SPF czyli bardzo istotne narzędzie do przeciwdziałania nieautoryzowanej wysyłce maili, który został opisany w artykule SPF i DKIM-zabezpieczenie przed spamem
W tym artykule została przedstawiona dość istotna różnica w ustawieniach tego rekordu: różnica między parametrem ,,~all,, a ,,-all,,
~all
Parametr ~all jest mniej restrykcyjny, podczas używania tego parametru większość serwerów odbierających pocztę wysłaną z serwera, który nie jest podany w ustawieniach zabezpieczenia SPF, uzna wiadomość za spam i może ją odrzucić (ale nie musi).
Przykład działania:
Domena @domenaklienta.pl ma skonfigurowany poprawnie rekord SPF, w którym podany jest adres IP serwera uprawnionego do wysyłki z domeny: @domenaklienta.pl. Rekord SPF zakończony jest oznaczeniem: ~all
Wysyłka z adresu biuro@domenaklienta.pl poprzez nieautoryzowany serwer pocztowy (czyli z IP innego niż wpisane w rekordzie SPF) na biuro@inna-domena.pl. W tym przykładzie to serwer odbiorcy poczty decyduje, czy przyjmie wiadomość czy też ją odrzuci (zależy to od wewnętrznych ustawień danego dostawcy). Ale bazując na oznaczeniu ~all najprawdopodobniej pocztę e-mail przyjmie, ale potraktuje „podejrzanie” i umieści w folderze spam.
-all
Parametr -all jest bardziej restrykcyjny, dzięki czemu korespondencja e-mail jest bardziej chroniona przed wysyłką nieautoryzowanych wiadomości. Gdy ten parametr zostanie użyty w rekordzie SPF, serwer odbiorczy poczty odrzuci wiadomość wysłaną z nieautoryzowanego adresu IP.
Przykład działania:
Domena @domenaklienta.pl ma skonfigurowany poprawnie rekord SPF, w którym podany jest adres IP serwera uprawnionego do wysyłki z domeny: @domenaklienta.pl. Rekord SPF zakończony jest oznaczeniem: -all
Wysyłka z adresu biuro@domenaklienta.pl poprzez nieautoryzowany serwer pocztowy (czyli z IP innego niż wpisane w rekordzie SPF) na biuro@inna-domena.pl. W
tym przykładzie serwer odbiorcy poczty bazując na ustawieniu -all odrzuci wiadomość e-mail.
Zalecenia stosowania SPF -all
Dla własnego bezpieczeństwa warto używać parametru -all aby bardziej zabezpieczyć się przed możliwość podszywania się pod e-maile we własnej domenie i wysyłką nieautoryzowanych maili z własnej domeny.
Takie zalecenia podaje również Zespół reagowania na incydenty naruszenia bezpieczeństwa informatycznego w CERT Polska, która wykonuje obowiązki CSIRT NASK wynikające z ustawy z dnia 5 lipca 2018 r.
o krajowym systemie cyberbezpieczeństwa.
CERT rekomenduje:
Rekord SPF (Sender Policy Framework) może zawierać dyrektywę „~all”. Nie jest to błąd (zwłaszcza gdy poprawnie skonfigurowane są również DKIM i DMARC), ale rekomendujemy przeanalizowanie rekordu i jeżeli jest to w danym przypadku możliwe, zmianę rekordu tak, aby zawierał dyrektywę „-all” (hardfail).
Więcej o konfigurowaniu rekordu SPF można przeczytać o zabezpieczeniach poczty w cPanel: jak dodac nowy wpis
- DMARC – zmiana ustawień - 6 grudnia, 2023
- Limity zasobów – szczegółowe informacje - 11 października, 2023
- Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej – zmiany w branży hostingowej - 25 września, 2023