SPF
SPF nebo-li Sender Policy Framework je validační metoda pro elektronickou poštu sloužící k ochraně proti spamu. Příjmový server ověřuje odchozí IP adresu zprávy vůči seznamu serverů autorizovaných k odesílání pošty z domény odesílatele. Výčet těchto serverů má doména zveřejněn pomocí speciálního DNS záznamu.
SPF je nejefektivnější proti zprávám zneužívajícím cizí doménu v poli Odesílatel, tzv. e-mail spoofingu. Rozhodnete-li se využít SPF a vytvořit na doméně tento záznam, měli byste do SPF zahrnout všechny servery, které z vaší domény odesílají elektronickou poštu.
SPF na Seznamu
SPF můžete nastavit i tehdy, kdy pro svou e-mailovou komunikaci využíváte Email Profi od Seznamu. To lze uskutečnit převzetím nastavení SPF Seznamu. Níže uvedený způsob řešení zajišťuje, že váš SPF záznam zůstane aktuální i pokud v budoucnu provedeme nějaké změny na našich serverech (např. změnu jejich IP adres). Do DNS se SPF záznam vkládá jako záznam typu TXT.
Používáte-li pro svou poštu Email Profi (a zprávy neposíláte odjinud), SPF záznam bude vypadat následovně:
Celý DNS záznam vypadá takto:
| Doména | Typ | TTL | Data |
| @ | TXT | 1800 | v=spf1 include:spf.seznam.cz ~all |
Tímto nastavením dáváte příjemcům na vědomí, že k odesílání zpráv využíváte servery Seznam.cz. Pokud příjemci dorazí zpráva s odesílatelem na vaší doméně, ale z jiného serveru než Seznam.cz, může ji vyhodnotit jako podezřelou (označit za spam či odmítnout). Důležité je však zvolit správnou kvalifikaci záznamu a tu uvést na jeho konec.
Je-li vaším registrátorem Seznam.cz (doménu jste celou převedli do Email Profi), můžete postupovat dle návodu na úpravu DNS záznamů.
V administraci Email Profi váš SPF záznam může vypadat takto:
Kvalifikace SPF
Pro úplnost uvádíme i popis jednotlivých kvalifikací, které se píší na konec záznamu a udávají restrikci kontroly pravidel. Je důležité zvolit nastavení adekvátní pro danou situaci.- ?all – žádná politika; SPF je pouze informativní a neurčuje příjemci, jak by se měl ke zprávám, které přijdou z neautorizovaného serveru, zachovat (NEUTRAL)
- ~all – mírná politika; vyhodnocení zpráv, které přijdou z neautorizovaného serveru, je ponecháno na příjemci, ten zprávu může odmítnout nebo označit za spam (NEUTRAL/FAIL)
- -all – přísná politika; zprávy, které přijdou z neautorizovaného serveru, by měl příjemce odmítnout a nedoručit (FAIL)
Více serverů v SPF
Potřebujete-li kromě Email Profi odesílat i odjinud (např. e-shop, který posílá zákazníkům e-mail + služba pro zasílání newsletterů + interní firemní schránky apod.), je nutné přidat všechny odesílací servery do SPF záznamu a tím jim povolit posílání zpráv z adres na vaší doméně. To provedete přidáním serverů do SPF záznamu u registrátora domény. Jaký konkrétně záznam přidat vám sdělí poskytovatel této služby.Příklad:
Chcete-li povolit vedle Email Profi odesílání pošty i ze serveru s názvem dalsi.mailovy-server.cz a dalšímu serveru s IP adresou 11.22.33.44, SPF záznam v DNS bude vypadat následovně:
Limity na délku SPF záznamu
- Záznam může mít maximální délku 250 znaků. Je-li záznam delší, SPF kontrola bude končit chybou.
- Valdiní SPF záznam nesmí generovat více než 10 DNS požadavků, tj. rozhodující jsou záznamy include, a, mx, ptr a exists. To není případ zápisů all, ip4 a ip6. Je-li v záznamu více zápisů vyžadujících dotaz do DNS, SPF kontrola bude končit chybou. Pro kontrolu doporučujeme využít validátor SPF záznamů (např. SPF Record Check od MxToolBox), který na tuto a jiné chyby upozorní.
Časté dotazy
Nefunguje přeposílání zpráv
Pokud někomu odešlete zprávu z domény, která má aktivní SPF, a příjemce se ji pokusí přeposlat dál – může narazit na problém. Server adresáta této přeposlané zprávy ji může odmítnout či označit za spam. Důvodem je, že server přeposílajícího uživatele s největší pravděpodobností nebude autorizován v SPF záznamu vaší domény.
Situaci řeší:
- snížení kvalifikace SPF záznamu na doméně (nepoužívat kvalifikaci FAIL, která vylučuje jakékoli přeposílání vašich zpráv)
- aktivace tzv. SRS (Sender Rewriting Scheme) na serveru, který zprávy přeposílá (bude nutné konzultovat se správcem daného poštovního serveru)
- úprava nastavení tak, aby nebylo nutné zprávu přeposílat
- zařazení serverů, které vaše zprávy přeposílají často, do vašeho SPF záznamu (pozor, tento krok důkladně zvažte, protože tím autorizujete příslušné servery pro odesílání zpráv z vaší domény)
Chyba "550 77.75.xx.xx is not allowed to send mail from mojedomena.cz"
Tato chyba signalizuje problém s vaším SPF záznamem. SPF záznam zjevně neopravňuje našim serverům odesílat zprávy z vaší domény. Znamená to, že u domény máte SPF záznam původního provozovatele e-mailového řešení nebo jste přidali SPF pro jiného poskytovatele, ale nezahrnuli do něj Seznam. Řešením je přejít do nastavení DNS záznamů domény u vašeho registrátora do TXT záznamu pro SPF přidat spf.seznam.cz (include:spf.seznam.cz). Je-li vaším registrátorem Seznam.cz (doménu jste celou převedli k nám), můžete postupovat dle návodu na úpravu DNS záznamů.