Strony:
Masz jakieś pytania?
Skontaktuj się ze mną
Pasek boczny
tutoriale:spf
Spis treści
Mail: SPF – Sender Policy Framework
Co to jest SPF?
SPF (Sender Policy Framework) to mechanizm uwierzytelniania poczty e-mail, który pomaga chronić domenę przed:
- spoofingiem (podszywaniem się pod adresy e-mail),
- phishingiem,
- nadużyciem serwerów do wysyłki nieautoryzowanych wiadomości.
SPF pozwala właścicielowi domeny określić, które serwery mają prawo wysyłać e-maile w jej imieniu.
Jak działa SPF?
1. Właściciel domeny dodaje specjalny rekord TXT do DNS swojej domeny. 2. Gdy serwer odbiorcy (np. Gmail) otrzymuje e-mail:
- sprawdza, z jakiego adresu IP wiadomość została wysłana,
- porównuje ten adres z listą serwerów zdefiniowaną w rekordzie SPF domeny nadawcy.
3. Na tej podstawie wiadomość:
- przechodzi test SPF (pass),
- lub go nie przechodzi (fail, softfail, neutral, itp.).
Rekord SPF – Gdzie i jak go dodać
Rekord SPF dodaje się jako rekord TXT do DNS domeny.
| Typ | Nazwa | Wartość (przykład) |
|---|---|---|
| TXT | ostrowski.net.pl | v=spf1 include:mx.ovh.com -all |
* `Nazwa`: to główna domena (bez prefiksu, np. nie `_spf`). * `Wartość`: deklaracja SPF (szczegóły poniżej).
Składnia rekordu SPF
v=spf1 [elementy] [mechanizmy końcowe]
Najczęstsze elementy SPF
| Element | Opis |
|---|---|
| `ip4:x.x.x.x` | Pozwala na wysyłkę z adresu IPv4 |
| `ip6:xxxx::xxxx` | Pozwala na wysyłkę z adresu IPv6 |
| `include:domena` | Uznaje rekord SPF innej domeny (np. dostawcy usług e-mail) |
| `a` | Zezwala na serwery wskazane w rekordzie A domeny |
| `mx` | Zezwala na serwery MX zdefiniowane dla domeny |
| `exists:` | Zezwolenie w oparciu o istnienie DNS |
| `all` | Pasuje do wszystkich — używane na końcu jako domyślne zachowanie |
Modyfikatory mechanizmów
| Symbol | Znaczenie |
|---|---|
| `+` | Pass (domyślnie — nie trzeba pisać) |
| `-` | Fail – odrzucić |
| `~` | SoftFail – zaakceptuj, ale oznacz jako podejrzane |
| `?` | Neutral – żadnego wyraźnego wyniku |
Przykłady Rekordów SPF
1. Prosty rekord tylko dla jednego IP
v=spf1 ip4:192.0.2.1 -all
Tylko IP `192.0.2.1` może wysyłać maile z tej domeny. Wszystko inne jest odrzucane (`-all`).
2. SPF dla serwerów OVH
v=spf1 include:mx.ovh.com -all
Zezwala wszystkim serwerom OVH (zdefiniowanym w `mx.ovh.com`) na wysyłanie maili.
3. Kombinacja IP + serwerów mailowych + fallback
v=spf1 ip4:203.0.113.0/24 include:_spf.google.com ~all
Zezwala:
- adresom IP z zakresu `203.0.113.0/24`
- serwerom Gmaila
Wszystko inne dostaje softfail (trafia np. do spamu, ale nie jest odrzucane).
Rekomendacje Bezpieczeństwa
1. Zawsze kończ rekord SPF mechanizmem `all`:
- `-all` → wszystko poza listą = odrzuć
- `~all` → wszystko poza listą = oznacz jako podejrzane
2. Unikaj nadmiaru `include:` – każde z nich to dodatkowe zapytanie DNS (limit: 10). 3. Nie używaj SPF bez `all` – to otwarte zaproszenie dla spamerów. 4. Testuj po każdej zmianie – np. na [https://mxtoolbox.com](https://mxtoolbox.com).
Narzędzia do testowania SPF
Co się stanie, gdy SPF zawiedzie?
To zależy od polityki serwera odbiorczego. Możliwe reakcje:
- zaakceptowanie, ale oznaczenie jako SPAM (softfail),
- odrzucenie wiadomości (fail),
- całkowita neutralność – traktowanie jak każdą inną wiadomość.
Częste problemy z SPF
- Brak `all` → rekord nieskuteczny
- Zbyt wiele `include:` → przekroczenie limitu zapytań DNS
- Błąd składni (np. podwójne `v=spf1`)
- Nieaktualne wpisy dostawców (np. po migracji serwera)
Podsumowanie
SPF jest prostym, ale bardzo skutecznym narzędziem zabezpieczającym Twoją domenę e-mail przed nadużyciami. Prawidłowo skonfigurowany:
- ogranicza możliwość podszywania się pod Twój adres e-mail,
- poprawia reputację domeny,
- zwiększa dostarczalność wiadomości.
SPF powinien być stosowany razem z DKIM i DMARC dla pełnej ochrony poczty.
tutoriale/spf.txt · ostatnio zmienione: przez administrator
Narzędzia strony
Wszystkie treści w tym wiki, którym nie przyporządkowano licencji, podlegają licencji: GNU Free Documentation License 1.3
