SPF (ang. Sender Policy Framework) jest zabezpieczeniem używanym do uwierzytelniania nadawcy wiadomości e-mail. Dzięki niemu providerzy mogą zweryfikować, czy serwer pocztowy jest upoważniony do wysyłania wiadomości e-mail w imieniu Twojej domeny. Jeżeli nie – wiadomość może zostać odrzucona, skierowana do zakładki SPAM lub oznaczona jako podejrzana.
Każda wiadomość e-mail zawiera dwa adresy nadawcze – nagłówek wskazany w polu „from” [Od:] oraz „Return_path” (czyli tzw. ścieżka zwrotna lub nadawca kopertowy).
Return_path jest adresem zwrotnym – mówi serwerom odbiorczym, dokąd mają odesłać lub odbić wiadomość w przypadku problemów z jej doręczeniem. Jest on zawarty w ukrytym nagłówku e-maila, zawierającym również inne szczegóły techniczne.
SPF odnosi się do domeny użytej w Return_path a nie w adresie From. W pierwszej kolejności powinieneś dowiedzieć się jaka ścieżka zwrotna jest obecnie wskazana w wysyłanych przez Ciebie wiadomościach e-mail.
Aby skorzystać z SPF, należy opublikować przygotowany przez siebie rekord w DNS domeny wysyłkowej. Wpis ten jest listą wszystkich adresów IP, które są upoważnione do wysyłania e-maili w jej imieniu.
Podczas przekazywania wiadomości, serwer poczty przychodzącej sprawdza ścieżkę zwrotną (Raturn_path) w jej nagłówku – następuje walidacja rekordu SPF polegająca na sprawdzeniu, czy e‑mail pochodzi z jednego z serwerów autoryzowanych poprzez rekord DNS TXT domeny.
Jeżeli tak – następuje powiązanie pomiędzy serwerami i przekazanie wiadomości. Jeśli nie – serwer kontynuuje przetwarzanie wiadomości e-mail, jednak nie przechodzi ona uwierzytelnienia. W tej sytuacji (w zależności od ustawionego mechanizmu „all ” i kwalifikatora) może dojść do jej doręczenia i zaklasyfikowania do folderu SPAM czy oznaczenia jako podejrzanej lub odrzucenia.
Masz już ustawiony SPF? Aby poprawnie go skonfigurować i upoważnić EmailLabs do wysyłek wiadomości e-mail w imieniu Twojej domeny, dodaj w swoim rekordzie TXT następujący wpis:
include:_spf.emaillabs.net.pl
Pamiętaj! Zaktualizowany rekord SPF może potrzebować do 48h zanim zacznie działać.
SPF jest rekordem typu TXT, który określa, którzy nadawcy (adresy IP) są upoważnieni do wysyłania e-maili wykorzystując Twoją domenę. Jest on wprowadzony do DNS. Szczegółowe informacje o tym, jak formatowany jest rekord SPF i jak go utworzyć, można znaleźć tutaj.
SPF stał się niezwykle istotny z uwagi na postęp jaki niesie za sobą rozwój usług cyfrowych i coraz częściej pojawiające się w związku z tym próby nadużyć i podszywania się w Internecie. Jest więc istotnym elementem zarówno dla zwiększenia dostarczalności poczty elektronicznej jak i bezpieczeństwa.
Ponieważ wiele firm używa różnych narzędzi do wysyłania e-maili, serwery odbiorcze potrzebują jakiegoś sposobu na sprawdzenie, czy są to faktycznie autoryzowani nadawcy. Chociaż SPF nie jest idealnym zabezpieczeniem i dopiero wdrożenie DMARC jest tym, co pomaga w walce z podszywaniem się pod domeny i spoofingiem, wraz z DKIM stanowi niezbędny krok na drodze do jego wdrożenia.
Protokół SMTP, który jest standardem w przesyłaniu e-maili, nie posiada żadnych zabezpieczeń pola From. Zazwyczaj walidacji podlega wyłącznie poprawność adresu nadawcy pod kątem jego struktury. Oznacza to, że podszywanie się pod inną osobę czy firmę wydaje się wyjątkowo proste. To właśnie doprowadziło do powstania SPF jako jednego z pierwszych zabezpieczeń maili. Nie sprawdza on jednak poprawności domeny From, a wartość wskazaną w Return-Path, oznacza to, że email może przejść walidację SPF niezależnie od tego czy adres From został podrobiony czy nie.
Warto pamiętać, że otrzymana wiadomość może być prawdziwa, jednak ze względu na nieaktualną listę dozwolonych nadawców w rekordzie SPF, i tak zostanie oznaczona jako podejrzana. Taki prawdziwy email mógł również być przekierowany (forward), czyli np. pierwotnie pochodził z systemu upoważnionego w SPF, a przekierowanie nastąpiło z innego – którego lista dozwolonych nadawców już nie uwzględnia.
Ważne jest więc dodatkowe zabezpieczenie wiadomości – służą do tego: DKIM, który chroni adres nadawczy poprzez podpisywanie wiadomości odpowiednim cyfrowym kluczem oraz DMARC, który porównuje czy domena wskazana przez jeden z powyższych protokołów (Return-Path używany przez SPF i/lub domena „d=” używana przez DKIM) jest zgodna z tą, która znajduje się w adresie „From” i jeżeli tak – mail przechodzi walidację.
Będziesz mógł wysyłać wiadomości, nawet jeśli nie wprowadzisz do swojego DNS rekordu SPF, ale jego prawidłowa konfiguracja to dodatkowy sygnał zaufania dla providerów oraz zwiększona szansa, że Twoje e‑maile dotrą do skrzynki odbiorcy. Właściwe uwierzytelnienie to coś więcej niż weryfikacja, czy email jest od tego, od kogo został wysłany – to znak, że aktywnie angażujesz się w tworzenie dobrego ekosystemu poczty i dbasz o bezpieczeństwo swoich odbiorców.
Spamerzy są mniej skłonni do fałszowania e-maili, które wysyłane są z domeny z wdrożonymi zabezpieczeniami, ponieważ istnieje większe prawdopodobieństwo, że zostaną one wyłapane przez filtry antyspamowe. Taka chroniona przez SPF domena jest dla nich zdecydowanie mniej atrakcyjna.
Aby zapobiec oszustwom związanym ze spoofingiem wychodzących wiadomości e-mail, dodaj do DNS swojej domeny nie tylko SPF ale też DKIM i DMARC. Nie rozwiąże to problemów z dostarczalnością, ale jest to dodatkowa warstwa, która w połączeniu z powyższymi standardami, może poprawić jej wskaźniki i przede wszystkim zapobiec ewentualnym nadużyciom. Jeśli jesteś dużą marką, rozważ również zabezpieczenie identyfikacji wizualnej i znaku towarowego za pomocą BIMI.
Antyspam, Bezpieczeństwo, BIMI, Dobre praktyki, Nowe funkcje, Nowości
Organizacja AuthIndicators Working Group (BIMI Group) ogłosiła niedawno, że systemy Apple takie jak iOS 16, iPadOS 16 i macOS Ventura będą wspierać BIMI już od jesieni tego roku. Tym...
Dobre praktyki, Dostarczalność email, Maile transakcyjne
Aby komunikacja E-mail mogła przynosić efekty, musi być odpowiednio realizowana. Obok kwestii technicznych, bardzo ważne jest budowanie pozytywnego zaangażowania subskrybentów w komunikację E-mail. Obecnie każdego dnia konsumenci otrzymują liczne komunikaty...
RBL (ang. Real-time blackhole list) to dynamiczna, działająca w czasie rzeczywistym lista na którą trafiają adresy IP będące aktywnymi spamerami (działanie celowe) lub przypadkowymi źródłami spamu. Czarna lista...
Bezpieczeństwo, Dobre praktyki
Czy zauważyłeś, że obok niektórych nadawców na Twojej skrzynce odbiorczej widoczne jest oznaczenie zweryfikowanego adresu e-mail? Przykładowo – iCloud Mail pokazuje małą pieczątkę ze znakiem wyboru, Gmail – zieloną...
Dobre praktyki, Pytania i odpowiedzi
ESP (ang. Email Service Provider) to usługa oparta na oprogramowaniu służącym do dystrybucji poczty elektronicznej, często w oparciu o własne serwery, zoptymalizowane pod kątem dużego (masowego) ruchu. Wiele z...
Dobre praktyki, Dostarczalność email
Czym jest dostarczalność wiadomości email? Rozmawiając z właścicielami sklepów eCommerce, specjalistami od marketingu lub czytając różne publikacje na temat komunikacji email coraz częściej można odnieść wrażenie, że wyłącznym kryterium...
Dobre praktyki, Maile marketingowe, Maile transakcyjne
Materiał powstał przy współpracy z CyberFolks, który pomoże Ci wybrać i zakupić domenę i dostarcza usługi hostingowe dla tysięcy Klientów w Polsce. Jak połączyć rozwiązanie w zakresie hostingu stron...
EmailLabs początkowo obsłuży wysyłki Bloomreach (dawniej Exponea) dla polskich klientów e-commerce i retail, a w perspektywie również dla klientów w innych krajach CEE. „Wybieramy EmailLabs ze względu na wysoką...
Bezpieczeństwo, GDPR, Porównania
EOG a RODO W zakresie przekazywania danych poza EOG należy wspomnieć o dwóch podstawowych grupach; wyróżniamy kraje względem których Komisja Europejska wydała decyzję stwierdzającą prawidłowy poziom ochrony danych...
Wraz z pojawieniem się pandemii Covid-19, wiele marek zostało postawionych przed sporym wyzwaniem aby w krótkim czasie przystosować się do zmienionej rzeczywistości oraz nowego podejścia konsumentów i zreorganizować swoje...
Wystąpiliśmy w podcaście #TPayPodcast! Odcinek z naszym udziałem już jest w sieci, a w nim rozmowa Dyrektora IT EmailLabs Marcina Kujawskiego z Martą Kwiatkowską z Tpay.com, w której przybliżają...
Jest nam niezmiernie miło ogłosić nominację EmailLabs do nagrody E-commerce Germany Awards 2022 w kategorii „Best Customer Communication Tool”. Satysfakcja Klientów oraz zdolność do utrzymania i wzmacniania z...
Pozytywnie zakończyliśmy proces certyfikacji BIMI. Wdrożenie tego nowego standardu bezpieczeństwa pozwali nam jeszcze skuteczniej chronić się przed potencjalnym spoofingiem czy phishingiem, zwiększyć poziom OR i CTR, a także budować...
1 minutę