Tereza Horáková

Jak nastavit správně SPF záznamy

SPF
Sender Policy Framework

Jak už z názvu vyplývá, jedná se o e-mailový validační systém zajišťující ochranu proti spamu. Systém ověřuje IP adresu odesílatele a umožňuje administrátorům určit, které servery mohou odesílat poštu z dané domény.

Jinak řečeno, správným nastavením SPF záznamů lze zamezit, aby někdo cizí odesílal zprávy, které se budou tvářit, že odešly od vás (tzv. e-mail spoofing). Zamezíte tak rozesílce podvodných e-mailů a zajistíte si důvěryhodnost své firmy.

Jakmile odpovíte vašemu zákazníkovi a e-mail je odeslán, zákazníkův poštovní server se zeptá na tyto otázky:

  • Kdo odeslal tento e-mail? Kdo byl skutečným odesílatelem e-mailu?
  • Má odesílatel povoleno odesílat e-maily z této adresy (serveru)?

Funguje to i naopak. Pokud váš mail server podporuje nastavení SPF záznamů, každý příchozí e-mail je prověřen, zda pochází z autorizovaného zdroje.

Notebook s grafikou - INNOIT

 

 

Jak SPF záznamy zapsat?

email - INNOIT

 

Rozhodnete-li se využít SPF a vytvořit na doméně tento záznam, měli byste do SPF zahrnout všechny servery, které z vaší domény odesílají elektronickou poštu.

  • Každá doména může mít pouze jeden SPF záznam,
    ve kterém jsou všechny servery napsané za sebou v jednom řádku. Nikoliv pod sebou na několika řádcích.
  • Při zapisování je nutné dodržovat mezery mezi jednotlivými zápisy.

1. Pokud doména neužívá e-mail

Záznam vypadá takto: “v=spf1 -all”.

  • “-all” na konci znamená, že žádný autorizovaný server neexistuje.
  • Jakýkoliv e-mail pocházející z domény s tímto záznamem bude po vyhodnocení SPF zahozen, případně označen jako spam.

2. Doména užívá e-mail k rozesílce

Záznam může vypadat takto: “v=spf1 mx -all”.

  • MX znamená, že všechny servery, které jsou uvedeny ve vašich MX záznamech budou považovány za důvěryhodné a SPF je vyhodnotí jako autorizované.
  • Všechny ostatní budou díky “-all” označeny jako neautorizované.

3. K rozesílce používáte jiný server

Například e-shopové řešení shoptet.

Záznam v tom případě bude vypadat takto: “v=spf1 a mx include:shoptet.cz -all”.

  • Include zajistí, že se přečte SPF záznam z domény shoptet.cz a jeho obsah bude považován za váš.

4. Více IP adres za sebou

Nastat může také případ, kdy e-shop provozujete např. na systému Eshop-rychle, doménu máte registrovanou u externího poskytovatele např. Forpsi a e-maily používáte např. od Seznam.cz. Do záznamu tedy ještě přibude také SPF záznam Seznamu.

Podoba záznamu bude následující: "v=spf1 a mx include:_spf.forpsi.com include:spf.seznam.cz include:spf.eshop-rychle.cz ~all".

  • Include zajistí, že se přečte SPF záznam z domény providera domena.cz a jeho obsah bude považován za váš.
  • Provider musí mít SPF nastaven.
  • Ostatní servery budou opět vyhodnoceny jako zakázané.

 

Zjednodušte si tvorbu zápisu

Pokud si nejste jistí správným zápisem SPF záznamu, lze použít dostupné generátory jako například SPF Wizard.

Kontrola správnost zapsání SPF záznamů

Pro kontrolu správného zápisu SPF záznamů lze využít validátory SPF záznamů, které vás na chyby upozorní:

 

 

 

 

Jak nastavit DNS záznamy

U svého poskytovatele domény vyberte doménu, pokračujte na editaci DNS záznamů a pokračujte výběrem TXT záznamu. Zapište nový správný tvar a uložte. K vytvoření tohoto záznamu je zapotřebí administrátorský přístup ke správě vaší domény (hostingu).

 

Limity na délku SPF záznamu

  • Záznam může mít maximální délku 250 znaků. Je-li záznam delší, SPF kontrola bude končit chybou.
  • Validní SPF záznam nesmí generovat více než 10 DNS požadavků. Je-li v záznamu více zápisů vyžadujících dotaz do DNS, SPF kontrola skončí chybou.

 

*all určuje, jak bude s e-mailem naloženo

Pozor! Direktiva -all nebo ~all musí být v SPF vždy jen jedna a to na konci záznamu.

  • ?all – žádná politika
    SPF je pouze informativní a neurčuje příjemci, jak by se měl, ke zprávám, které přijdou z neautorizovaného serveru, zachovat /NEUTRAL/
  • ~all – mírná politika
    vyhodnocení zpráv, které přijdou z neautorizovaného serveru, je ponecháno na příjemci, ten zprávu může odmítnout nebo označit za spam /NEUTRAL/FAIL/ 
  • -all – přísná politika
    zprávy, které přijdou z neautorizovaného serveru, by měl příjemce odmítnout a nedoručit /FAIL/ toto nastavení vylučuje jakékoliv přeposílání vašich zpráv dál

 

 

 

Shrnutí

Správným nastavením DNS záznamů zamezíte, aby někdo cizí odesílal podvodné zprávy, které se budou tvářit, že odešly od vás (tzv. e-mail spoofing). Jejich správné nastavení ovlivňuje doručitelnost e-mailů.

  • K zápisu je nutné mít administrátorský přístup k nastavení domény.
  • Celý SPF zápis se řídí jednoduchými pravidly, které je nutné dodržet.
  • Pro vygenerování zápisu lze také použít dostupné online generátory.
  • Správnost SPF záznamů snadno zkontrolujete pomocí online validátorů.

 

Stále vám to není jasné?

Se správným nastavením (nejen) SPF záznamů vám rádi pomůžeme.

Kontaktujte nás >

Jsme tu pro vás!

 

Zdroje:

seznam.cz
webglobe.cz
eshop-rychle.cz
supportbox.cz
jiribrejcha.net