SPF czyli bardzo istotne narzędzie do przeciwdziałania nieautoryzowanej wysyłce maili, który został opisany w artykule SPF i DKIM-zabezpieczenie przed spamem

W tym artykule została przedstawiona dość istotna różnica w ustawieniach tego rekordu: różnica między parametrem ,,~all,, a ,,-all,,

~all

Parametr ~all jest mniej restrykcyjny, podczas używania tego parametru większość serwerów odbierających pocztę wysłaną z serwera, który nie jest podany w ustawieniach zabezpieczenia SPF, uzna wiadomość za spam i może ją odrzucić (ale nie musi).

Przykład działania:

Domena @domenaklienta.pl ma skonfigurowany poprawnie rekord SPF, w którym podany jest adres IP serwera uprawnionego do wysyłki z domeny: @domenaklienta.pl. Rekord SPF zakończony jest oznaczeniem: ~all

Wysyłka z adresu biuro@domenaklienta.pl poprzez nieautoryzowany serwer pocztowy (czyli z IP innego niż wpisane w rekordzie SPF) na biuro@inna-domena.pl. W tym przykładzie to serwer odbiorcy poczty decyduje, czy przyjmie wiadomość czy też ją odrzuci (zależy to od wewnętrznych ustawień danego dostawcy). Ale bazując na oznaczeniu ~all najprawdopodobniej pocztę e-mail przyjmie, ale potraktuje „podejrzanie” i umieści w folderze spam.

-all

Parametr -all jest bardziej restrykcyjny, dzięki czemu korespondencja e-mail jest bardziej chroniona przed wysyłką nieautoryzowanych wiadomości. Gdy ten parametr zostanie użyty w rekordzie SPF, serwer odbiorczy poczty odrzuci wiadomość wysłaną z nieautoryzowanego adresu IP.

Przykład działania:

Domena @domenaklienta.pl ma skonfigurowany poprawnie rekord SPF, w którym podany jest adres IP serwera uprawnionego do wysyłki z domeny: @domenaklienta.pl. Rekord SPF zakończony jest oznaczeniem: -all

Wysyłka z adresu biuro@domenaklienta.pl poprzez nieautoryzowany serwer pocztowy (czyli z IP innego niż wpisane w rekordzie SPF) na biuro@inna-domena.pl. W

tym przykładzie serwer odbiorcy poczty bazując na ustawieniu -all odrzuci wiadomość e-mail.

Zalecenia stosowania SPF -all

Dla własnego bezpieczeństwa warto używać parametru -all aby bardziej zabezpieczyć się przed możliwość podszywania się pod e-maile we własnej domenie i wysyłką nieautoryzowanych maili z własnej domeny.

Takie zalecenia podaje również Zespół reagowania na incydenty naruszenia bezpieczeństwa informatycznego w CERT Polska, która wykonuje obowiązki CSIRT NASK wynikające z ustawy z dnia 5 lipca 2018 r.
o krajowym systemie cyberbezpieczeństwa.

CERT rekomenduje:

Rekord SPF (Sender Policy Framework) może zawierać dyrektywę „~all”. Nie jest to błąd (zwłaszcza gdy poprawnie skonfigurowane są również DKIM i DMARC), ale rekomendujemy przeanalizowanie rekordu i jeżeli jest to w danym przypadku możliwe, zmianę rekordu tak, aby zawierał dyrektywę „-all” (hardfail).

Więcej o konfigurowaniu rekordu SPF można przeczytać o zabezpieczeniach poczty w cPanel: jak dodac nowy wpis

• About
• Latest Posts

Tomasz

Administrator systemów informatycznych w Smarthost. Lubi gadżety i nowe technologie. W wolnym czasie jeździ na rolkach.

IT systems administrator at Smarthost. He likes gadgets and new technology. In free time, he rides on rollers.

Latest posts by Tomasz (see all)

• DMARC – zmiana ustawień - 6 grudnia, 2023
• Limity zasobów – szczegółowe informacje - 11 października, 2023
• Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej – zmiany w branży hostingowej - 25 września, 2023