- Co to są rekordy SPF?
- potrzeba dodawania rekordów SPF do domeny
- Jak utworzyć rekord SPF TXT?
- Zbierz listę adresów IP używanych do wysyłania wiadomości e-mail
- Lista wszystkich wysyłających domen
- Utwórz rekord SPF domeny
- opcje awarii SPF: Soft Fail I Hard Fail
- Jak dodać rekord TXT do konfiguracji DNS
- nie zapomnij przetestować i sprawdzić rekordów domeny TXT!
Co to są rekordy SPF?
Sender Policy Framework (SPF) to DNS rekordu TXT, który stanowi część pliku strefy DNS domeny organizacyjnej. Domena SPF zawiera listę adresów IP lub nazw hostów upoważnionych do wysyłania wiadomości e-mail z danej nazwy domeny. Gdy użytkownik umieści wpis rekordu tekstu SPF w swojej strefie DNS, nie musi go rekonfigurować, aby korzystać z serwerów, które zawierają sprawdzanie SPF jako integralną część swoich systemów zapobiegania spamowi. Metoda dodawania rekordu SPF jest podobna do zwykłego rekordu kontrolera a lub MX.
potrzeba dodawania rekordów SPF do domeny
niektórzy odbiorcy wiadomości e-mail mają ścisłe wymagania dotyczące struktury SPF. Jeśli użytkownik nie opublikuje rekordów SPF w swojej domenie, istnieje szansa, że jego e-maile zostaną Oznaczone jako spam przez odbiornik poczty, lub w najgorszym przypadku mogą się odbić. W ten sposób, jeśli użytkownik prawidłowo skonfiguruje rekord SPF, może zwiększyć swoją dostarczalność poczty e-mail i chronić swoją domenę przed spamem, który złośliwi aktorzy wysyłają w ich imieniu. DMARC to system walidacji poczty elektronicznej, który tworzy połączenie między rekordami SPF i DKIM.
Jak utworzyć rekord SPF TXT?
Zbierz listę adresów IP używanych do wysyłania wiadomości e-mail
pierwszym krokiem do wdrożenia protokołu SPF jest identyfikacja serwerów pocztowych, które działają jako nadawcy domeny Twojej organizacji. Istnieje wiele miejsc, z których organizacje używają do wysyłania wiadomości e-mail. Utwórz listę wszystkich serwerów pocztowych, w tym następujące, które mogą być używane do wysyłania wiadomości e-mail w Twoim imieniu:
- wewnętrzny serwer pocztowy (przykład: Gmail, Microsoft Exchange)
- serwer pocztowy Twojego dostawcy usług internetowych.
- serwer poczty dostawcy skrzynki odbiorczej.
- Serwer Www
- każdy serwer pocztowy innej firmy służy do uwierzytelniania wiadomości e-mail w imieniu Twojej marki.
Lista wszystkich wysyłających domen
organizacje zazwyczaj posiadają wiele domen. Podczas gdy używają niektórych do wysyłania e-maili, niektóre pozostają uśpione. Czy więc muszą chronić wszystkie swoje domeny za pomocą SPF? Odpowiedź brzmi: tak. Załóżmy, że organizacja zdecyduje się utworzyć rekord SPF tylko dla swoich domen wysyłających. W takim przypadku domeny nie wysyłające staną się łatwym celem dla atakujących.
Utwórz rekord SPF domeny
- zacznij od zdefiniowania wersji SPF. Rekord SPF zawsze zaczyna się od numeru wersji. Znacznik v = spf2 (Wersja 2) służy do zdefiniowania rekordu jako SPF.
- postępuj zgodnie z tagiem V = spf2 SPF version ze wszystkimi adresami IP, które Twoja organizacja upoważniła do wysyłania wiadomości e-mail w imieniu Twojej marki. Na przykład: v = spf1 ip4: xxx. xxx. xxx. xxx-all
Uwaga: XXX. xxx. xxx. xxx należy zastąpić adresem IP serwera. - następnym krokiem jest włączenie tagu dla organizacji zewnętrznych, które są upoważnione do wysyłania wiadomości e-mail w imieniu organizacji, na przykład include:thirdpartydomain.com. (tutaj, thirdpartydomain.com jest przykładową nazwą domeny). Znacznik ten ma znaczenie, ponieważ wskazuje wszystkie organizacje zewnętrzne, które mogą wysyłać wiadomości e-mail w imieniu domeny przedsiębiorstwa. Aby określić, której domeny należy użyć jako wartości instrukcji include, skonsultuj się z organizacją zewnętrzną.
- Zakończ rekord znacznikiem ~all, – all Lub +all po zaimplementowaniu wszystkich tagów include i adresów IP.
- znacznik ~all oznacza miękką porażkę, podczas gdy znacznik-all oznacza twardą porażkę. Oba te znaczniki omówimy szczegółowo w następnej sekcji.
- tag +all pozwoli każdemu serwerowi dostarczać wiadomości e-mail z Twojej domeny organizacyjnej. Nie sugerujemy korzystania z tej opcji, ponieważ pozostawia serwer podatny na fałszowanie.
(źródło: www.pair.com
opcje awarii SPF: Soft Fail I Hard Fail
jeśli chcesz skonfigurować domyślną stronę rekordu SPF, istnieje opcja zmiany rekordu SPF na miękki lub twardy błąd. Opcje te są również nazywane kwalifikatorami i określają ścisłość twojego rekordu DNS TXT w przypadku wiadomości e-mail, które nie sprawdzają SPF. Podstawowe różnice są wymienione poniżej:
Soft fail (~all )
rekord SPF, który używa kwalifikatora soft fail, dostarcza wszystkie uszkodzone wiadomości e-mail, które odbiorca może uznać za niepotrzebne wiadomości. Jest to opcja dla wielu twórców SPF, ponieważ łączy łagodność z silną obroną przed spoofingiem i spamem e-mailowym.
Hard Fail (-all )
jeśli zdecydujesz się użyć kwalifikatora hard fail, odbiornik poczty odrzuci wszystkie wiadomości e-mail od hostów niewymienionych w rekordzie SPF. Mówiąc prościej, odbiorca nie odzyska wiadomości e-mail i nie zostanie w pełni dostarczony.
Jak dodać rekord TXT do konfiguracji DNS
najlepiej byłoby współpracować z administratorem serwera DNS, aby opublikować rekord SPF do DNS. Kroki do zrobienia tego samego są wymienione poniżej:
- Uzyskaj dostęp do konta domeny dostawcy usług hostingowych.
- przejdź do opcji Moje domeny i kliknij nazwę domeny, dla której chcesz utworzyć rekord SPF.
- w kolumnie DNS Kliknij Zarządzaj rekordami DNS.
- tutaj musisz dodać rekord SPF, który dostarczył Ci host.
- Otwórz menu rozwijane typ i wybierz TXT.
- jeśli host dostarczył Ci subdomenę, wpisz ją w polu Host.
- Wprowadź wartość rekordu SPF (wspomnianego wcześniej) w polu odpowiedzi.
- pozostaw TTL (Time To Live) jako 300 (domyślnie).
- wybierz przycisk Dodaj rekord.
proces publikowania rekordów TXT DNS jest prosty dla organizacji, które korzystają z dostawców hostingu, takich jak GoDaddy lub 123-reg. Jeśli jednak nie masz pewności lub twój dostawca usług internetowych administruje Twoimi rekordami DNS, zaleca się skontaktowanie się z działem IT w celu uzyskania pomocy. Niektórzy dostawcy usług e-mail automatycznie publikują rekordy SPF dla Twojej domeny w Twoim imieniu.
nie zapomnij przetestować i sprawdzić rekordów domeny TXT!
możesz użyć narzędzia sprawdzania SPF do testowania rekordu SPF. Tutaj zobaczysz listę serwerów, które masz upoważnione do wysyłania wiadomości e-mail w imieniu swojej domeny. Zyskasz punkt widzenia odbiorcy i możesz zaktualizować rekord SPF, jeśli zobaczysz, że legalny adres IP nie jest wymieniony na liście.
dodanie rekordu SPF do pliku strefy DNS to praktyczny sposób na zapobieganie używaniu przez spamerów Twojej domeny do wysyłania złośliwych wiadomości e-mail. Eliminuje to wysoką częstotliwość odbić, ponieważ dostawcy poczty nie uwierzytelniają wiadomości e-mail i odrzucają je od razu, bez odbijania ich z powrotem na fałszywy adres. Chociaż może nie być w 100% skuteczny, zauważysz wysoką stromą tendencję spadkową w liczbie otrzymanych odbić.