Sender Policy Framework (SPF) – podnieś bezpieczeństwo poczty mailowej

Co to jest SPF? W jaki sposób działa i przed czym chroni? Odpowiadam na te i inne pytania oraz pokazuję, jak włączyć i skonfigurować Sender Policy Framework.

Temat SPF dotyczy bezpieczeństwa poczty elektronicznej. Jeżeli posiadasz własną stronę – obojętnie, czy jest to mały blog, duży sklep internetowy lub witryna firmowa – jesteś również właścicielem domeny (upraszczając: adresu Twojej strony). W ramach domeny możesz tworzyć adresy mailowe (np. [email protected]), aby komunikować się z internautami. Twoim obowiązkiem, jako właściciela domeny, jest zapewnienie bezpieczeństwa w tym zakresie. Nie musisz dokładnie znać się na tym, bo takie zadanie możesz komuś zlecić, warto jednak, abyś był chociaż w podstawowy sposób zaznajomiony z tym tematem.

🏆️ Zobacz ranking hostingów (Październik 2021)

Co to jest SPF?

SPF (Sender Policy Framework) to mechanizm bezpieczeństwa poczty elektronicznej chroniący ochrony przed podszywaniem się pod nadawcę wiadomości e-mail.

Idea działania SPF jest bardzo prosta: Ty jako właściciel domeny określasz, z których dokładnie serwerów pocztowych (najczęściej poprzez wskazanie ich adresów IP lub nazw domen) mogą być wysyłane Twoje wiadomości mailowe.

SPF
Tak (obrazowo) działa SPF

Co to jest serwer pocztowy?

W dużym skrócie: to komputer, podłączony na stałe do internetu i umieszczony w serwerowni, na którym zainstalowane jest odpowiednie oprogramowanie. Serwery pocztowe wykonują wszelkie operacje związane z odbieraniem i wysyłaniem wiadomości. W praktyce, jeżeli korzystasz z hostingu, najczęściej na jednym fizycznym komputerze zainstalowane jest oprogramowanie zarówno do obsługi Twojej strony www, poczty e-mail czy innych usług. Pod względem funkcjonalności serwery pocztowe możemy podzielić na serwery poczty przychodzącej i wychodzącej – u usługodawców hostingowych odpowiada za to najczęściej osobne oprogramowanie, a nie oddzielny komputer. 

Jeśli jesteś właścicielem jakiejś strony, najprawdopodobniej korzystasz z usług hostingowych. Operator hostingu udostępnia Ci zasoby serwera, abyś mógł tam umieścić pliki swojej strony. Oprócz tego bardzo często klienci hostingodawców otrzymują również dostęp do serwerów pocztowych, aby mogli tam tworzyć adresy mailowe w ramach swojej domeny oraz wysyłać i odbierać wiadomości. Ty, jako klient firmy hostingowej, powinieneś otrzymać gotowe rozwiązanie: dostęp do panelu administracyjnego (aby tworzyć adresy mailowe) i dane do logowania, aby sprawdzać pocztę (poprzez program pocztowy lub interfejs online). Wszelkie sprawy związane z bezpieczeństwem powinny spoczywać na barkach administratora firmy hostingowej. Warto być jednak świadomym, jakie rozwiązania zabezpieczające Twoją pocztę zostały wdrożone.

Jak działa SPF?

Wysyłając wiadomość, w praktyce serwer poczty wychodzącej  odnajduje serwer pocztowy odbiorcy i komunikuje się z nim, próbując dostarczyć nadany e-mail. Serwer poczty przychodzącej sprawdza, czy adres IP serwera, z którego wysłano wiadomość, jest przypisany do domeny z adresu mailowego. Jeżeli TAK, zaakceptowane jest powiązanie pomiędzy Twoją domeną a wysyłaną wiadomością, w przeciwnym wypadku wiadomość może zostać odrzucona lub trafić do SPAMU. Dalsza polityka bezpieczeństwa zależy od konkretnych ustawień, m.in. protokołu DMARC.

W jaki sposób przypisać serwer pocztowy do domeny?

Twoja domena posiada specjalny panel sterowania domeny, który nazywa się strefa DNS i składa się z tabeli z rekordami. Możesz tam dokonywać różnych zaawansowanych konfiguracji. Dostęp do strefy DNS otrzymasz z poziomu panelu administracyjnego serwera, który został udostępniony Ci przez usługodawcę hostingowego (lub operatora CDN, jeśli korzystasz z technologii Content Delivery Network).

Wielu dostawców hostingowych oferuje dostęp do panelu DirectAdmin. Po wybraniu domeny ze strony startowej, wystarczy przejść do opcji “Zarządzanie strefą DNS”:

Zarządzanie strefą DNS w DirectAdmin
Zarządzanie strefą DNS w DirectAdmin

Pojedynczy rekord posiada określoną nazwę, typ i wartość, która odpowiada za konkretną konfigurację dla danej domeny. Można również utworzyć specjalny rekord właśnie dla SPF.

W niektórych hostingach, SPF jest już domyślnie skonfigurowany – sprawdzisz to właśnie w tej tabeli. Odszukaj, czy znajduje się tam rekord TXT o wartości, która w nazwie posiada SPF, np.:

SPF i inne wpisy w DNS
SPF i inne wpisy w DNS

Jeżeli takiego rekordu nie ma, musisz go utworzyć.

Inne sposoby na sprawdzenie SPF:

  • wiersz poleceń w systemie Windows: wystarczy wybrać START i odszukać wiersz poleceń (CMD), a następnie wpisać komendę nslookup -type=txt nazwatwojejdomeny.pl. W odpowiedzi otrzymasz wszystkie rekordy TXT dla Twojej domeny. Zobacz, czy znajduje się tam coś z SPF. W systemach z rodziny Linux i macOS (komputery Apple) komenda będzie następująca: dig nazwatwojejdomeny.pl TXT.
  • narzędzia online: wpisz adres swojej domeny na https://mxtoolbox.com/spf.aspx – jeśli SPF został wdrożony, zobaczysz pełną konfigurację wraz ze szczegółową analizą. Polecam ten sposób, aby zapoznać się z zaawansowanymi możliwościami SPF

Tworzenie rekordu SPF

Pamiętaj, że rekord SPF powinien mieć typ TXT, a jego nazwa to adres Twojej domeny zakończony kropką, np. “twojanazwadomeny.pl.”. Potrzebna jest jeszcze wartość rekordu, która może wyglądać w następujących sposób:

v=spf1 ip4:0.0.0.0 ip6:2001:db8:0:1:0:0:0:1 include:_spf.google.com -all

Na wartość rekordu SPF składają się następujące elementy:

  • v=spf1 – jest to tak naprawdę stała wartość i odnosi się do wersji SPF
  • ip4: – wskazuje adres IP serwera poczty wychodzącej (dla sieci IPv4)
  • ip6: – tak jak wyżej, z tym, że dotyczy protokołu IPv6
  • include: – (należy wskazać domenę) pozwala na wysyłanie maili z zewnętrznego serwera, który ma własną politykę SPF
  • a – ta opcja pozwala wybrać adres IP, który znajduje się w rekordzie A domeny
  • mx – to co powyżej, z tym, że dotyczy rekordu MX

Warto przy tym dodać, że można wpisać jeden lub kilka adresów IP oraz zamiast adresu IP może to być nazwa domeny, np. mail.nazwahostingu.pl. 

Rekord powinien być zakończony znacznikiem ~all lub -all. Zapis ten odnosi się do sytuacji, w której serwer wysyłający maila nie jest przypisany do Twojej domeny (czyli nie ma go w rekordzie SPF). Za pomocą tego znacznika, serwer przychodzący jest informowany, co ma zrobić z przychodzącą wiadomością:

  • -all – wiadomość zostanie odrzucona
  • ~all – mail zostanie odpowiednio oznaczony, w zależności od polityki bezpieczeństwa serwera poczty przychodzącej (np. trafi do folderu SPAM,)
  • +all – ten znacznik pozwoli każdemu serwerowi na wysyłanie maili z użyciem Twojej domeny. Jest to opcja niezalecana.

Symbole +, -, ~ nazywane są kwalifikatorami (prefiksami), które wskazują na to, jakie działanie ma podjąć serwer poczty przychodzącej. 

Jak sprawdzić adres serwera pocztowego?

Każdy komputer przyłączony do internetu, a więc także serwer pocztowy, posiada unikalny numer – adres IP. Aby poznać adres IP swojego serwera pocztowego, najlepiej zapytać o to firmę hostingową, do której podpiąłeś domenę. Taką informację możesz również znaleźć w mailu, który otrzymałeś po założeniu hostingu.

Możesz również sprawdzić strefę DNS swojej domeny i odszukać rekord o typie MX, który właśnie odpowiada za wskazanie adresu serwera pocztowego:

  • w wartości może być wpisany adres IP lub domena serwera pocztowego, poprzedzona liczbą, która oznacza priorytet ważności serwera (ma to znaczenie, gdy jest kilka serwerów pocztowych w różnych rekordach MX)
  • jeżeli nie ma podanego adresu IP w rekordzie MX, może znaleźć się tam inny zapis, np. “mail”, co oznacza w praktyce, że adres IP serwera pocztowego odnajdziesz w rekordzie DNS domeny właśnie o nazwie “mail”.

Przed czym chroni SPF?

Jeśli zadajesz sobie pytanie, czy koniecznie muszę korzystać z SPF, odpowiedź brzmi NIE, ale w praktyce po prostu WARTO. Twoja poczta będzie działać bez tej technologii, ale będziesz mniej chroniony przez phishingiem (czyli podszywaniem się pod Twoją osobę czy firmę). Ponadto bez SPF Twoje wiadomości częściej mogą wpadać do SPAMU Twoich odbiorców, gdyż serwery pocztowe mogą mieć problem ze sprawdzeniem, czy ktoś nie podszywa się pod Ciebie. W związku z tym ma to ogromne znaczenie biznesowe – wyobraź sobie, że mail do Twojego kontrahenta ląduje w spamie i nie zostanie odczytany.

Czy SPF to jedyne zabezpieczenie poczty?

NIE. Sender Policy Framework jest bardzo popularny i z pewnością należy z niego korzystać, ale nie daje pełnego bezpieczeństwa. Oprócz tego powinieneś zainteresować się m.in. DKIM i DMARC. Według raportu bezpieczeństwa “E-MAIL 2021” marki EmailLabs SPF wdrożony jest na 64% najpopularniejszych stron www w Polsce.

Podsumowanie – zabezpiecz pocztę mailową

Wydawać Ci się może, że jest to sprawa bardzo prozaiczna, ot wysyłanie maili, co robisz może już od kilkunastu lat. Jest to jednak bardzo ważna część Twojego biznesu. Zapewnij sprawną korespondencję ze swoimi kontrahentami, aby Twoje maile nie wpadały do SPAMU odbiorców i zabezpiecz się przed hakerami. Ważną częścią tego zadania jest właśnie SPF. Pamiętaj przede wszystkim o poprawnej konfiguracji tej technologii. Jeśli nie jesteś pewien, czy poradzisz sobie z tym zadaniem, znajdź kogoś, kto się na tym zna lub skontaktuj się z firmą, w której masz wykupiony hosting. Szanujący się operatorzy hostingowi traktują SPF jako niezbędne narzędzie.

Szukasz wydajnego i bezpiecznego hostingu z obsługą SPF?
🏆️ Zobacz Ranking Hostingów Październik 2021!

Znajdziesz tam listę najlepszych, rekomendowanych przeze mnie hostingów stron internetowych wspierających SPF i inne mechanizmy bezpieczeństwa poczty e-mail. Zapraszam!