- co jsou záznamy SPF?
- potřeba přidání SPF záznamů do vaší domény
- jak vytvořit záznam SPF TXT?
- Shromážděte seznam IP adres, které používáte pro odesílání e-mailů
- seznam všech odesílajících domén
- vytvořte záznam SPF domény
- možnosti selhání SPF: Soft Fail a Hard Fail
- jak přidat záznam TXT do Konfigurace DNS
- nezapomeňte otestovat a zkontrolovat záznamy TXT domény!
co jsou záznamy SPF?
Sender Policy Framework (SPF) je TXT záznam DNS, který je součástí souboru DNS zóny organizační domény. Doména SPF obsahuje seznam IP adres nebo názvů hostitelů oprávněných odesílat e-maily z daného názvu domény. Jakmile uživatel umístí položku textového záznamu SPF do své zóny DNS, nemusí ji překonfigurovat, aby využil výhody serverů, které zahrnují kontrolu SPF jako nedílnou součást svých systémů prevence spamu. Způsob přidání záznamu SPF je podobný běžnému záznamu a nebo MX checker.
potřeba přidání SPF záznamů do vaší domény
někteří příjemci e-mailů mají přísný požadavek na rámec SPF. Pokud uživatel nezveřejní záznamy SPF ve své doméně, existuje šance, že jejich e-maily mohou být příjemcem pošty označeny jako spam, nebo v nejhorším případě se mohou odrazit. Pokud tedy uživatel správně nastaví záznam SPF, může zvýšit doručitelnost e-mailů a chránit svou doménu před spamem, který škodliví aktéři zasílají jejich jménem. DMARC je systém ověřování e-mailů, který vytváří spojení mezi záznamy SPF a DKIM.
jak vytvořit záznam SPF TXT?
Shromážděte seznam IP adres, které používáte pro odesílání e-mailů
prvním krokem pro implementaci protokolu SPF je identifikace poštovních serverů, které fungují jako odesílatelé domény vaší organizace. Existuje celá řada míst, která organizace používají k odesílání e-mailů. Vytvořte seznam všech poštovních serverů, včetně následujících, které mohou být použity pro odesílání e-mailů vaším jménem:
- poštovní server v kanceláři (příklad: Gmail, Microsoft Exchange)
- poštovní server vašeho ISP.
- poštovní server poskytovatele poštovní schránky příjemce.
- webový Server
- jakýkoli poštovní server třetí strany se používá k ověření e-mailů jménem vaší značky.
seznam všech odesílajících domén
organizace obvykle vlastní mnoho domén. Zatímco některé používají k odesílání e-mailů, některé zůstávají spící. Takže potřebují chránit všechny své domény pomocí SPF? Odpověď zní ano. Předpokládejme, že se organizace rozhodne vytvořit záznam SPF pouze pro své odesílající domény. V takovém případě se neposílané domény stanou snadným cílem pro útočníky.
vytvořte záznam SPF domény
- začněte definováním verze SPF. Záznam SPF vždy začíná číslem verze. Značka v=spf2 (verze 2) se používá pro definování záznamu jako SPF.
- postupujte podle značky v = spf2 SPF verze se všemi IP adresami, které vaše organizace oprávnila odesílat e-maily jménem vaší značky. Například:v=spf1 ip4: xxx.xxx.xxx.xxx-all
Poznámka: XXX. xxx. xxx. xxx musí být nahrazen IP adresou vašeho serveru. - dalším krokem je zahrnutí značky pro organizace třetích stran, které jsou oprávněny zasílat e-maily jménem vaší organizace, například, include:thirdpartydomain.com. (zde, thirdpartydomain.com je ukázkové doménové jméno). Význam této značky spočívá v tom, že bude označovat všechny organizace třetích stran, které mohou odesílat e-maily jménem vaší podnikové domény. Chcete-li zjistit, kterou doménu byste měli použít jako hodnotu příkazu include, poraďte se s organizací třetí strany.
- ukončete záznam značkou ~all, – all nebo + all po implementaci všech značek include a IP adres.
- značka ~all označuje soft fail, zatímco značka-all znamená hard fail. Obě tyto značky podrobně diskutujeme v další části.
- Značka + all umožní každému serveru doručovat e-maily z vaší organizační domény. Nedoporučujeme používat tuto možnost, protože ponechává server náchylný k spoofingu.
(zdroj: www.pair.com)
možnosti selhání SPF: Soft Fail a Hard Fail
Chcete-li nakonfigurovat výchozí stránku záznamu SPF, existuje možnost změnit záznam SPF tak, aby zahrnoval soft fail nebo hard fail. Tyto možnosti se také nazývají kvalifikátory a určují přísnost vašeho záznamu DNS TXT pro e-maily, které selžou při kontrole SPF. Základní rozdíly jsou uvedeny níže:
Soft fail (~all )
záznam SPF, který používá soft fail qualifier, doručuje všechny selhávající e-maily, které může příjemce považovat za nevyžádanou poštu. Je to možnost go – to pro mnoho tvůrců SPF, protože kombinuje shovívavost se silnou obranou proti spoofingu a e-mailovému spamu.
Hard Fail (- all )
pokud jste se rozhodli použít hard fail qualifier, poštovní přijímač odmítne všechny e-maily od hostitelů, které nejsou uvedeny v záznamu SPF. Jednoduše řečeno, příjemce e-mail neobdrží a nebude plně doručen.
jak přidat záznam TXT do Konfigurace DNS
nejlepší by bylo spolupracovat se správcem serveru DNS na publikování záznamu SPF do DNS. Kroky pro to samé jsou uvedeny níže:
- přístup k účtu domény poskytovatele hostitele domény.
- přejděte na možnost Moje domény a klikněte na název domény, pro kterou chcete vytvořit záznam SPF.
- ve sloupci DNS klikněte na spravovat záznamy DNS.
- zde musíte přidat záznam SPF, který vám hostitel poskytl.
- otevřete rozbalovací nabídku typ a vyberte TXT.
- pokud vám hostitel poskytl subdoménu, zadejte ji do pole hostitel.
- zadejte hodnotu záznamu SPF (zmíněného dříve) do pole odpovědi.
- ponechte TTL (Time To Live) jako 300 (výchozí).
- vyberte tlačítko Přidat záznam.
proces publikování záznamů TXT DNS je jednoduchý pro organizace, které používají poskytovatele hostingu, jako je GoDaddy nebo 123-reg. Pokud si však nejste jisti nebo pokud váš ISP spravuje vaše záznamy DNS, doporučujeme kontaktovat IT oddělení pro podporu. Někteří poskytovatelé e-mailových služeb automaticky zveřejňují záznamy SPF pro vaši doménu vaším jménem.
nezapomeňte otestovat a zkontrolovat záznamy TXT domény!
pro testování záznamu SPF můžete použít kontrolní nástroj SPF. Zde uvidíte seznam serverů, které jste oprávnili odesílat e-maily jménem vaší domény. Získáte názor příjemce a můžete se rozhodnout aktualizovat záznam SPF, pokud zjistíte, že legitimní IP adresa není uvedena.
přidání záznamu SPF do souboru zóny DNS je praktický způsob, jak zabránit spammerům v používání vaší domény k odesílání škodlivých e-mailů. Eliminuje vysokou frekvenci zpětných odrazů, protože poskytovatelé pošty neověřují e-maily a okamžitě je odmítají, aniž by je odrazili zpět na falešnou adresu. I když to nemusí být 100% efektivní, všimnete si vysokého strmého klesajícího trendu v počtu odrazů, které obdržíte.