Bezpieczeństwo

Jak utworzyć i dodać rekord SPF?

Natalia Zacholska, 30 listopada 2021

jak-utworzyc-i-dodac-rekord-spf

Aby dodać rekord SPF, konieczny jest dostęp do panelu kontrolnego DNS Twojej domeny. Jeśli korzystasz z dostawcy hostingu, proces ten jest dość prosty – wystarczy zapoznać się z jego dokumentacją techniczną. Jeśli nie masz pewności jak tego dokonać, w celu uzyskania pomocy możesz skontaktować się z jego wsparciem technicznym lub administratorem Twojej domeny.

Aby dowiedzieć się jak działa SPF i dlaczego stanowi tak ważne zabezpieczenie, zapoznaj się z artykułem „Czym jest SPF i jak skonfigurować go dla domeny?”

Od czego zacząć tworzenie rekordu SPF?

Rozpocznij od zebrania listy wszystkich należących do Ciebie domen, ponieważ należy zaktualizować lub przygotować nowy, osobny rekord SPF dla każdej z nich. Upewnij się, że uwzględniłeś też nieaktywne (tzw. „zaparkowane”) domeny, które nie wysyłają e-maili, aby również je ochronić przed nadużyciami i potencjalnym phishingiem.

Zidentyfikuj wszystkie usługi, które wysyłają wiadomości w imieniu Twojej domeny (domen), w tym zewnętrzne narzędzia. Obejmuje to:

  • Platformy komunikacyjne w chmurze udostępniające zewnętrzne serwery SMTP – takie jak EmailLabs,
  • Serwery do obsługi poczty (zarówno internetowe – np. Gmail czy programy pocztowe- jak Outlook czy Thunderbird),
  • Różne dodatkowe narzędzia (np. systemy do Email Marketingu czy Marketing Automation, fakturowe, biletowe, dostawcy płatności itp.).

WAŻNE! Jeśli rekord SPF nie uwzględnia wszystkich usług lub serwerów wysyłających pocztę w imieniu Twojej domeny, serwery odbierające mogą kierować wiadomości do spamu. Pamiętaj, aby aktualizować swój rekord po każdej zmianie IP czy dostawcy narzędzia do wysyłek.

Jak stworzyć rekord SPF?

SPF jest wyrażany w postaci pojedynczego wiersza tekstu. Publikuje się go jako DNS TXT. Składa się z listy wartości (zazwyczaj są to adresy IP i nazwy domen) oraz tagów czyli różnych mechanizmów i modyfikatorów.

Każda domena może mieć przypisany wyłącznie jeden rekord SPF.

Pamiętaj! Twój nowy rekord SPF może potrzebować do 48 godzin zanim zacznie działać.

  • Budowę rekordu należy rozpocząć od wersji SPF v=spf1. Ponieważ inne wersje SPF zostały wycofane, zawsze będzie ona zgodna z powyższą.
  • Po tagu wersji SPF należy wymienić wszystkie adresy IP (lub zakres adresów), które są upoważnione do wysyłania wiadomości e-mail w imieniu Twojej domeny. Służą do tego m.in. mechanizmy ip4 (32-bitowe) oraz ip6 (128-bitowe)

Na przykład: v=spf1 ip4:192.0.2.0 ip6:2001:db8: :cd30

 ! Podana wartość ma charakter przykładowy i nie uwzględnia specyfiki serwerów EmailLabs.

  • Następnie można dodać mechanizm „include”, który upoważnia zewnętrznych nadawców – jak EmailLabs

Na przykład: v=spf1 ip4:192.0.2.0 ip6:2001:db8: :cd30 include:nazwadomeny.pl

Aby upoważnić EmailLabs do wysyłek wiadomości e-mail w imieniu Twojej domeny, dodaj w swoim rekordzie TXT następujący wpis:
include:_spf.emaillabs.net.pl

Serwer odbiorczy sprawdza czy IP, z którego nadana została wiadomość jest wskazane w ip4/ip6 lub czy pasuje do adresów z listy rekordów SPF dla domeny wskazanej przez mechanizm „include”.

Uwaga! Rekordy SPF nie mogą mieć w jednym wierszu więcej niż 255 znaków  i nie powininny zawierać więcej niż 10 odwołań do innych domen lub serwerów (lookup).

Każdy parametr powinien być rozdzielony spacją.

  • Inne przykładowe mechanizmy:
    • „mx” serwery poczty przychodzącej (MX) domeny są upoważnione do wysyłania poczty
    • „a” uprawnia serwery hostujące strony www do wysyłania poczty

// Powyższa instrukcja przedstawia wyłącznie podstawowy przegląd mechanizmów, które może uwzględniać rekord SPF. Możesz spotkać się z wpisami, które zawierają w sobie również takie mechanizmy jak ptr, exists czy redirect. //

Na końcu rekordu SPF znajduje się mechanizm „all”. Wskazuje on jaka polityka i jak ściśle powinna być stosowana, gdy serwer odbierający wykryje nadawcę, który nie jest wymieniony (zautoryzowany) w Twoim rekordzie SPF.

Znacznik „all” może zawierać różne kwalifikatory:

  •     –all – (fail) nieautoryzowane maile najczęściej są odrzucane lub trafiają do zakładki SPAM
  •     ~all – (softfail) nieautoryzowane emaile zazwyczaj są akceptowane, ale oznaczone jako podejrzane
  •     ?all – (neutral) błędna autoryzacja nie ma wpływu na odbiór wiadomości

Na przykład: v=spf1 ip4:192.0.2.0 ip6:2001:db8: :cd30 include:nazwadomeny.pl ~all

Wszystkie wpisy, które będą dodane po mechanizmie „all” będą ignorowane, dlatego należy pamiętać by zamieścić go na samym końcu rekordu.

Oprócz SPF zalecamy skonfigurowanie również DKIM i DMARC. Powyższe metody uwierzytelniania zapewniają większe bezpieczeństwo domeny i zwiększają prawdopodobieństwo poprawnego dostarczenia wiadomości e-mail do skrzynki odbiorcy.

Najczęściej czytane