Sender Policy Framework (SPF) je metoda ověřování e-mailů, která pomáhá předcházet padělání e-mailové adresy odesílatele(e-mailový spoofing).
SPF funguje tak, že se přidá jako TXT záznam, který je používán DNS k identifikaci poštovních serverů, které mohou odesílat poštu jménem vaší domény.
SPF ověřuje původ e-mailových zpráv ověřením IP adresy odesílatele proti údajnému vlastníkovi odesílací domény. Pokud je e-mail odeslán z autorizovaného serveru, přijímající server může důvěřovat, že e-mail skutečně pochází z uvedené domény a není to phishingový útok. Pokud e-mail není odeslán z autorizovaného serveru nebo selže při ověření SPF, může být označen jako podezřelý nebo spam.
SPF funguje společně s DomainKeys Identified Mail (DKIM) a DMARC pro ověření odesílatelů pošty. Použití SPF společně s DKIM a DMARC poskytuje organizacím větší ochranu proti spoofingu a phishingovým e-mailům.
Nastavení SPF
SPF záznam je uložen jako TXT záznam v DNS vaší domény. Základní formát SPF záznamu je následující:
v=spf1 [mechanisms] [qualifiers]
v=spf1
– označuje verzi SPF protokolu.
[mechanisms]
– jsou různé mechanismy, které definují, které servery jsou oprávněny odesílat poštu jménem vaší domény. Některé běžné mechanismy zahrnují:
a:
Ověřuje, zda IP adresa odesílatele odpovídá A nebo AAAA záznamu domény.mx:
Ověřuje, zda IP adresa odesílatele odpovídá některému z MX záznamů domény.ip4
aip6:
Ověřuje, zda IP adresa odesílatele odpovídá specifikované IPv4 nebo IPv6 adrese nebo rozsahu.include:
Zahrnuje SPF záznam jiné domény.
[qualifiers]
– určují, co se stane, pokud e-mail selže při ověření SPF. Některé běžné kvalifikátory zahrnují:
+ (Pass)
: E-mail projde ověřením SPF.- (Fail)
: E-mail selže při ověření SPF a by měl být odmítnut.~ (SoftFail)
: E-mail selže při ověření SPF, ale by měl být přijat s varováním.? (Neutral)
: E-mail není ověřen SPF.
Například jednoduchý SPF záznam pro doménu cloudpartner.cz, který povoluje odesílání pošty ze serverů Microsoft Exchange Online a ze specifikované IPv4 adresy, by mohl vypadat takto:
v=spf1 include:spf.protection.outlook.com ip4:52.0.0.1 -all
Tento záznam říká, že e-maily odeslané ze serverů Microsoft Exchange Online (spf.protection.outlook.com) nebo ze specifikované IPv4 adresy projdou ověřením SPF, zatímco všechny ostatní e-maily selžou při ověření SPF a by měly být odmítnuty.
Nastavení SPF pro Exchange Online
Nastavení SPF pro Microsoft Exchange Online je velmi jednoduché, protože na straně Microsoftu je tato funkcionalita nativně zapnuta a podporována. Jediné, co je tedy potřeba udělat, je nastavit TXT záznam na vaší internetové doméně, ze které odesíláte poštu. Jediné, na co si dejte pozor, aby TXT záznam v=spf1 byl nastaven u domény pouze jednou. Pokud takový záznam již ve vašem DNS máte, tak jej pouze rozšiřte o nové nastavení, nezakládejte další záznam.
TXT záznam pro Exchange Online:
v=spf1 include:spf.protection.outlook.com -all
Další informace o SPF v prostředí služeb Microsoft najdete zde:
Doufám, že toto vysvětlení vám pomohlo pochopit možnosti zápisu SPF a jaké hodnoty lze zapsat. Pokud máte další otázky nebo potřebujete více informací, neváhejte se zeptat a pokud si s nastavením nevíte rady, ozvěte se nám, rádi vám pomůžeme s ochranou vaší firemní pošty.