domeny może pocztę wysyłać jedynie z adresów ip, które znajdują się we wpisie A (a), MX (mx) lub posiada ip wersji 4 178.33.3.224 (ip4:178.33.3.224). Co do wpisów a oraz mx jak one działają można przeczytać w naszym artykule podstawy DNS.
Później pozostaje tylko sprawdzenie co należy zrobić z tą wiadomością, czyli wpis „all”, najczęściej używany jest „~all” czyli przyjmij, ale oznacz o możliwości oszustwa, lub „-all” jeśli serwer wysyłający nie jest na liście SPF to odrzuć wiadomość bez dalszego sprawdzania.

Jak wprowadzić SPF

Dokładny opis całej składni można znaleźć na stronie openspf jednak w wersji angielskiej. Jednak opiszę tutaj mam nadzielę zrozumiale, jakiej składni użyć, aby wprowadzić SPF  w celu ochrony poczty na naszej domenie.
Więc tak zawsze użyjemy na początku v=spf1, jako że opiszę tutaj wersję pierwszą spf (na razie nie ma wersji drugiej). Więc mamy wpis:
v=spf1
Taki wpis jeszcze nic nie mówi dodajmy teraz do niego końcówkę, czyli znacznik all – oznacza on jak mamy potraktować wiadomość, którą sprawdzamy spf. I tak możemy go poprzedzić czterema znakami „+” czyli jest ok, „-” czyli nie zdało, „~” że jest podejrzane, „?” neutralne.
I tak, jeśli wpis wygląda „+all” i host wysyłający nie jest na liście to mamy przyjąć taką wiadomość.
Jeśli jest „~all” i host nie jest na liście mamy przyjąć taką wiadomość, ale ją oznaczyć jako błąd spf, lub podejrzana o bycie spamem.
Jeśli mamy „-all”, zalecane przeze mnie oznacza, że jeśli serwera nie ma na liście to wiadomość od niego powinna zostać odrzucona.
Wpis „?all” oznacza, że w zasadzie nic się nie stało czy jest, czy go nie ma – w skrócie mogłoby tego wpisu nie być.
Polecam używać albo „~all” jeśli często zmieniają się nam adresy i możemy mieć problemy ze wpisaniem wszystkich, albo „-all” jeśli znamy dokładnie adresy naszych serwerów i nie zmieniają się za często.
v=spf1 -all
Mając początek i koniec wprowadzimy teraz na naszą listę adresy ip lub wpisy (pośrodku wpisu).
A – czyli że serwer znajdujący się we wpisie a może wysyłać pocztę. UWAGA, Jeśli korzystamy z jakiegoś proxy albo cdn (np. cloudflare) to nie powinniśmy tego wpisywać, gdyż nasz serwer pocztowy nie powinien być upoważniony do wysyłania poczty w naszym imieniu.
MX czyli serwer z adresu MX może wysyłać pocztę, zazwyczaj jest to poprawnie wprowadzone, trzeba tutaj zauważyć, że jak zmienimy adres serwera we wpisie MX to nie musimy już zmieniać wpisu SPF co ułatwia pracę, czasami może się zdarzyć, że korzystamy z bramki do odbierania maili i nie powinien ten wpis być użyty.
ip4 – czyli jeden adres ip lub adres ip/maska (np. 192.168.0.0/24 to – 192.168.0.0 do 192.168.0.255) oznacza konkretne adresy ip wersji czwartej, które są upoważnione do wysyłania poczty.
ip6 – na tej samej zasadzie co adresy ip4 jednak dotyczy to tylko adresów w wersji 6.
Jeszcze znajdują się dodatkowe wpisy jak na przykład „include” oraz „redirect”, include dołącza wpisy z podanej domeny (poprzez wyszukanie txt) a redirect przekierowuje do innej domeny gdzie możemy we wpisie txt znaleźć wskazówki odnośnie SPF.
Także stworzenie wpisu SPF nie jest trudne nawet dla większych dostawców poczty i zaleca się je wprowadzić, należy tylko pamiętać, że trzeba go aktualizować jak zmienimy adres ip serwera poczty i nie jest on dodany przez MX. Dla małych domen zalecamy użycie krótkich wpisów z dodaniem na przykład tylko wpisu mx. dla wszystkich naszych klientów wystarczy:
v=spf1 mx ip4:178.33.3.224 -all

Podsumowanie

SPF nie jest idealnym zabezpieczaniem naszej poczty, ale jest na tyle łatwy do wprowadzania i odpowiednio sformatowany może znacznie ograniczyć wyłudzenia związane z podszywaniem się pod naszą domenę pocztową.

Należy pamiętać, że korzystając z witryny bez zmiany ustawień przeglądarki, użytkownik wyraża zgodę na politykę prywatności i przechowywanie plików cookie, które umożliwiają sprawne działanie naszej witryny.