Jump to content
Geekforum.cz
Sign in to follow this  
ntdrt

SPF a správně zapsaný záznam

Recommended Posts

Takže co je vlastně SPF? Je to nástroj, pomocí kterého se validují příchozí e-mailové zprávy. Pokud na server přijde e-mail, tak se ověří, zda odesílatel (tj. IP serveru), má povolení odesílat e-maily pro danou doménu. A podle záznamu se určí jak se má s e-mailem nakládat, pokud to tak není. Hlavní cíl tohoto nástroje je zabránění SPAMu, vedlejší efekt je ten, že nikdo nezneužije vaší doménu (např. pro phishing).

 

SPF záznam se zapisuje jako normální TXT záznam na DNS serveru a má níže uvedený formát:

Začíná verzí SPF protokolu, nyní je verze 1, takže "v=spf1", dále následuje řada zápisů, které definují, pro které adresy je odesílání povoleno/zakázano a nakonec výchozí chování, pokud žádný z předchozích nebude platit. Popíšu zde jen ty nejvíc užitečné/nejvíce používané vlastnosti. Celou specifikace si můžete přečíst například na wikipedii - http://en.wikipedia....olicy_Framework

 

Dostupné zápisy:

a - označuje adresy, které jsou přiřazeny jako A záznam k dané doméně

ip4 - označuje IP adresu či rozsah IP adres

ip6 - značí IPv6 adresi či zase rozsah adres (udávaný prefixem)

mx - označuje adresy, které jsou přiřazeny jako MX záznam k dané doméně

include - vloží záznamy jiné domény, používá se hlavně pokud máte adres více a tím ušetříte zapisování jednotlivých adres na všechny domény

 

Pro každý zápis je označen prefixem/modifikátorem, který určuje co se s e-mailem stane:

+ = úspěšná kontrola, e-mail se normálně příjme

~ = e-mail se přijme ale je označen (jako SPAM)

- = kontrola selhala, e-mail je odmítnut

Pokud se neuvede žádný prefix, je automaticky použito + = zpráva úspěšně projde.

 

Takže můžeme mít takovýto zápis "v=spf1 a mx ip4:185.8.238.10 ip6:2a02:2b88:2:1::2e09:1/64 include:_spf.google.com -all"

Ten nám říká, že používáme SPF verze 1, všechny adresy zapsané jako A a MX jsou povolené, dále je povolena IPv4 adresa 185.8.238.10 a rozsah IPv6 adres 2a02:2b88:2:1::2e09:1/64, include blok kopíruje pravidla z domény google.com (povolí odesílání ze SMTP serverů gmailu) a poslední záznam říká, že všechno (ostatní) bude zahozeno.

 

Chyby v záznamech:

Při používání SPF jsem zjistil, že některé stránky mají nesmyslný, či neplatný SPF záznam. Vždy je důležité SPF záznam validovat (například pomocí http://www.kitterman...f/validate.html) a zkontrolovat, zda dává smysl.

 

Např. toto fórum má následující záznam:

 

spf-non-sense.png

 

Validace sice úspěšně prošla (záznam je správně zapsaný a je platný) ale to neznamená, že musí mít také smysl. Výše uvedené pravidlo povolí přijetí pro A záznamy, MX záznamy, pro jednu IPv4 adresu a následně všechny ostatní záznamy také povolí. Takže ve finále e-mail projde za každé situace a ochrana fungovat nebude. Stejný výsledek je, pokud žádný SPF záznam nemáte (v dnešní době). Pro pravidlo all je tedy dobré označit e-mail jako spam (~),či ho rovnout odmítnout, pokud máte jistotu, že jiné SMTP servery nevyužíváte.

 

Další příklad je na první pohled správně zapsaný záznam ale má jednu důležitou vadu:

 

spf-error.png

 

Uvedené záznamy jsou sami o sobě validní ale SPF podporuje pouze jeden záznam pro jednu doménu. Takže se s největší pravděpodobností nepoužije pravidlo žádné a vše je povoleno. Tohle se může stát menší dezinformací například ze strany poskytovatele - daný záznam je vygenerovaný z prostředí Google Apps, kde vám ho zobrazí průvodce přidání domény, ale je důležité si uvědomit, že je to jen ukázkový příklad, pokud by doména používala jen SMTP servery Googlu. Nelze tady záznam vzít a jednoduše vložit - je třeba ho rozumně spojit s již stavící konfigurací.

 

Ve finále je určitě výhodné SPF používat. Jedná se o jeden jednoduchý záznam a ochrání vás před zneužitím vaší domény, což je k nezaplacení.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×