Kacper's Wiki

Narzędzia użytkownika

Narzędzia witryny

Ślad: spf

Pasek boczny

Strony:

Linki:

Chcesz więcej informacji?
Skontaktuj się ze mną

tutoriale:spf

Spis treści

Mail: SPF – Sender Policy Framework

Co to jest SPF?

SPF (Sender Policy Framework) to mechanizm uwierzytelniania poczty e-mail, który pomaga chronić domenę przed:

  • spoofingiem (podszywaniem się pod adresy e-mail),
  • phishingiem,
  • nadużyciem serwerów do wysyłki nieautoryzowanych wiadomości.

SPF pozwala właścicielowi domeny określić, które serwery mają prawo wysyłać e-maile w jej imieniu.

Jak działa SPF?

1. Właściciel domeny dodaje specjalny rekord TXT do DNS swojej domeny. 2. Gdy serwer odbiorcy (np. Gmail) otrzymuje e-mail:

  • sprawdza, z jakiego adresu IP wiadomość została wysłana,
  • porównuje ten adres z listą serwerów zdefiniowaną w rekordzie SPF domeny nadawcy.

3. Na tej podstawie wiadomość:

  • przechodzi test SPF (pass),
  • lub go nie przechodzi (fail, softfail, neutral, itp.).

Rekord SPF – Gdzie i jak go dodać

Rekord SPF dodaje się jako rekord TXT do DNS domeny.

Typ Nazwa Wartość (przykład)
TXT ostrowski.net.pl 
v=spf1 include:mx.ovh.com -all

* `Nazwa`: to główna domena (bez prefiksu, np. nie `_spf`). * `Wartość`: deklaracja SPF (szczegóły poniżej).

Składnia rekordu SPF

v=spf1 [elementy] [mechanizmy końcowe]

Najczęstsze elementy SPF

Element Opis
`ip4:x.x.x.x` Pozwala na wysyłkę z adresu IPv4
`ip6:xxxx::xxxx` Pozwala na wysyłkę z adresu IPv6
`include:domena` Uznaje rekord SPF innej domeny (np. dostawcy usług e-mail)
`a` Zezwala na serwery wskazane w rekordzie A domeny
`mx` Zezwala na serwery MX zdefiniowane dla domeny
`exists:` Zezwolenie w oparciu o istnienie DNS
`all` Pasuje do wszystkich — używane na końcu jako domyślne zachowanie

Modyfikatory mechanizmów

Symbol Znaczenie
`+` Pass (domyślnie — nie trzeba pisać)
`-` Fail – odrzucić
`~` SoftFail – zaakceptuj, ale oznacz jako podejrzane
`?` Neutral – żadnego wyraźnego wyniku

Przykłady Rekordów SPF

1. Prosty rekord tylko dla jednego IP

v=spf1 ip4:192.0.2.1 -all

Tylko IP `192.0.2.1` może wysyłać maile z tej domeny. Wszystko inne jest odrzucane (`-all`).

2. SPF dla serwerów OVH

v=spf1 include:mx.ovh.com -all

Zezwala wszystkim serwerom OVH (zdefiniowanym w `mx.ovh.com`) na wysyłanie maili.

3. Kombinacja IP + serwerów mailowych + fallback

v=spf1 ip4:203.0.113.0/24 include:_spf.google.com ~all

Zezwala:

  • adresom IP z zakresu `203.0.113.0/24`
  • serwerom Gmaila

Wszystko inne dostaje softfail (trafia np. do spamu, ale nie jest odrzucane).

Rekomendacje Bezpieczeństwa

1. Zawsze kończ rekord SPF mechanizmem `all`:

  • `-all` → wszystko poza listą = odrzuć
  • `~all` → wszystko poza listą = oznacz jako podejrzane

2. Unikaj nadmiaru `include:` – każde z nich to dodatkowe zapytanie DNS (limit: 10). 3. Nie używaj SPF bez `all` – to otwarte zaproszenie dla spamerów. 4. Testuj po każdej zmianie – np. na [https://mxtoolbox.com](https://mxtoolbox.com).

Narzędzia do testowania SPF

Co się stanie, gdy SPF zawiedzie?

To zależy od polityki serwera odbiorczego. Możliwe reakcje:

  • zaakceptowanie, ale oznaczenie jako SPAM (softfail),
  • odrzucenie wiadomości (fail),
  • całkowita neutralność – traktowanie jak każdą inną wiadomość.

Częste problemy z SPF

  • Brak `all` → rekord nieskuteczny
  • Zbyt wiele `include:` → przekroczenie limitu zapytań DNS
  • Błąd składni (np. podwójne `v=spf1`)
  • Nieaktualne wpisy dostawców (np. po migracji serwera)

Podsumowanie

SPF jest prostym, ale bardzo skutecznym narzędziem zabezpieczającym Twoją domenę e-mail przed nadużyciami. Prawidłowo skonfigurowany:

  • ogranicza możliwość podszywania się pod Twój adres e-mail,
  • poprawia reputację domeny,
  • zwiększa dostarczalność wiadomości.

SPF powinien być stosowany razem z DKIM i DMARC dla pełnej ochrony poczty.

tutoriale/spf.txt · ostatnio zmienione: przez administrator

Narzędzia strony

Wszystkie treści w tym wiki, którym nie przyporządkowano licencji, podlegają licencji: GNU Free Documentation License 1.3
GNU Free Documentation License 1.3