Proč nepřesměrovávat poštu a k čemu je SPF

Proč nepřesměrovávat poštu a k čemu je SPF

SPF (Sender Policy Framework) - je e-mailový validační systém sloužící jako obrana proti SPAMu.

Spočívá v tom, že umožňuje administrátorům určit, které počítače mohou odesílat poštu z dané domény a které ne. Každou zprávu takto server kontroluje a rozhodne, zda je přijme, označí za SPAM nebo zahodí. Jelikož je problematika opravdu složitá, zkusíme tuto problematiku ukázat na dvou jednoduchých příkladech.


Příklad č. 1:

  1. Pepa z firmy ABC odesílá e-mail kolegovi Alojzovi z firmy XYZ.
  2. Poštovní server firmy ABC zprávu zpracovává a odesílá pomocí SMTP na server firmy XYZ, kde pracuje Alojz.
  3. Firma XYZ používá na svém poštovním serveru antispamové řešení, které mimo jiné umí vyhodnocovat SPF. Zpráva od Pepy je přijata a podléhá spamové kontrole a ověření pomocí SPF. Server se dotazuje DNS serveru, který drží SPF záznam pro firmu ABC.
  4. Ten pak odpovídá a vrací výsledek dotazu.
  5. Server firmy XYZ zjistí ze SPF záznamu, zda je server firmy ABC oprávněn odesílat poštu za doménu XYZ.cz. Pakliže ano, je zpráva doručena Alojzovi.

Příklad č. 2 - přesměrovávání:

  1. Pepa z firmy ABC odesílá e-mail kolegovi Alojzovi z firmy XYZ.
  2. Poštovní server firmy ABC zprávu zpracovává a odesílá pomocí SMTP na server firmy XYZ, kde pracuje Alojz. Ten ale má nastaveno přesměrování na svůj soukromý mail u firmy OPQ
  3. Firma OPQ používá na svém poštovním serveru antispamové řešení, které mimo jiné umí vyhodnocovat SPF. Zpráva od Pepy je přijata a podléhá spamové kontrole a ověření pomocí SPF. Server se dotazuje DNS serveru, který drží SPF záznam pro firmu ABC.
  4. Ten pak odpovídá a vrací výsledek dotazu.
  5. Server firmy OPQ zjistí ze SPF záznamu, zda je server firmy XYZ oprávněn odesílat poštu za doménu OPQ.cz. A zjistí, že oprávnění má pouze firma ABC, mail ale přišel z domény XYZ, která oprávnění nemá. Zpráva je tedy označena jako spam.

Proč je politika SPF stále více rozšiřována a nasazována?

Důvodem jsou spammeři, kteří svou identitu schovávají za falešnou adresou a jsou obtížně vysledováni. Dalším důvodem jsou také útočníci phissingu, kteří se z Vás snaží vylákat osobní údaje. Díky SPF může majitel internetové domény přesně určit z jakých zařízení lze odesílat poštu jménem majitele této domény. Útočník je tedy nucen založit si mail v dané doméně, ale tím taky zobrazí svou identitu.


Tento systém má 4 mechanismy:

  • 1. pass - daný rozsah adres vyhovuje politice (výchozí)
  • 2. neutral - pro daný rozsah adres politika neexistuje
  • 3. fail - daný rozsah adres nevyhovuje politice
  • 4. softfail - daný rozsah adres spíše nevyhovuje politice

Systém SPF je poměrně mladý a donedávna byl označován jako experimentální, tato technologie tedy není zatím příliš rozšířena. Aby bylo možné pomocí ní vymýtit spam, musely by mít všechny domény na světě příslušné (a správně nadefinované) SPF záznamy a všechny SMTP servery na světě by musely provádět příslušné kontroly. Na správné nastavení pravidel v SPF záznamu je potřeba dávat si velký pozor. Pokud omylem na nějaký počítač či nějakou podsíť zapomeneme, může nastat problém s doručováním regulérních e-mailů. Jsou však domény, u kterých SPF pravidlo nastavit nelze – např. u freemailových služeb typu seznam.cz, z nich se e-maily odesílají odkudkoliv.


Samozřejmě i naše společnost využívá SPF technologie. Na nově zavedených doménách se do DNS zřizuje tento TXT záznam "v=spf1 mx ip4:217.16.185.104 ip4:93.185.5.21 ip4:93.185.103.248 ~all". To znamená, že maily z domény může posílat pouze IP adresa uvedená v tomto rozsahu.


Pro více informací se informujte u našich techniků +420 558 644 011

Sdílet článek:
Autor:
Vojtěch Kocián

administrátor / seo / marketing

 kocian.vojtech@eabm.cz
 

Novinky eABM

Novinky nejen ze světa IT
František Fajna | 18. prosinec 2024

Vážení klienti, rádi bychom Vás informovali o upravené  Vánoční otevírací době na pobočce ve Frýdku-Místku.

Václav Dobiáš | 11. prosinec 2024

Začněte si značit do kalendářů! Pravděpodobně už jste slyšeli, že podpora Windows 10 skončí 14. října 2025. Pokud musíte i po tomto datu některá zařízení s Windows 10 nadále používat, existuje řešení – zapojení těchto PC do placeného programu Extended Security Update (ESU). Díky ESU získáte přístup k důležitým bezpečnostním aktualizacím, což vám poskytne potřebný čas k přechodu na Windows 11.

František Fajna | 6. prosinec 2024

Spustili jsme nové webové stránky s moderním designem a přehlednějším uspořádáním. Nová tvář webu umožňuje snadný přístup ke všem důležitým informacím.