SPF w celu ochrony poczty

No Comments

SPF (Sender Policy Framework) – Czyli narzędzie do określenia które serwery są upoważnione do wysyłania poczty w imieniu naszej domeny. Czyli wpis dla domeny example.com będzie określał co należy zrobić z wiadomościami od jakiejkolwiek osoby z @example.com. Pozwala on na odrzucenie wiadomości lub tylko oznaczenie jej i powiadomienie o ewentualnej próbie podszycia się pod tą domenę.

Sprawdzenie SPF

Prosta zasada sprawdzenia SPF odbywa się przez odpytanie serwera DNS o rekord txt domeny adresu email (np. info@roan24.pl to domena roan24.pl). Czyli „dig roan24.pl txt” zwróci nam: „v=spf1 a mx ip4:178.33.3.224 -all” czyli domena posiada wpis spf wersji 1 (v=spf1), i z danej domeny może pocztę wysyłać jedynie z adresów ip które znajdują się we wpisie A (a), MX (mx) lub posiada ip wersji 4 178.33.3.224 (ip4:178.33.3.224). Co do wpisów a oraz mx jak one działają można przeczytać w naszym artykule podstawy DNS.
Później pozostaje tylko sprawdzenie co należy zrobić z tą wiadomością czyli wpis „all”, najczęściej używany jest „~all” czyli przyjmij ale oznacz o możliwości oszustwa, lub „-all” jeśli serwer wysyłający nie jest na liście SPF to odrzuć wiadomość bez dalszego sprawdzania.

Jak wprowadzić SPF

Dokładny opis całej składni można znaleźć na stronie openspf jednak w wersji angielskiej. Jednak opiszę tutaj mam nadzielę zrozumiale, jakiej składni użyć aby wprowadzić SPF na naszej domenie.
Więc tak zawsze użyjemy na początku v=spf1 jako że opiszę tutaj wersję pierwszą spf (na razie nie ma wersji drugiej). Więc mamy wpis:
v=spf1
Taki wpis jeszcze nic nie mówi dodajmy teraz do niego końcówkę czyli znacznik all – oznacza on jak mamy potraktować wiadomość którą sprawdzamy spf. I tak możemy go poprzedzić czterema znakami „+” czyli jest ok, „-” czyli nie zdało, „~” że jest podejrzane, „?” neutralne.
I tak jeśli wpis wygląda „+all” i host wysyłający nie jest na liście to mamy przyjąć taką wiadomość.
Jeśli jest „~all” i host nie jest na liście mamy przyjąć taką wiadomość ale ją oznaczyć jako błąd spf, lub podejrzana o bycie spamem.
Jeśli mamy „-all”, zalecane przeze mnie oznacza że jeśli serwera nie ma na liście to wiadomość od niego powinna zostać odrzucona.
Wpis „?all” oznacza że w zasadzie nic się nie stało czy jest czy go nie ma – w skrócie mogło by tego wpisu nie być.
Polecam używać albo „~all” jeśli często zmieniają się nam adresy i możemy mieć problemy z wpisaniem wszystkich albo „-all” jeśli znamy dokładnie adresy naszych serwerów i nie zmieniają się za często.
v=spf1 -all
Mając początek i koniec wprowadzimy teraz na naszą listę adresy ip lub wpisy (po środku wpisu).
A – czyli że serwer znajdujący się we wpisie a może wysyłać pocztę. UWAGA Jeśli korzystamy z jakiegoś proxy albo cdn (np. cloudflare) to nie powinniśmy tego wpisywać gdyż nasz serwer pocztowy nie powinien być upoważniony do wysyłania poczty w naszym imieniu.
MX – czyli serwer z adresu MX może wysyłać pocztę, zazwyczaj jest to poprawnie wprowadzone, trzeba tutaj zauważyć że jak zmienimy adres serwera we wpisie MX to nie musimy już zmieniać wpisu SPF co ułatwia pracę, czasami może się zdarzyć że korzystamy z bramki do odbierania maili i nie powinien ten wpis być użyty.
ip4 – czyli jeden adres ip lub adres ip/maska (np. 192.168.0.0/24 to – 192.168.0.0 do 192.168.0.255) oznacza konkretne adresy ip wersji czwartej które są upoważnione do wysyłania poczty.
ip6 – na tej samej zasadzie co adresy ip4 jednak dotyczy to tylko adresów w wersji 6.
Jeszcze znajdują się dodatkowe wpisy jak na przykład „include” oraz „redirect”, include dołącza wpisy z podanej domeny (poprzez wyszukanie txt) a redirect przekierowuje do innej domeny gdzie możemy we wpisie txt znaleźć wskazówki odnośnie SPF.
Także stworzenie wpisu SPF nie jest trudne nawet dla większych dostawców poczty i zaleca się je wprowadzić, należy tylko pamiętać że trzeba go aktualizować jak zmienimy adres ip serwera poczty i nie jest on dodany przez MX. Dla małych domen zalecamy użycie krótkich wpisów z dodaniem na przykład tylko wpisu mx. dla wszystkich naszych klientów wystarczy:
v=spf1 mx ip4:178.33.3.224 -all

Podsumowanie

SPF nie jest idealnym zabezpieczaniem naszej poczty, ale jest na tyle łatwy do wprowadzania i odpowiednio sformatowany może znacznie ograniczyć wyłudzenia związane z podszywaniem się pod naszą domenę pocztową.

ROAN Agencja InterAktywna to przede wszystkim kreatywny zespół, który także uwielbia prowadzić ten Blog.

Zostaw komentarz

    Dopisz się do Newslettera!

    • To pole jest do zatwierdzania i powinno pozostać na niezmienionym poziomie.

    Sprawdź także

    Zobacz więcej
    No Comments