ntdrt Posted May 22, 2014 Report Share Posted May 22, 2014 Takže co je vlastně SPF? Je to nástroj, pomocí kterého se validují příchozí e-mailové zprávy. Pokud na server přijde e-mail, tak se ověří, zda odesílatel (tj. IP serveru), má povolení odesílat e-maily pro danou doménu. A podle záznamu se určí jak se má s e-mailem nakládat, pokud to tak není. Hlavní cíl tohoto nástroje je zabránění SPAMu, vedlejší efekt je ten, že nikdo nezneužije vaší doménu (např. pro phishing). SPF záznam se zapisuje jako normální TXT záznam na DNS serveru a má níže uvedený formát: Začíná verzí SPF protokolu, nyní je verze 1, takže "v=spf1", dále následuje řada zápisů, které definují, pro které adresy je odesílání povoleno/zakázano a nakonec výchozí chování, pokud žádný z předchozích nebude platit. Popíšu zde jen ty nejvíc užitečné/nejvíce používané vlastnosti. Celou specifikace si můžete přečíst například na wikipedii - http://en.wikipedia....olicy_Framework Dostupné zápisy: a - označuje adresy, které jsou přiřazeny jako A záznam k dané doméně ip4 - označuje IP adresu či rozsah IP adres ip6 - značí IPv6 adresi či zase rozsah adres (udávaný prefixem) mx - označuje adresy, které jsou přiřazeny jako MX záznam k dané doméně include - vloží záznamy jiné domény, používá se hlavně pokud máte adres více a tím ušetříte zapisování jednotlivých adres na všechny domény Pro každý zápis je označen prefixem/modifikátorem, který určuje co se s e-mailem stane: + = úspěšná kontrola, e-mail se normálně příjme ~ = e-mail se přijme ale je označen (jako SPAM) - = kontrola selhala, e-mail je odmítnut Pokud se neuvede žádný prefix, je automaticky použito + = zpráva úspěšně projde. Takže můžeme mít takovýto zápis "v=spf1 a mx ip4:185.8.238.10 ip6:2a02:2b88:2:1::2e09:1/64 include:_spf.google.com -all" Ten nám říká, že používáme SPF verze 1, všechny adresy zapsané jako A a MX jsou povolené, dále je povolena IPv4 adresa 185.8.238.10 a rozsah IPv6 adres 2a02:2b88:2:1::2e09:1/64, include blok kopíruje pravidla z domény google.com (povolí odesílání ze SMTP serverů gmailu) a poslední záznam říká, že všechno (ostatní) bude zahozeno. Chyby v záznamech: Při používání SPF jsem zjistil, že některé stránky mají nesmyslný, či neplatný SPF záznam. Vždy je důležité SPF záznam validovat (například pomocí http://www.kitterman...f/validate.html) a zkontrolovat, zda dává smysl. Např. toto fórum má následující záznam: Validace sice úspěšně prošla (záznam je správně zapsaný a je platný) ale to neznamená, že musí mít také smysl. Výše uvedené pravidlo povolí přijetí pro A záznamy, MX záznamy, pro jednu IPv4 adresu a následně všechny ostatní záznamy také povolí. Takže ve finále e-mail projde za každé situace a ochrana fungovat nebude. Stejný výsledek je, pokud žádný SPF záznam nemáte (v dnešní době). Pro pravidlo all je tedy dobré označit e-mail jako spam (~),či ho rovnout odmítnout, pokud máte jistotu, že jiné SMTP servery nevyužíváte. Další příklad je na první pohled správně zapsaný záznam ale má jednu důležitou vadu: Uvedené záznamy jsou sami o sobě validní ale SPF podporuje pouze jeden záznam pro jednu doménu. Takže se s největší pravděpodobností nepoužije pravidlo žádné a vše je povoleno. Tohle se může stát menší dezinformací například ze strany poskytovatele - daný záznam je vygenerovaný z prostředí Google Apps, kde vám ho zobrazí průvodce přidání domény, ale je důležité si uvědomit, že je to jen ukázkový příklad, pokud by doména používala jen SMTP servery Googlu. Nelze tady záznam vzít a jednoduše vložit - je třeba ho rozumně spojit s již stavící konfigurací. Ve finále je určitě výhodné SPF používat. Jedná se o jeden jednoduchý záznam a ochrání vás před zneužitím vaší domény, což je k nezaplacení. odysey and Copenhagen 2 Quote Link to comment Share on other sites More sharing options...
odysey Posted May 23, 2014 Report Share Posted May 23, 2014 Hezké, jednoduché a chytré..za mě poděkování a +1 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.