Proč nepřesměrovávat poštu a k čemu je SPF

Proč nepřesměrovávat poštu a k čemu je SPF

SPF (Sender Policy Framework) - je e-mailový validační systém sloužící jako obrana proti SPAMu.

Spočívá v tom, že umožňuje administrátorům určit, které počítače mohou odesílat poštu z dané domény a které ne. Každou zprávu takto server kontroluje a rozhodne, zda je přijme, označí za SPAM nebo zahodí. Jelikož je problematika opravdu složitá, zkusíme tuto problematiku ukázat na dvou jednoduchých příkladech.


Příklad č. 1:

  1. Pepa z firmy ABC odesílá e-mail kolegovi Alojzovi z firmy XYZ.
  2. Poštovní server firmy ABC zprávu zpracovává a odesílá pomocí SMTP na server firmy XYZ, kde pracuje Alojz.
  3. Firma XYZ používá na svém poštovním serveru antispamové řešení, které mimo jiné umí vyhodnocovat SPF. Zpráva od Pepy je přijata a podléhá spamové kontrole a ověření pomocí SPF. Server se dotazuje DNS serveru, který drží SPF záznam pro firmu ABC.
  4. Ten pak odpovídá a vrací výsledek dotazu.
  5. Server firmy XYZ zjistí ze SPF záznamu, zda je server firmy ABC oprávněn odesílat poštu za doménu XYZ.cz. Pakliže ano, je zpráva doručena Alojzovi.

Příklad č. 2 - přesměrovávání:

  1. Pepa z firmy ABC odesílá e-mail kolegovi Alojzovi z firmy XYZ.
  2. Poštovní server firmy ABC zprávu zpracovává a odesílá pomocí SMTP na server firmy XYZ, kde pracuje Alojz. Ten ale má nastaveno přesměrování na svůj soukromý mail u firmy OPQ
  3. Firma OPQ používá na svém poštovním serveru antispamové řešení, které mimo jiné umí vyhodnocovat SPF. Zpráva od Pepy je přijata a podléhá spamové kontrole a ověření pomocí SPF. Server se dotazuje DNS serveru, který drží SPF záznam pro firmu ABC.
  4. Ten pak odpovídá a vrací výsledek dotazu.
  5. Server firmy OPQ zjistí ze SPF záznamu, zda je server firmy XYZ oprávněn odesílat poštu za doménu OPQ.cz. A zjistí, že oprávnění má pouze firma ABC, mail ale přišel z domény XYZ, která oprávnění nemá. Zpráva je tedy označena jako spam.

Proč je politika SPF stále více rozšiřována a nasazována?

Důvodem jsou spammeři, kteří svou identitu schovávají za falešnou adresou a jsou obtížně vysledováni. Dalším důvodem jsou také útočníci phissingu, kteří se z Vás snaží vylákat osobní údaje. Díky SPF může majitel internetové domény přesně určit z jakých zařízení lze odesílat poštu jménem majitele této domény. Útočník je tedy nucen založit si mail v dané doméně, ale tím taky zobrazí svou identitu.


Tento systém má 4 mechanismy:

  • 1. pass - daný rozsah adres vyhovuje politice (výchozí)
  • 2. neutral - pro daný rozsah adres politika neexistuje
  • 3. fail - daný rozsah adres nevyhovuje politice
  • 4. softfail - daný rozsah adres spíše nevyhovuje politice

Systém SPF je poměrně mladý a donedávna byl označován jako experimentální, tato technologie tedy není zatím příliš rozšířena. Aby bylo možné pomocí ní vymýtit spam, musely by mít všechny domény na světě příslušné (a správně nadefinované) SPF záznamy a všechny SMTP servery na světě by musely provádět příslušné kontroly. Na správné nastavení pravidel v SPF záznamu je potřeba dávat si velký pozor. Pokud omylem na nějaký počítač či nějakou podsíť zapomeneme, může nastat problém s doručováním regulérních e-mailů. Jsou však domény, u kterých SPF pravidlo nastavit nelze – např. u freemailových služeb typu seznam.cz, z nich se e-maily odesílají odkudkoliv.


Samozřejmě i naše společnost využívá SPF technologie. Na nově zavedených doménách se do DNS zřizuje tento TXT záznam "v=spf1 mx ip4:217.16.185.104 ip4:93.185.5.21 ip4:93.185.103.248 ~all". To znamená, že maily z domény může posílat pouze IP adresa uvedená v tomto rozsahu.


Pro více informací se informujte u našich techniků +420 558 644 011

Sdílet článek:
Autor:
Vojtěch Kocián

administrátor / seo / marketing

 kocian.vojtech@eabm.cz
 

Novinky eABM

Novinky nejen ze světa IT
František Fajna | 18. březen 2024

Maximalizujte produktivitu s Microsoft Lists, nástrojem, který Vám umožní nejen efektivně zpracovávat Vaše data, ale především je propojovat a automatizovat jejich zpracování.

Dan Bača | 12. březen 2024

Na konci roku 2023 se přidal mezi nové hrozby pro zařízení ANDROID škodlivý kód Spy.Banker.BUL. Prostřednictvím tohoto škodlivého kódu útočníci šíří bankovní malware Anatsa. Jakmile Anatsa napadne chytrý telefon, zaměří se na bankovní aplikace.

Václav Dobiáš | 6. březen 2024

Používáte Google Analytics či Google ADS na Vašich webech? Pak od 6. 3. 2024 bude potřebovat své cookieš lišty aktualizovat, jinak přijdete o významný zdroj dat.