Proč nepřesměrovávat poštu a k čemu je SPF

Proč nepřesměrovávat poštu a k čemu je SPF

SPF (Sender Policy Framework) - je e-mailový validační systém sloužící jako obrana proti SPAMu.

Spočívá v tom, že umožňuje administrátorům určit, které počítače mohou odesílat poštu z dané domény a které ne. Každou zprávu takto server kontroluje a rozhodne, zda je přijme, označí za SPAM nebo zahodí. Jelikož je problematika opravdu složitá, zkusíme tuto problematiku ukázat na dvou jednoduchých příkladech.


Příklad č. 1:

  1. Pepa z firmy ABC odesílá e-mail kolegovi Alojzovi z firmy XYZ.
  2. Poštovní server firmy ABC zprávu zpracovává a odesílá pomocí SMTP na server firmy XYZ, kde pracuje Alojz.
  3. Firma XYZ používá na svém poštovním serveru antispamové řešení, které mimo jiné umí vyhodnocovat SPF. Zpráva od Pepy je přijata a podléhá spamové kontrole a ověření pomocí SPF. Server se dotazuje DNS serveru, který drží SPF záznam pro firmu ABC.
  4. Ten pak odpovídá a vrací výsledek dotazu.
  5. Server firmy XYZ zjistí ze SPF záznamu, zda je server firmy ABC oprávněn odesílat poštu za doménu XYZ.cz. Pakliže ano, je zpráva doručena Alojzovi.

Příklad č. 2 - přesměrovávání:

  1. Pepa z firmy ABC odesílá e-mail kolegovi Alojzovi z firmy XYZ.
  2. Poštovní server firmy ABC zprávu zpracovává a odesílá pomocí SMTP na server firmy XYZ, kde pracuje Alojz. Ten ale má nastaveno přesměrování na svůj soukromý mail u firmy OPQ
  3. Firma OPQ používá na svém poštovním serveru antispamové řešení, které mimo jiné umí vyhodnocovat SPF. Zpráva od Pepy je přijata a podléhá spamové kontrole a ověření pomocí SPF. Server se dotazuje DNS serveru, který drží SPF záznam pro firmu ABC.
  4. Ten pak odpovídá a vrací výsledek dotazu.
  5. Server firmy OPQ zjistí ze SPF záznamu, zda je server firmy XYZ oprávněn odesílat poštu za doménu OPQ.cz. A zjistí, že oprávnění má pouze firma ABC, mail ale přišel z domény XYZ, která oprávnění nemá. Zpráva je tedy označena jako spam.

Proč je politika SPF stále více rozšiřována a nasazována?

Důvodem jsou spammeři, kteří svou identitu schovávají za falešnou adresou a jsou obtížně vysledováni. Dalším důvodem jsou také útočníci phissingu, kteří se z Vás snaží vylákat osobní údaje. Díky SPF může majitel internetové domény přesně určit z jakých zařízení lze odesílat poštu jménem majitele této domény. Útočník je tedy nucen založit si mail v dané doméně, ale tím taky zobrazí svou identitu.


Tento systém má 4 mechanismy:

  • 1. pass - daný rozsah adres vyhovuje politice (výchozí)
  • 2. neutral - pro daný rozsah adres politika neexistuje
  • 3. fail - daný rozsah adres nevyhovuje politice
  • 4. softfail - daný rozsah adres spíše nevyhovuje politice

Systém SPF je poměrně mladý a donedávna byl označován jako experimentální, tato technologie tedy není zatím příliš rozšířena. Aby bylo možné pomocí ní vymýtit spam, musely by mít všechny domény na světě příslušné (a správně nadefinované) SPF záznamy a všechny SMTP servery na světě by musely provádět příslušné kontroly. Na správné nastavení pravidel v SPF záznamu je potřeba dávat si velký pozor. Pokud omylem na nějaký počítač či nějakou podsíť zapomeneme, může nastat problém s doručováním regulérních e-mailů. Jsou však domény, u kterých SPF pravidlo nastavit nelze – např. u freemailových služeb typu seznam.cz, z nich se e-maily odesílají odkudkoliv.


Samozřejmě i naše společnost využívá SPF technologie. Na nově zavedených doménách se do DNS zřizuje tento TXT záznam "v=spf1 mx ip4:217.16.185.104 ip4:93.185.5.21 ip4:93.185.103.248 ~all". To znamená, že maily z domény může posílat pouze IP adresa uvedená v tomto rozsahu.


Pro více informací se informujte u našich techniků +420 558 644 011

Sdílet článek:
Autor:
Vojtěch Kocián

administrátor / seo / marketing

 kocian.vojtech@eabm.cz
 

Novinky eABM

Novinky nejen ze světa IT
František Fajna | 11. listopad 2024

Potřebujete notebook pro práci, školní počítač pro děti nebo zařízení pro celou rodinu? V naší nabídce naleznete široký výběr kvalitních produktů za skvělé ceny.

Václav Dobiáš | 30. říjen 2024

Jednou z našich klíčových služeb, kterou našim klientům poskytujeme, je monitoring a aktivní řešení vzniklých problémů. Dnes vám přinášíme ukázku z praxe, kdy se klienti o problému nejen nedozvěděli, ale ani je výpadek díky naší službě monitoringu nijak v provozu neomezil.

Václav Dobiáš | 22. říjen 2024

Pokud jste někdy používali Google Workspace, možná jste se setkali s možností zápisu e-mailu se znakem “+” v adrese, například dobias.vaclav+eabm@eabm.cz. Možná ale nevíte, že tato funkce je dostupná také v Microsoft 365.