SPF záznam

SPF nebo-li Sender Policy Framework je validační metoda pro elektronickou poštu sloužící k ochraně proti spamu. Příjmový server ověřuje odchozí IP adresu zprávy vůči seznamu serverů autorizovaných k odesílání pošty z domény v odesílateli. Výčet těchto serverů má doména zveřejněn pomocí speciálního DNS záznamu. SPF je nejefektivnější proti zprávám zneužívajícím cizí doménu v poli Odesílatel, tzv. e-mail spoofingu. Rozhodnete-li se využít SPF a vytvořit na doméně tento záznam, měli byste do SPF zahrnout všechny servery, které z vaší domény odesílají elektronickou poštu.

SPF na Seznamu

SPF můžete nastavit i tehdy, kdy pro svou e-mailovou komunikaci využíváte Email Profi od Seznamu. To lze uskutečnit převzetím nastavení SPF Seznamu. Níže uvedený způsob řešení zajišťuje, že váš SPF záznam zůstane aktuální i pokud v budoucnu provedeme nějaké změny na našich serverech (např. změnu jejich IP adres). Do DNS se SPF záznam vkládá jako záznam typu TXT.

Používáte-li pro svou poštu Email Profi (a zprávy neposíláte odjinud), SPF záznam bude vypadat následovně:

v=spf1 include:spf.seznam.cz ~all

Celý DNS záznam vypadá takto:
Doména Typ TTL Data
@ TXT 1800 v=spf1 include:spf.seznam.cz ~all

Tímto nastavením dáváte příjemcům na vědomí, že k odesílání zpráv využíváte servery Seznam.cz. Pokud příjemci dorazí zpráva s odesílatelem na vaší doméně, ale z jiného serveru než Seznam.cz, může ji vyhodnotit jako podezřelou (označit za spam či odmítnout). Důležité je však zvolit správnou kvalifikaci záznamu a tu uvést na jeho konec.

Například v rozhraní pro editaci DNS služby Email Profi vypadá SPF záznam takto:


Kvalifikace

Pro úplnost uvádíme i popis jednotlivých kvalifikací, které se píší na konec záznamu a udávají restrikci kontroly pravidel:
  • ?all – žádná politika; SPF je pouze informativní a neurčuje příjemci, jak by se měl ke zprávám, které přijdou z neautorizovaného serveru, zachovat (NEUTRAL)
  • ~all – mírná politika; vyhodnocení zpráv, které přijdou z neautorizovaného serveru, je ponecháno na příjemci, ten zprávu může odmínout nebo označit za spam (NEUTRAL/FAIL)
  • -all – přísná politika; zprávy, které přijdou z neautorizovaného serveru, by měl příjemce odmítnout a nedoručit (FAIL)
 

Přidání dalších serverů do SPF záznamu

Potřebujete-li kromě Email Profi odesílat i odjinud (např. máte e-shop, který posílá zákazníkům e-maily, posíláte newslettery z externího nástroje apod.), je nutné přidat servery této e-mailové služby do svého SPF záznamu a tím jim povolit odesílání zpráv z adres na vaší doméně. To provedete přidáním mailových serverů služby do SPF záznamu u registrátora domény. Jaký konkrétně záznam přidat vám sdělí poskytovatel této služby. Je-li vaším registrátorem Seznam.cz (doménu jste celou převedli k nám), můžete postupovat dle návodu na úpravu DNS záznamů.

Příklad:

Chcete-li povolit vedle Email Profi odesílání pošty i ze serveru s názvem dalsi.mailovy-server.cz a dalšímu serveru s IP adresou 11.22.33.44, SPF záznam v DNS bude vypadat následovně:

v=spf1 include:spf.seznam.cz include:dalsi.mailovy-server.cz ip4:11.22.33.44 ~all


Limity na délku SPF záznamu

  • Záznam může mít maximální délku 250 znaků. Je-li záznam delší, SPF kontrola bude končit chybou.
  • Valdiní SPF záznam nesmí generovat více než 10 DNS požadavků, tj. rozhodující jsou záznamy include, a, mx, ptr a exists. To není případ zápisů all, ip4 a ip6. Je-li v záznamu více zápisů vyžadujících dotaz do DNS, SPF kontrola bude končit chybou. Pro kontrolu doporučujeme využít validátor SPF záznamů (např. SPF Record Check od MxToolBox), který na tuto a jiné chyby upozorní.


Problémy s SPF

Nefunguje přeposílání zpráv

Pokud někomu odešlete zprávu z domény, která má aktivní SPF, a příjemce se ji pokusí přeposlat dál – může narazit na problém. Server adresáta této přeposlané zprávy ji může odmítnout či označit za spam. Důvodem je, že server přeposílajícího uživatele s největší pravděpodobností nebude autorizován v SPF záznamu vaší domény.

Situaci řeší:

  • snížení kvalifikace SPF záznamu na doméně (nepoužívat kvalifikaci FAIL, která vylučuje jakékoli přeposílání vašich zpráv)
  • aktivace tzv. SRS (Sender Rewriting Scheme) na serveru, který zprávy přeposílá (bude nutné konzultovat se správcem daného poštovního serveru)
  • úprava nastavení tak, aby nebylo nutné zprávu přeposílat
  • zařazení serverů, které vaše zprávy přeposílají často, do vašeho SPF záznamu (pozor, tento krok důkladně zvažte, protože tím autorizujete příslušné servery pro odesílání zpráv z vaší domény)


Chyba "550 77.75.xx.xx is not allowed to send mail from mojedomena.cz"
Tato chyba signalizuje problém s vaším SPF záznamem. SPF záznam zjevně neopravňuje našim serverům odesílat zprávy z vaší domény. Znamená to, že u domény máte SPF záznam původního provozovatele e-mailového řešení nebo jste přidali SPF pro jiného poskytovatele, ale nezahrnuli do něj Seznam. Řešením je přejít do nastavení DNS záznamů domény u vašeho registrátora do TXT záznamu pro SPF přidat spf.seznam.cz (include:spf.seznam.cz). Je-li vaším registrátorem Seznam.cz (doménu jste celou převedli k nám), můžete postupovat dle návodu na úpravu DNS záznamů.


Pomohl Vám tento článek? Ne

Kontaktujte nás