Czym jest rekord SPF i jak skonfigurować go dla domeny?

SPF (ang. Sender Policy Framework) jest zabezpieczeniem używanym do uwierzytelniania nadawcy wiadomości e-mail. Dzięki niemu providerzy mogą zweryfikować, czy serwer pocztowy jest upoważniony do wysyłania wiadomości e-mail w imieniu Twojej domeny. Jeżeli nie – wiadomość może zostać odrzucona, skierowana do zakładki SPAM lub oznaczona jako podejrzana.

Zacznijmy od początku… rekord SPF

Każda wiadomość e-mail zawiera dwa adresy nadawcze – nagłówek wskazany w polu „from” [Od:] oraz “Return_path” (czyli tzw. ścieżka zwrotna lub nadawca kopertowy).
Return_path jest adresem zwrotnym – mówi serwerom odbiorczym, dokąd mają odesłać lub odbić wiadomość w przypadku problemów z jej doręczeniem. Jest on zawarty w ukrytym nagłówku e-maila, zawierającym również inne szczegóły techniczne.

SPF odnosi się do domeny użytej w Return_path a nie w adresie From. W pierwszej kolejności powinieneś dowiedzieć się jaka ścieżka zwrotna jest obecnie wskazana w wysyłanych przez Ciebie wiadomościach e-mail.

Jak działa rekord SPF?

Aby skorzystać z SPF, należy opublikować przygotowany przez siebie rekord w DNS domeny wysyłkowej. Wpis ten jest listą wszystkich adresów IP, które są upoważnione do wysyłania e-maili w jej imieniu.

Podczas przekazywania wiadomości, serwer poczty przychodzącej sprawdza ścieżkę zwrotną (Return_path) w jej nagłówku – następuje walidacja rekordu SPF polegająca na sprawdzeniu, czy e‑mail pochodzi z jednego z serwerów autoryzowanych poprzez rekord DNS TXT domeny.

Jeżeli tak – następuje powiązanie pomiędzy serwerami i przekazanie wiadomości. Jeśli nie – serwer kontynuuje przetwarzanie wiadomości e-mail, jednak nie przechodzi ona uwierzytelnienia. W tej sytuacji (w zależności od ustawionego mechanizmu  “all ” i kwalifikatora) może dojść do jej doręczenia i zaklasyfikowania do folderu SPAM czy oznaczenia jako podejrzanej lub odrzucenia.

Jaki jest format SPF?

Masz już ustawiony SPF? Aby poprawnie go skonfigurować i upoważnić EmailLabs do wysyłek wiadomości e-mail w imieniu Twojej domeny, dodaj w swoim rekordzie TXT następujący wpis:

include:_spf.emaillabs.net.pl

Pamiętaj! Zaktualizowany rekord SPF może potrzebować do 48h zanim zacznie działać.

SPF jest rekordem typu TXT, który określa, którzy nadawcy (adresy IP) są upoważnieni do wysyłania e-maili wykorzystując Twoją domenę. Jest on wprowadzony do DNS. Szczegółowe informacje o tym, jak formatowany jest rekord SPF i jak go utworzyć, można znaleźć tutaj.

Dlaczego rekord SPF jest tak ważny?

SPF stał się niezwykle istotny z uwagi na postęp jaki niesie za sobą rozwój usług cyfrowych i coraz częściej pojawiające się w związku z tym próby nadużyć i podszywania się w Internecie. Jest więc istotnym elementem zarówno dla zwiększenia dostarczalności poczty elektronicznej jak i bezpieczeństwa.

Ponieważ wiele firm używa różnych narzędzi do wysyłania e-maili, serwery odbiorcze potrzebują jakiegoś sposobu na sprawdzenie, czy są to faktycznie autoryzowani nadawcy. Chociaż SPF nie jest idealnym zabezpieczeniem i dopiero wdrożenie DMARC jest tym, co pomaga w walce z podszywaniem się pod domeny i spoofingiem, wraz z DKIM stanowi niezbędny krok na drodze do jego wdrożenia.

Dlaczego korzystanie z samego SPF nie jest wystarczająco bezpieczne?

Protokół SMTP, który jest standardem w przesyłaniu e-maili, nie posiada żadnych zabezpieczeń pola From. Zazwyczaj walidacji podlega wyłącznie poprawność adresu nadawcy pod kątem jego struktury. Oznacza to, że podszywanie się pod inną osobę czy firmę wydaje się wyjątkowo proste. To właśnie doprowadziło do powstania SPF jako jednego z pierwszych zabezpieczeń maili. Nie sprawdza on jednak poprawności domeny From, a wartość wskazaną w Return-Path, oznacza to, że email może przejść walidację SPF niezależnie od tego czy adres From został podrobiony czy nie.

Warto pamiętać, że otrzymana wiadomość może być prawdziwa, jednak ze względu na nieaktualną listę dozwolonych nadawców w rekordzie SPF, i tak zostanie oznaczona jako podejrzana. Taki prawdziwy email mógł również być przekierowany (forward), czyli np. pierwotnie pochodził z systemu upoważnionego w SPF, a przekierowanie nastąpiło z innego – którego lista dozwolonych nadawców już nie uwzględnia.

Ważne jest więc dodatkowe zabezpieczenie wiadomości – służą do tego: DKIM, który chroni adres nadawczy poprzez podpisywanie wiadomości odpowiednim cyfrowym kluczem oraz DMARC, który porównuje czy domena wskazana przez jeden z powyższych protokołów (Return-Path używany przez SPF i/lub domena “d=” używana przez DKIM) jest zgodna z tą, która znajduje się w adresie “From” i jeżeli tak – mail przechodzi walidację.

Rekord SPF: Podsumowanie

Będziesz mógł wysyłać wiadomości, nawet jeśli nie wprowadzisz do swojego DNS rekordu SPF, ale jego prawidłowa konfiguracja to dodatkowy sygnał zaufania dla providerów oraz zwiększona szansa, że Twoje e‑maile dotrą do skrzynki odbiorcy. Właściwe uwierzytelnienie to coś więcej niż weryfikacja, czy email jest od tego, od kogo został wysłany – to znak, że aktywnie angażujesz się w tworzenie dobrego ekosystemu poczty i dbasz o bezpieczeństwo swoich odbiorców.

Spamerzy są mniej skłonni do fałszowania e-maili,  które wysyłane są z domeny z wdrożonymi zabezpieczeniami, ponieważ istnieje większe prawdopodobieństwo, że zostaną one wyłapane przez filtry antyspamowe. Taka chroniona przez SPF domena jest dla nich zdecydowanie mniej atrakcyjna.

Aby zapobiec oszustwom związanym ze spoofingiem wychodzących wiadomości e-mail, dodaj do DNS swojej domeny nie tylko SPF ale też DKIM i DMARC. Nie rozwiąże to problemów z dostarczalnością, ale jest to dodatkowa warstwa, która w połączeniu z powyższymi standardami, może poprawić jej wskaźniki i przede wszystkim zapobiec ewentualnym nadużyciom. Jeśli jesteś dużą marką, rozważ również zabezpieczenie identyfikacji wizualnej i znaku towarowego za pomocą BIMI.