zabezpieczenie poczty SPF all

SPF – czym różni się ~all od -all

SPF czyli bardzo istotne narzędzie do przeciwdziałania nieautoryzowanej wysyłce maili, który został opisany w artykule SPF i DKIM-zabezpieczenie przed spamem

W tym artykule została przedstawiona dość istotna różnica w ustawieniach tego rekordu: różnica między parametrem ,,~all,, a ,,-all,,

~all

Parametr ~all jest mniej restrykcyjny, podczas używania tego parametru większość serwerów odbierających pocztę wysłaną z serwera, który nie jest podany w ustawieniach zabezpieczenia SPF, uzna wiadomość za spam i może ją odrzucić (ale nie musi).

Przykład działania:

Domena @domenaklienta.pl ma skonfigurowany poprawnie rekord SPF, w którym podany jest adres IP serwera uprawnionego do wysyłki z domeny: @domenaklienta.pl. Rekord SPF zakończony jest oznaczeniem: ~all

Wysyłka z adresu biuro@domenaklienta.pl poprzez nieautoryzowany serwer pocztowy (czyli z IP innego niż wpisane w rekordzie SPF) na biuro@inna-domena.pl. W tym przykładzie to serwer odbiorcy poczty decyduje, czy przyjmie wiadomość czy też ją odrzuci (zależy to od wewnętrznych ustawień danego dostawcy). Ale bazując na oznaczeniu ~all najprawdopodobniej pocztę e-mail przyjmie, ale potraktuje „podejrzanie” i umieści w folderze spam.

-all

Parametr -all jest bardziej restrykcyjny, dzięki czemu korespondencja e-mail jest bardziej chroniona przed wysyłką nieautoryzowanych wiadomości. Gdy ten parametr zostanie użyty w rekordzie SPF, serwer odbiorczy poczty odrzuci wiadomość wysłaną z nieautoryzowanego adresu IP.

Przykład działania:

Domena @domenaklienta.pl ma skonfigurowany poprawnie rekord SPF, w którym podany jest adres IP serwera uprawnionego do wysyłki z domeny: @domenaklienta.pl. Rekord SPF zakończony jest oznaczeniem: -all

Wysyłka z adresu biuro@domenaklienta.pl poprzez nieautoryzowany serwer pocztowy (czyli z IP innego niż wpisane w rekordzie SPF) na biuro@inna-domena.pl. W

tym przykładzie serwer odbiorcy poczty bazując na ustawieniu -all odrzuci wiadomość e-mail.

Zalecenia stosowania SPF -all

Dla własnego bezpieczeństwa warto używać parametru -all aby bardziej zabezpieczyć się przed możliwość podszywania się pod e-maile we własnej domenie i wysyłką nieautoryzowanych maili z własnej domeny.

Takie zalecenia podaje również Zespół reagowania na incydenty naruszenia bezpieczeństwa informatycznego w CERT Polska, która wykonuje obowiązki CSIRT NASK wynikające z ustawy z dnia 5 lipca 2018 r.
o krajowym systemie cyberbezpieczeństwa.

CERT rekomenduje:

Rekord SPF (Sender Policy Framework) może zawierać dyrektywę „~all”. Nie jest to błąd (zwłaszcza gdy poprawnie skonfigurowane są również DKIM i DMARC), ale rekomendujemy przeanalizowanie rekordu i jeżeli jest to w danym przypadku możliwe, zmianę rekordu tak, aby zawierał dyrektywę „-all” (hardfail).

Więcej o konfigurowaniu rekordu SPF można przeczytać o zabezpieczeniach poczty w cPanel: jak dodac nowy wpis

Tomasz
Udostępnij ten artykuł na Facebooku: