PORADNIKI

7 min. czytania

Sender Policy Framework (SPF) – podnie┼Ť bezpiecze┼ästwo poczty mailowej

Poczta e-mail

Fot. Freepik

Co to jest SPF? W jaki spos├│b dzia┼éa i przed czym chroni? Odpowiadam na te i inne pytania oraz pokazuj─Ö, jak w┼é─ůczy─ç i skonfigurowa─ç Sender Policy Framework.

Spis tre┼Ťci
E-mail

Temat SPF dotyczy bezpiecze┼ästwa poczty elektronicznej. Je┼╝eli posiadasz w┼éasn─ů stron─Ö ÔÇô oboj─Ötnie, czy jest to ma┼éy blog, du┼╝y sklep internetowy lub witryna firmowa ÔÇô jeste┼Ť r├│wnie┼╝ w┼éa┼Ťcicielem domeny (upraszczaj─ůc: adresu Twojej strony). W ramach domeny mo┼╝esz tworzy─ç adresy mailowe (np. imienazwisko@adrestwojejstrony.pl), aby komunikowa─ç si─Ö z internautami. Twoim obowi─ůzkiem, jako w┼éa┼Ťciciela domeny, jest zapewnienie bezpiecze┼ästwa w tym zakresie. Nie musisz dok┼éadnie zna─ç si─Ö na tym, bo takie zadanie mo┼╝esz komu┼Ť zleci─ç, warto jednak, aby┼Ť by┼é chocia┼╝ w podstawowy spos├│b zaznajomiony z tym tematem.

Co to jest SPF?

SPF (Sender Policy Framework) to mechanizm bezpiecze┼ästwa poczty elektronicznej chroni─ůcy ochrony przed podszywaniem si─Ö pod nadawc─Ö wiadomo┼Ťci e-mail.

Idea dzia┼éania SPF jest bardzo prosta: Ty jako w┼éa┼Ťciciel domeny okre┼Ťlasz, z kt├│rych dok┼éadnie serwer├│w pocztowych (najcz─Ö┼Ťciej poprzez wskazanie ich adres├│w IP lub nazw domen) mog─ů by─ç wysy┼éane Twoje wiadomo┼Ťci mailowe.

SPF
Tak (obrazowo) działa SPF

Co to jest serwer pocztowy?

W du┼╝ym skr├│cie: to komputer, pod┼é─ůczony na sta┼ée do internetu i umieszczony w serwerowni, na kt├│rym zainstalowane jest odpowiednie oprogramowanie. Serwery pocztowe wykonuj─ů wszelkie operacje zwi─ůzane z odbieraniem i wysy┼éaniem wiadomo┼Ťci. W praktyce, je┼╝eli korzystasz z hostingu, najcz─Ö┼Ťciej na jednym fizycznym komputerze zainstalowane jest oprogramowanie zar├│wno do obs┼éugi Twojej strony www, poczty e-mail czy innych us┼éug. Pod wzgl─Ödem funkcjonalno┼Ťci serwery pocztowe mo┼╝emy podzieli─ç na serwery poczty przychodz─ůcej i wychodz─ůcej ÔÇô u us┼éugodawc├│w hostingowych odpowiada za to najcz─Ö┼Ťciej osobne oprogramowanie, a nie oddzielny komputer. 

Je┼Ťli jeste┼Ť w┼éa┼Ťcicielem jakiej┼Ť strony, najprawdopodobniej korzystasz z us┼éug hostingowych. Operator hostingu udost─Öpnia Ci zasoby serwera, aby┼Ť m├│g┼é tam umie┼Ťci─ç pliki swojej strony. Opr├│cz tego bardzo cz─Östo klienci hostingodawc├│w otrzymuj─ů r├│wnie┼╝ dost─Öp do serwer├│w pocztowych, aby mogli tam tworzy─ç adresy mailowe w ramach swojej domeny oraz wysy┼éa─ç i odbiera─ç wiadomo┼Ťci. Ty, jako klient firmy hostingowej, powiniene┼Ť otrzyma─ç gotowe rozwi─ůzanie: dost─Öp do panelu administracyjnego (aby tworzy─ç adresy mailowe) i dane do logowania, aby sprawdza─ç poczt─Ö (poprzez program pocztowy lub interfejs online). Wszelkie sprawy zwi─ůzane z bezpiecze┼ästwem powinny spoczywa─ç na barkach administratora firmy hostingowej. Warto by─ç jednak ┼Ťwiadomym, jakie rozwi─ůzania zabezpieczaj─ůce Twoj─ů poczt─Ö zosta┼éy wdro┼╝one.

Jak działa SPF?

Wysy┼éaj─ůc wiadomo┼Ť─ç, w praktyce serwer poczty wychodz─ůcej  odnajduje serwer pocztowy odbiorcy i komunikuje si─Ö z nim, pr├│buj─ůc dostarczy─ç nadany e-mail. Serwer poczty przychodz─ůcej sprawdza, czy adres IP serwera, z kt├│rego wys┼éano wiadomo┼Ť─ç, jest przypisany do domeny z adresu mailowego. Je┼╝eli TAK, zaakceptowane jest powi─ůzanie pomi─Ödzy Twoj─ů domen─ů a wysy┼éan─ů wiadomo┼Ťci─ů, w przeciwnym wypadku wiadomo┼Ť─ç mo┼╝e zosta─ç odrzucona lub trafi─ç do SPAMU. Dalsza polityka bezpiecze┼ästwa zale┼╝y od konkretnych ustawie┼ä, m.in. protoko┼éu DMARC.

W jaki spos├│b przypisa─ç serwer pocztowy do domeny?

Twoja domena posiada specjalny panel sterowania domeny, kt├│ry nazywa si─Ö strefa DNS i sk┼éada si─Ö z tabeli z rekordami. Mo┼╝esz tam dokonywa─ç r├│┼╝nych zaawansowanych konfiguracji. Dost─Öp do strefy DNS otrzymasz z poziomu panelu administracyjnego serwera, kt├│ry zosta┼é udost─Öpniony Ci przez us┼éugodawc─Ö hostingowego (lub operatora CDN, je┼Ťli korzystasz z technologii Content Delivery Network).

Wielu dostawc├│w hostingowych oferuje dost─Öp do panelu DirectAdmin. Po wybraniu domeny ze strony startowej, wystarczy przej┼Ť─ç do opcji ÔÇťZarz─ůdzanie stref─ů DNSÔÇŁ:

Zarz─ůdzanie stref─ů DNS w DirectAdmin
Zarz─ůdzanie stref─ů DNS w DirectAdmin

Pojedynczy rekord posiada okre┼Ťlon─ů nazw─Ö, typ i warto┼Ť─ç, kt├│ra odpowiada za konkretn─ů konfiguracj─Ö dla danej domeny. Mo┼╝na r├│wnie┼╝ utworzy─ç specjalny rekord w┼éa┼Ťnie dla SPF.

W niekt├│rych hostingach, SPF jest ju┼╝ domy┼Ťlnie skonfigurowany ÔÇô sprawdzisz to w┼éa┼Ťnie w tej tabeli. Odszukaj, czy znajduje si─Ö tam rekord TXT o warto┼Ťci, kt├│ra w nazwie posiada SPF, np.:

SPF i inne wpisy w DNS
SPF i inne wpisy w DNS

Je┼╝eli takiego rekordu nie ma, musisz go utworzy─ç.

Inne sposoby na sprawdzenie SPF:

  • wiersz polece┼ä w systemie Windows: wystarczy wybra─ç START i odszuka─ç wiersz polece┼ä (CMD), a nast─Öpnie wpisa─ç komend─Ö nslookup -type=txt nazwatwojejdomeny.pl. W odpowiedzi otrzymasz wszystkie rekordy TXT dla Twojej domeny. Zobacz, czy znajduje si─Ö tam co┼Ť z SPF. W systemach z rodziny Linux i macOS (komputery Apple) komenda b─Ödzie nast─Öpuj─ůca: dig nazwatwojejdomeny.pl TXT.
  • narz─Ödzia online: wpisz adres swojej domeny na https://mxtoolbox.com/spf.aspx ÔÇô je┼Ťli SPF zosta┼é wdro┼╝ony, zobaczysz pe┼én─ů konfiguracj─Ö wraz ze szczeg├│┼éow─ů analiz─ů. Polecam ten spos├│b, aby zapozna─ç si─Ö z zaawansowanymi mo┼╝liwo┼Ťciami SPF

Tworzenie rekordu SPF

Pami─Ötaj, ┼╝e rekord SPF powinien mie─ç typ TXT, a jego nazwa to adres Twojej domeny zako┼äczony kropk─ů, np. ÔÇťtwojanazwadomeny.pl.ÔÇŁ. Potrzebna jest jeszcze warto┼Ť─ç rekordu, kt├│ra mo┼╝e wygl─ůda─ç w nast─Öpuj─ůcych spos├│b:


v=spf1 ip4:0.0.0.0 ip6:2001:db8:0:1:0:0:0:1 include:_spf.google.com -all

Na warto┼Ť─ç rekordu SPF sk┼éadaj─ů si─Ö nast─Öpuj─ůce elementy:

  • v=spf1 ÔÇô jest to tak naprawd─Ö sta┼éa warto┼Ť─ç i odnosi si─Ö do wersji SPF
  • ip4: ÔÇô wskazuje adres IP serwera poczty wychodz─ůcej (dla sieci IPv4)
  • ip6: ÔÇô tak jak wy┼╝ej, z tym, ┼╝e dotyczy protoko┼éu IPv6
  • include: ÔÇô (nale┼╝y wskaza─ç domen─Ö) pozwala na wysy┼éanie maili z zewn─Ötrznego serwera, kt├│ry ma w┼éasn─ů polityk─Ö SPF
  • a ÔÇô ta opcja pozwala wybra─ç adres IP, kt├│ry znajduje si─Ö w rekordzie A domeny
  • mx ÔÇô to co powy┼╝ej, z tym, ┼╝e dotyczy rekordu MX

Warto przy tym doda─ç, ┼╝e mo┼╝na wpisa─ç jeden lub kilka adres├│w IP oraz zamiast adresu IP mo┼╝e to by─ç nazwa domeny, np. mail.nazwahostingu.pl. 

Rekord powinien by─ç zako┼äczony znacznikiem ~all lub -all. Zapis ten odnosi si─Ö do sytuacji, w kt├│rej serwer wysy┼éaj─ůcy maila nie jest przypisany do Twojej domeny (czyli nie ma go w rekordzie SPF). Za pomoc─ů tego znacznika, serwer przychodz─ůcy jest informowany, co ma zrobi─ç z przychodz─ůc─ů wiadomo┼Ťci─ů:

  • -all ÔÇô wiadomo┼Ť─ç zostanie odrzucona
  • ~all ÔÇô mail zostanie odpowiednio oznaczony, w zale┼╝no┼Ťci od polityki bezpiecze┼ästwa serwera poczty przychodz─ůcej (np. trafi do folderu SPAM,)
  • +all ÔÇô ten znacznik pozwoli ka┼╝demu serwerowi na wysy┼éanie maili z u┼╝yciem Twojej domeny. Jest to opcja niezalecana.

Symbole +, -, ~ nazywane s─ů kwalifikatorami (prefiksami), kt├│re wskazuj─ů na to, jakie dzia┼éanie ma podj─ů─ç serwer poczty przychodz─ůcej. 

Jak sprawdzi─ç adres serwera pocztowego?

Ka┼╝dy komputer przy┼é─ůczony do internetu, a wi─Öc tak┼╝e serwer pocztowy, posiada unikalny numer ÔÇô adres IP. Aby pozna─ç adres IP swojego serwera pocztowego, najlepiej zapyta─ç o to firm─Ö hostingow─ů, do kt├│rej podpi─ů┼ée┼Ť domen─Ö. Tak─ů informacj─Ö mo┼╝esz r├│wnie┼╝ znale┼║─ç w mailu, kt├│ry otrzyma┼ée┼Ť po za┼éo┼╝eniu hostingu.

Mo┼╝esz r├│wnie┼╝ sprawdzi─ç stref─Ö DNS swojej domeny i odszuka─ç rekord o typie MX, kt├│ry w┼éa┼Ťnie odpowiada za wskazanie adresu serwera pocztowego:

  • w warto┼Ťci mo┼╝e by─ç wpisany adres IP lub domena serwera pocztowego, poprzedzona liczb─ů, kt├│ra oznacza priorytet wa┼╝no┼Ťci serwera (ma to znaczenie, gdy jest kilka serwer├│w pocztowych w r├│┼╝nych rekordach MX)
  • je┼╝eli nie ma podanego adresu IP w rekordzie MX, mo┼╝e znale┼║─ç si─Ö tam inny zapis, np. ÔÇťmailÔÇŁ, co oznacza w praktyce, ┼╝e adres IP serwera pocztowego odnajdziesz w rekordzie DNS domeny w┼éa┼Ťnie o nazwie ÔÇťmailÔÇŁ.

Przed czym chroni SPF?

Je┼Ťli zadajesz sobie pytanie, czy koniecznie musz─Ö korzysta─ç z SPF, odpowied┼║ brzmi NIE, ale w praktyce po prostu WARTO. Twoja poczta b─Ödzie dzia┼éa─ç bez tej technologii, ale b─Ödziesz mniej chroniony przez phishingiem (czyli podszywaniem si─Ö pod Twoj─ů osob─Ö czy firm─Ö). Ponadto bez SPF Twoje wiadomo┼Ťci cz─Ö┼Ťciej mog─ů wpada─ç do SPAMU Twoich odbiorc├│w, gdy┼╝ serwery pocztowe mog─ů mie─ç problem ze sprawdzeniem, czy kto┼Ť nie podszywa si─Ö pod Ciebie. W zwi─ůzku z tym ma to ogromne znaczenie biznesowe ÔÇô wyobra┼║ sobie, ┼╝e mail do Twojego kontrahenta l─ůduje w spamie i nie zostanie odczytany.

Czy SPF to jedyne zabezpieczenie poczty?

NIE. Sender Policy Framework jest bardzo popularny i z pewno┼Ťci─ů nale┼╝y z niego korzysta─ç, ale nie daje pe┼énego bezpiecze┼ästwa. Opr├│cz tego powiniene┼Ť zainteresowa─ç si─Ö m.in. DKIM i DMARC. Wed┼éug raportu bezpiecze┼ästwa ÔÇťE-MAIL 2021ÔÇŁ marki EmailLabs SPF wdro┼╝ony jest na 64% najpopularniejszych stron www w Polsce.

Podsumowanie ÔÇô zabezpiecz poczt─Ö mailow─ů

Wydawa─ç Ci si─Ö mo┼╝e, ┼╝e jest to sprawa bardzo prozaiczna, ot wysy┼éanie maili, co robisz mo┼╝e ju┼╝ od kilkunastu lat. Jest to jednak bardzo wa┼╝na cz─Ö┼Ť─ç Twojego biznesu. Zapewnij sprawn─ů korespondencj─Ö ze swoimi kontrahentami, aby Twoje maile nie wpada┼éy do SPAMU odbiorc├│w i zabezpiecz si─Ö przed hakerami. Wa┼╝n─ů cz─Ö┼Ťci─ů tego zadania jest w┼éa┼Ťnie SPF. Pami─Ötaj przede wszystkim o poprawnej konfiguracji tej technologii. Je┼Ťli nie jeste┼Ť pewien, czy poradzisz sobie z tym zadaniem, znajd┼║ kogo┼Ť, kto si─Ö na tym zna lub skontaktuj si─Ö z firm─ů, w kt├│rej masz wykupiony hosting. Szanuj─ůcy si─Ö operatorzy hostingowi traktuj─ů SPF jako niezb─Ödne narz─Ödzie.