SPF

SPF nebo-li Sender Policy Framework je validační metoda pro elektronickou poštu sloužící k ochraně proti spamu. Příjmový server ověřuje odchozí IP adresu zprávy vůči seznamu serverů autorizovaných k odesílání pošty z domény odesílatele. Výčet těchto serverů má doména zveřejněn pomocí speciálního DNS záznamu.

SPF je nejefektivnější proti zprávám zneužívajícím cizí doménu v poli Odesílatel, tzv. e-mail spoofingu. Rozhodnete-li se využít SPF a vytvořit na doméně tento záznam, měli byste do SPF zahrnout všechny servery, které z vaší domény odesílají elektronickou poštu.

SPF na Seznamu

SPF můžete nastavit i tehdy, kdy pro svou e-mailovou komunikaci využíváte Email Profi od Seznamu. To lze uskutečnit převzetím nastavení SPF Seznamu. Níže uvedený způsob řešení zajišťuje, že váš SPF záznam zůstane aktuální i pokud v budoucnu provedeme nějaké změny na našich serverech (např. změnu jejich IP adres). Do DNS se SPF záznam vkládá jako záznam typu TXT.

Používáte-li pro svou poštu Email Profi (a zprávy neposíláte odjinud), SPF záznam bude vypadat následovně:

v=spf1 include:spf.seznam.cz ~all

Celý DNS záznam vypadá takto:
Doména Typ TTL Data
@ TXT 1800 v=spf1 include:spf.seznam.cz ~all

Tímto nastavením dáváte příjemcům na vědomí, že k odesílání zpráv využíváte servery Seznam.cz. Pokud příjemci dorazí zpráva s odesílatelem na vaší doméně, ale z jiného serveru než Seznam.cz, může ji vyhodnotit jako podezřelou (označit za spam či odmítnout). Důležité je však zvolit správnou kvalifikaci záznamu a tu uvést na jeho konec.

Je-li vaším registrátorem Seznam.cz (doménu jste celou převedli do Email Profi), můžete postupovat dle návodu na úpravu DNS záznamů.

V administraci Email Profi váš SPF záznam může vypadat takto:


Kvalifikace SPF

Pro úplnost uvádíme i popis jednotlivých kvalifikací, které se píší na konec záznamu a udávají restrikci kontroly pravidel. Je důležité zvolit nastavení adekvátní pro danou situaci.
 
  • ?all – žádná politika; SPF je pouze informativní a neurčuje příjemci, jak by se měl ke zprávám, které přijdou z neautorizovaného serveru, zachovat (NEUTRAL)
  • ~all – mírná politika; vyhodnocení zpráv, které přijdou z neautorizovaného serveru, je ponecháno na příjemci, ten zprávu může odmítnout nebo označit za spam (NEUTRAL/FAIL)
  • -all – přísná politika; zprávy, které přijdou z neautorizovaného serveru, by měl příjemce odmítnout a nedoručit (FAIL)
 

Více serverů v SPF

Potřebujete-li kromě Email Profi odesílat i odjinud (např. e-shop, který posílá zákazníkům e-mail + služba pro zasílání newsletterů + interní firemní schránky apod.), je nutné přidat všechny odesílací servery do SPF záznamu a tím jim povolit posílání zpráv z adres na vaší doméně. To provedete přidáním serverů do SPF záznamu u registrátora domény. Jaký konkrétně záznam přidat vám sdělí poskytovatel této služby.

Příklad:

Chcete-li povolit vedle Email Profi odesílání pošty i ze serveru s názvem dalsi.mailovy-server.cz a dalšímu serveru s IP adresou 11.22.33.44, SPF záznam v DNS bude vypadat následovně:

v=spf1 include:spf.seznam.cz include:dalsi.mailovy-server.cz ip4:11.22.33.44 ~all


Limity na délku SPF záznamu

  • Záznam může mít maximální délku 250 znaků. Je-li záznam delší, SPF kontrola bude končit chybou.
  • Valdiní SPF záznam nesmí generovat více než 10 DNS požadavků, tj. rozhodující jsou záznamy include, a, mx, ptr a exists. To není případ zápisů all, ip4 a ip6. Je-li v záznamu více zápisů vyžadujících dotaz do DNS, SPF kontrola bude končit chybou. Pro kontrolu doporučujeme využít validátor SPF záznamů (např. SPF Record Check od MxToolBox), který na tuto a jiné chyby upozorní.


Časté dotazy

Nefunguje přeposílání zpráv

Pokud někomu odešlete zprávu z domény, která má aktivní SPF, a příjemce se ji pokusí přeposlat dál – může narazit na problém. Server adresáta této přeposlané zprávy ji může odmítnout či označit za spam. Důvodem je, že server přeposílajícího uživatele s největší pravděpodobností nebude autorizován v SPF záznamu vaší domény.

Situaci řeší:

  • snížení kvalifikace SPF záznamu na doméně (nepoužívat kvalifikaci FAIL, která vylučuje jakékoli přeposílání vašich zpráv)
  • aktivace tzv. SRS (Sender Rewriting Scheme) na serveru, který zprávy přeposílá (bude nutné konzultovat se správcem daného poštovního serveru)
  • úprava nastavení tak, aby nebylo nutné zprávu přeposílat
  • zařazení serverů, které vaše zprávy přeposílají často, do vašeho SPF záznamu (pozor, tento krok důkladně zvažte, protože tím autorizujete příslušné servery pro odesílání zpráv z vaší domény)


Chyba "550 77.75.xx.xx is not allowed to send mail from mojedomena.cz"
Tato chyba signalizuje problém s vaším SPF záznamem. SPF záznam zjevně neopravňuje našim serverům odesílat zprávy z vaší domény. Znamená to, že u domény máte SPF záznam původního provozovatele e-mailového řešení nebo jste přidali SPF pro jiného poskytovatele, ale nezahrnuli do něj Seznam. Řešením je přejít do nastavení DNS záznamů domény u vašeho registrátora do TXT záznamu pro SPF přidat spf.seznam.cz (include:spf.seznam.cz). Je-li vaším registrátorem Seznam.cz (doménu jste celou převedli k nám), můžete postupovat dle návodu na úpravu DNS záznamů.


Pomohl Vám tento článek? Ne

Kontaktujte nás