SPF - Ochrana pošty pred spamovaním
Ochráňte pomocou SPF svoju doménu pred odosielaním spamu pod Vašim menom.
SPF - Sender Policy Framework je protokol, ktorým oznamujeme svetu, z ktorých IP adries je možné odoslať poštu pre danú doménu.
Ako príklad uvediem oficiálnu e-mailovú adresu nášho prezidenta: informacie@prezident.sk. Môžem odoslať niekomu e-mail a uviesť odosieľateľa informacie@prezident.sk? Áno, môžem. Stačí si správne nastaviť e-mail odosieľateľa v poštovom klientovi a už len odoslať e-mail.
Naozaj, je to také jednoduché. Otázkou ale ostáva, vieme sa proti tomu nejako účinne brániť? Našťastie, áno vieme. Slúži nám na to práve protokol SPF.
Kde sa nachádzajú SPF záznamy?
SPF záznam sa definuje v DNS záznamoch domény. Keďže systém DNS je distribuovaný, koncové počítače/servery si vedia tento záznam rýchlo načítať a dočasne uložiť na lokálnych DNS serveroch pre ďalšie použitie. DNS záznamy sú to prvé, na čo sa pozerá každý jeden počítač pri vyhľadávaní domény, ktoré mu povedia na ktorej IP adrese sa nachádza server, ktorý spracúva danú službu, či už ide o web, e-mail, alebo iné služby. Preto je celkom logické, že na uloženie SPF definícií sa používa práve DNS server domény.
Ako to funguje?
Server A, ktorý odosiela poštu, sa pripojí na Server B, ktorý poštu prijíma pomocou protokolu SMTP. Server B v tejto chvíli zistí, aká je v hlavičke e-mailu uvedená e-mailová adresa odosielateľa a znej si vyčíta názov domény. Aby sme použili predchádzajúci príklad, zistí že ide o doménu prezident.sk.
From: "Prezident SR" <informacie@prezident.sk>
Server B zadá požiadavku na SPF záznam a DNS server vráti nasledovnú odpoveď:
v=spf1 a:mail.gov.sk -all
Syntaxou sa budem zaoberať nižšie v článku, v tejto chvíli nám stačí, že si Server B musí ešte vyžiadať z DNS servera A záznam pre doménu mail.gov.sk a tým je IP adresa:
195.49.191.129
Z predchádzajúcich dvoch vyhľadávaní vie Server B, že ak Server A nemá IP adresu 195.49.191.129, tak ide o falošný e-mail a môže ho hneď odmietnuť.
Syntax SPF záznamu
V predchádzajúcom odstavci som uviedol veľmi jednoduchý príklad SPF záznamu:
v=spf1 a:mail.gov.sk -all
Záznam obsahuje informáciu o použitej verzii: spf1, definície IP adries, ktoré môžu pre danú doménu odosielať poštu a:mail.gov.sk a informáciu pre prijímajúci server, čo robiť v prípade odoslania pošty z iných IP adries: -all (poštu z iných IP adries môže okamžite odmietnuť)
Všetci naši zákazníci majú automaticky nastavený náš univerzálny SPF záznam:
v=spf1 a mx include:_spf.hostcreators.sk -all
Záznam hovorí, že pošta môže odchádzať zo všetkých A záznamov domény (kvôli formulárom z webových stránok), MX záznamov, ďalšie IP adresy sú definované v SPF zázname domény hostcreators.sk a vnorené do záznamu domény pomocou include príkazu. Definícia -all hovorí, že ostatné IP adresy sú vyhodnotené ako "neautorizované", to znamená, že pošta je označená za falošnú. Pošta sa v tomto prípade automaticky odmieta.
Každý náš zákazník si ale tento záznam môže upraviť v správe DNS záznamov a znížiť prísnosť doručovania nasledovne:
v=spf1 a mx include:_spf.hostcreators.sk ~all
~all znamená SoftFail. Prijímajúci server v takomto prípade na základe SPF záznamu prijme e-mail aj z iných IP adries, ako sú povolené v SPF zázname, ale odosielajúci server označí ako Fail.
v=spf1 a mx include:_spf.hostcreators.sk ?all
?all znamená Neutral. Prijímajúci server na základe SPF záznamu neodmietne poštu z iných IP adries.
Kompletný zoznam SPF definícií a manuál nájdete na WiKi stránke OpenSPF: http://www.open-spf.org/SPF_Record_Syntax/.