Jump to content

Vítejte

Zaregistrujte se pro zobrazení více možností :)

SPF a správně zapsaný záznam


  • Please log in to reply
1 reply to this topic

#1 ntdrt

ntdrt

    Advanced Member

  • Uživatel
  • PipPipPip
  • 371 příspěvků

Posted 22 May 2014 - 10:52 PM

Takže co je vlastně SPF? Je to nástroj, pomocí kterého se validují příchozí e-mailové zprávy. Pokud na server přijde e-mail, tak se ověří, zda odesílatel (tj. IP serveru), má povolení odesílat e-maily pro danou doménu. A podle záznamu se určí jak se má s e-mailem nakládat, pokud to tak není. Hlavní cíl tohoto nástroje je zabránění SPAMu, vedlejší efekt je ten, že nikdo nezneužije vaší doménu (např. pro phishing).

SPF záznam se zapisuje jako normální TXT záznam na DNS serveru a má níže uvedený formát:
Začíná verzí SPF protokolu, nyní je verze 1, takže "v=spf1", dále následuje řada zápisů, které definují, pro které adresy je odesílání povoleno/zakázano a nakonec výchozí chování, pokud žádný z předchozích nebude platit. Popíšu zde jen ty nejvíc užitečné/nejvíce používané vlastnosti. Celou specifikace si můžete přečíst například na wikipedii -

Zvol login nebo registraci k zobrazeni odkazu.



Dostupné zápisy:
a - označuje adresy, které jsou přiřazeny jako A záznam k dané doméně
ip4 - označuje IP adresu či rozsah IP adres
ip6 - značí IPv6 adresi či zase rozsah adres (udávaný prefixem)
mx - označuje adresy, které jsou přiřazeny jako MX záznam k dané doméně
include - vloží záznamy jiné domény, používá se hlavně pokud máte adres více a tím ušetříte zapisování jednotlivých adres na všechny domény

Pro každý zápis je označen prefixem/modifikátorem, který určuje co se s e-mailem stane:
+ = úspěšná kontrola, e-mail se normálně příjme
~ = e-mail se přijme ale je označen (jako SPAM)
- = kontrola selhala, e-mail je odmítnut
Pokud se neuvede žádný prefix, je automaticky použito + = zpráva úspěšně projde.

Takže můžeme mít takovýto zápis "v=spf1 a mx ip4:185.8.238.10 ip6:2a02:2b88:2:1::2e09:1/64 include:_spf.google.com -all"
Ten nám říká, že používáme SPF verze 1, všechny adresy zapsané jako A a MX jsou povolené, dále je povolena IPv4 adresa 185.8.238.10 a rozsah IPv6 adres 2a02:2b88:2:1::2e09:1/64, include blok kopíruje pravidla z domény google.com (povolí odesílání ze SMTP serverů gmailu) a poslední záznam říká, že všechno (ostatní) bude zahozeno.

Chyby v záznamech:
Při používání SPF jsem zjistil, že některé stránky mají nesmyslný, či neplatný SPF záznam. Vždy je důležité SPF záznam validovat (například pomocí

Zvol login nebo registraci k zobrazeni odkazu.

) a zkontrolovat, zda dává smysl.

Např. toto fórum má následující záznam:

Posted Image

Validace sice úspěšně prošla (záznam je správně zapsaný a je platný) ale to neznamená, že musí mít také smysl. Výše uvedené pravidlo povolí přijetí pro A záznamy, MX záznamy, pro jednu IPv4 adresu a následně všechny ostatní záznamy také povolí. Takže ve finále e-mail projde za každé situace a ochrana fungovat nebude. Stejný výsledek je, pokud žádný SPF záznam nemáte (v dnešní době). Pro pravidlo all je tedy dobré označit e-mail jako spam (~),či ho rovnout odmítnout, pokud máte jistotu, že jiné SMTP servery nevyužíváte.

Další příklad je na první pohled správně zapsaný záznam ale má jednu důležitou vadu:

Posted Image

Uvedené záznamy jsou sami o sobě validní ale SPF podporuje pouze jeden záznam pro jednu doménu. Takže se s největší pravděpodobností nepoužije pravidlo žádné a vše je povoleno. Tohle se může stát menší dezinformací například ze strany poskytovatele - daný záznam je vygenerovaný z prostředí Google Apps, kde vám ho zobrazí průvodce přidání domény, ale je důležité si uvědomit, že je to jen ukázkový příklad, pokud by doména používala jen SMTP servery Googlu. Nelze tady záznam vzít a jednoduše vložit - je třeba ho rozumně spojit s již stavící konfigurací.

Ve finále je určitě výhodné SPF používat. Jedná se o jeden jednoduchý záznam a ochrání vás před zneužitím vaší domény, což je k nezaplacení.

#2 odysey

odysey

    Profesionální Hater

  • Moderátor
  • 566 příspěvků

Posted 23 May 2014 - 06:56 AM

Hezké, jednoduché a chytré..za mě poděkování a +1
Bez hudby ani if !




uživatel(ů) čte toto vlákno

0 uživatelů, 0 návštěvníků, 0 anonymních uživatelů