Jak nastavit Sender Policy Framework (SPF) záznam?

Co  vlastně SPF znamená?

Jak už název Sender Policy Framework napovídá, jedná se o technologii, která na základě adresy odesílatele e-mailu ověřuje, zda je poštovní server, ze kterého zpráva přisla, autorizován odesílat e-maily pro danou doménu.

Jinak řečeno. Za pomoci SPF jsem schopen definovat, kterým poštovním serverům dám možnost odesílat poštu za mou organizaci. Všechny ostatní zakáži.

Tak například – z ryze administrátorského hlediska. Mám ve firmě dva poštovní servery. Chci, aby oba mohli nadále odesílat a přijímat poštu pro firemní domény, ale chci zabránit, aby někdo cizí odesílal podvržené zprávy, tvářící se, že pocházejí z naší firmy. Nastavím tedy SPF. Oba naše poštovní servery jsou vedeny v MX záznamu na našem DNS serveru. Vyhovuje nám tedy následující podoba záznamu: “v=spf1 mx -all”. Problém vyřešen.

Co mi SPF přinese?

V prvé řadě bude moci každý cílový poštovní server, kam posíláte e-mail, ověřit, že zpráva pochází z vašeho poštovního serveru a nejedná se o podvržený e-mail, tvářící se, že přichází z vaší organizace. Funguje to i naopak. Pokud váš mail server podporuje SPF technologii, každý příchozí e-mail do vaší firmy, bude prověřen, zda pochází z autorizovaného zdroje.

Jaké jsou nevýhody této technologie?

Asi nejpodstatnější nevýhodou se zdá být zvýšený počet DNS dotazů, což vede k vyššímu vytížení DNS serverů. Pokud se ve vašem záznamu použijete příkaz include, pak se cílový server dotazuje vaší domény a k tomu ještě includované domény. Jestli vám include nic neříká, pro tuto chvíli na něj klidně zapoměňte. Dočtete se o něm dále.

Pro koho je SPF vhodné?

SPF by mělo zajímat každého správce poštovního serveru a každou organizaci, která si alespoň trošku základá na důvěryhodnosti své elektronické poštovní komunikace.

Pro koho SPF není vhodné?

Obecně se uvádí, že se Sender Policy Framework mohou mít problém mobilní uživatelé, kteří za den vystřídají několik různých připojení, poskytovatelů a hlavně poštovních serverů. Ale v dnešní době jsou pěkná řešení i na tuto problematiku. Možností je opravdu hodně, zmiňme například možnost VPN připojení do firemní sítě, Outlook Anywhere (RPC over HTTPS) či Outlook Web Access.

Je potřeba záznam nějak průběžně měnit nebo ho stačí nastavit jednorázově?

Odpověď je v zásadě jednoduchá. Záznam jednou vytvoříte a nemusíte se o něj nikterak starat. Rozumné je ale vše zkomunetovat a především mít na paměti, že nějaký takovýto záznam pro vaší doménu používáte. Úpravu SPF je třeba provést zpravidla v případě změny vašeho ISP, hostingu a změny vašeho poštovního řešení.

Co pro oživení SPF musím udělat?

Na vašem DNS serveru je potřeba přidat SPF záznam ve formátu TXT. Tím je vše hotové. Některé firmy  používají DNS servery svých wehosterů či providerů. Změnu DNS záznamů je pak potřeba provést přes webové rozhraní či písemným požadavkem.

Chcete-li kontrolovat příchozí poštu pomocí SPF, zapněte tuto funkci na vašem poštovním serveru. Zprávy přijaté od neautorizovaných serverů, pak budou zahazovány a bezpečnou cestou tak snížíte množství příchozího spamu a podvržených e-mailů.

Jak to funguje?

1. Jirka z firmy1 odesílá e-mail kolegovi Petrovi z firmy2.

2. Poštovní server firmy1 zprávu zpracovává a odesílá pomocí SMTP na server firmy2, kde pracuje Petr.

3. Firma2 používá na svém poštovním serveru antispamové řešení, které mimo jiné umí vyhodnocovat SPF. Zpráva od Jirky je přijata a podléhá spamové kontrole a ověření pomocí SPF. Server se dotazuje DNS serveru, který drží SPF záznam pro firmu1.

4. Ten pak odpovídá a vrací výsledek dotazu.

5. Server firmy2 zjistí ze SPF záznamu, zda je server firmy1 oprávněn odesílat poštu za doménu firma1.cz. Pakliže ano, je zpráva doručena Petrovi. V opačném případě je e-mail označen jako spam.

Správná syntaxe záznamu a příklady

Nyní už víme, že SPF je TXT záznamem v DNS a jak přibližně vypadá komunikace mezi servery. Pojďme přejít k samotné podobě záznamu.

Nejjednodušší záznam vypadá takto: “v=spf1 -all”

Co to znamená? Vaše doména nepoužívá e-mail. Máte na ní například jen webové stránky a poštu odesíláte z jiné domény k tomu určené. Jakýkoliv e-mail pocházející z domény s tímto záznamem bude po vyhodnocení SPF zahozen, případně označen jako spam. “-all” na konci znamená, že žádný autorizovaný server neexistuje.

O poznání zajímavější je: “v=spf1 mx -all”

Výraz se vyhodnocuje zleva doprava. MX znamená, že všechny servery, které jsou uvedeny ve vašich MX záznamech budou považovány za důvěryhodné a SPF je vyhodnotí jako autorizované. Všechny ostatní budou díky “-all” označeny jako neautorizované.

“v=spf1 mx mx:mail.firma1.cz -all”

Má stejný výsledek jako předchozí výraz s tím rozdílem, že mezi oprávněné servery získáné z MX záznamů přidáváme mail.firma1.cz.

“v=spf1 include:mujisp.cz -all”

Dejme tomu, že jsme malá firma a chceme ušetřit za investice do vlastního serveru. Náš ISP bude firma mujisp.cz. Domluva zní tak, že poštu budeme posílat přes jeho server. Náš SPF záznam tedy může vypadat právě takto. Include zajistí, že se přečte SPF záznam z domény providera mujisp.cz a jeho obsah bude považován za náš. Provider musí mít SPF nastaven.

“v=spf1 ip4:192.168.0.1/16 -all”

Poslední ukázka demonstruje přidání poštovních serverů z IP rozsahu 192.168.0.1 – 192.168.255.255 mezi důvěryhodné. Všechny ostatní vyhodnotí jako zakázáné.

Závěr

SPF není všelék na spam, ale rozhodně stojí za to, ho zavést. Vytvoření zabere jen několik desítek minut a pak již vše pracuje za vás. K dispozici jsou také velmi povedené nástroje pro vytvoření a případně i ověření správnosti vašeho SPF záznamu.

Zdroje

Nástroje pro vytvoření: http://old.openspf.org/wizard.html
Nástroje na otestování: http://www.openspf.org/Tools
Microsoft SPF Record Wizard: http://www.microsoft.com/…/wizard/
Syntaxe: http://www.openspf.org/SPF_Record_Syntax
Časté chyby: http://www.openspf.org/FAQ/Common_mistakes

Video – Jak nastavit SPF?

Published by

Jiri Brejcha

Jiri is passionate about mobility ranging from Wi-Fi to folding bikes;-) He is a Wi-Fi Technical Solutions Architect at Cisco UK, proud member of the Cisco Live Network Operations Center deployment team, and WLAN Pi development team. If he is not working, he is most likely riding his Brompton bike.

13 thoughts on “Jak nastavit Sender Policy Framework (SPF) záznam?”

  1. Diky moc. Velmi poucny clanek – o SPF jsem dodnes nic nevedel, pro zakladni predstavu je to skvele napsane.
    Tom K.

  2. napsané je to pěkně, ale kam ten *.txt záznam o SPF mám uložit? kde najdu adresář DNS? má to být u ISP-to ho musím požádat?nebo to někam uložím na SBS2003?ten mi poštu odesílá prostřednictvím smtp serveru správce mé domény…Prostě laik podle článku nic neudělá (já) a odbrník nademnou bude kroutit hlavou.Tak sorry, že sem se vykecal

  3. Samotny DNS zaznam je v TXT podobe. Najdes ho v c:\windows\system32\dns\ tak tento zaznam pridas k patricne domene.

  4. Chtěl bych upozornit na jednu nevýhodu (problém), který SPF způsobuje. Nejsem IT odborník, ale částečně se starám o firemní emaily. Používáme firemní maily, ale necháváme si je automaticky přeposílat na klasické mailové servery. Kolegyně která má mail u seznam.cz teď díky tomuto SPF nedostává maily od firem které SPF používají. Dá se s tím něco dělat? Na podpoře Seznam CZ mi tvrdí že to nejde.

    David

  5. stejný problém u nás, mnoho lidí si nechá přeposílat poštu na Seznam.cz a další. Gmail zdá se nemá problém, asi SPF neověřuje.
    Z krátkého rozhovoru s IT padla úvaha, že by náš poštovní server musel každý takový mail nějak “přebalit”, aby obsahoval záznam, že je odesílán z naší IP, případně mu dát nějakou informaci, aby byl úspěšně ověřen.
    Za možné řešení také předem děkuji.

  6. To David (a možná Roman)
    Vím že už jste to nejspíš pořešili, ale když tu není jiná odpověď… . U nás ve škole jsme měli podobný problém.
    Jestli jsem to pochopil správně, tak všechny emaily dojdou na “firemní email” a pak při přeposlání ven (seznam.cz..) se vracejí. Nemohly být doručeny kvůli 5.7.1 SPF.
    U nás to byl problém s DNS záznamy. Pro nás, kteříšto užíváme O365, to znamenalo oslovit společnost jež spravuje (poskytuje) naši doménu a poprosit o úpravu DNS záznamů (Office 365 nám přímo napíše znění oněch záznamů). A je to :-)
    Díky za článek :-)

  7. Pingback: My Homepage

Leave a Reply

Your email address will not be published. Required fields are marked *