K čomu slúži SPF záznam?
SPF (Sender Policy Framework) záznam slúži pre zlepšenie dôveryhodnosti vašej domény pri odosielaní emailov a zvýšenia istoty ich doručenia. SPF záznam nesie informácie o emailových serveroch, ktoré sú oprávnené odosielať emailové správy v mene vašej domény. Vo východzom stave je pre všetky nové domény zaregistrované u nás SPF záznam automaticky zapnutý.
Overiť si to môžete priamo v DNS záznamoch vašej domény, ak teda v DNS záznamoch uvidíte TXT záznam s hodnotou
v=spf1 a mx include:_spf.dnsserver.eu ~all
alebo s otáznikom
v=spf1 a mx include:_spf.dnsserver.eu ?all
tak SPF záznam pre vašu doménu bol aktivovaný.
Ako si aktivovať SPF záznam v Control Paneli
Ak sa v DNS záznamoch nenachádza žiadny SPF záznam, tak si ho môžete pridať buď pridaním nového DNS záznamu alebo ešte jednoduchšie bude, keď si ho vo svojom Control Paneli zapnete.
Po prihlásení do Control Panela kliknite na službu E-mailové účty
a následne na tlačidlo SPF/DKIM.
V nastaveniach uvidíte tieto možnosti:
- SPF send: zapnutím tejto možnosti docielite, že keď si emailový server príjemcu (teda ten, komu email posielate) preveruje SPF záznam a email nie je poslaný z IP adresy uvedenej v tomto zázname, tak email bude serverom odmietnutý. V praxi to znamená, že ak by sa spamer chcel maskovať za vašu emailovú adresu, ale email odošle z iného servera ako z toho, ktorého IP adresu alebo server vidíte vo svojom SPF zázname, tak email nebude doručený alebo bude označený za spam.
- SPF receive: Platí to isté ako v predchádzajúcom prípade, ale tentoraz sú posudzované emaily, ktoré prijímate. Ak si toto nastavenie zapnete, naše servery budú kontrolovať SPF záznamy a ak email bude prijatý z inej IP adresy alebo servera, ktoré sú uvedené v SPF zázname, tak budú označené za spam alebo nebudú doručené vôbec (záleží od toho, ako doména odosielateľa má prísne nastavený SPF záznam).
- DKIM send: keď označíte, emaily budú digitálne podpísané, pre viac informácii o DKIM zázname kliknite na tento článok.
Popis SPF záznamu
Každý SPF záznam musí dodržiavať vopred určenú syntax, aby bol servermi prijímateľa akceptovaný a prijatá emailová správa korektne spracovaná.
Toto je štandardný SPF záznam EXO Hosting, ktorý použijeme ako vzorový príklad a v tabuľke pod ním si ho rozoberieme:
v=spf1 a mx include:_spf.dnsserver.eu ~all
Mechanizmus | Popis ako mechanizmus v SPF zázname funguje na strane prijímateľa emailovej pošty |
v | verzia SPF záznamu, neurčuje vlastnosti SPF záznamu, ale každý záznam ňou musí začínať |
a | akceptovaný bude A záznam domény (IP adresa), platí záznam pre hlavnú (root) doménu |
mx | akceptovaný bude MX záznam domény (server) |
ip4 | akceptovaná bude adresa v tvare IP4 (nie je použitá v našom príklade) |
ip6 | akceptovaná bude adresa v tvare IP6 (nie je použitá v našom príklade) |
include | zahŕňa vlastnosti iného SPF záznamu, ktoré majú byť akceptované |
all | určuje ako sa bude nakladať s emailami zaslanými z iných serverov ako uvedenými v SPF zázname (viď nižšie) |
Každý SPF záznam končí na all, ktoré je ešte doplnené o znak, ktorý určuje, ako server prijímateľa bude prísne posudzovať prijaté emailové správy. V tabuľke nižšie sú popísané tieto prípady posudzovania.
Kvalifikácia | Čo spraví server prijímateľa? |
+all | Benevolentné posúdenie. Budú akceptované emailové správy zo všetkých serverov, bez ohľadu na to, aké sa nachádzajú v SPF zázname. Emailová správa bude vždy prijatá serverom prijímateľa, pretože SPF záznam informuje, že hocijaký server mimo zadaného v zázname (resp. IP adresa) je oprávnený odosielať v mene vašej domény. Ide o východziu hodnotu, ale z pohľadu dôveryhodnosti je nevhodná a preto v praxi sa nezvykne používať. |
?all | Ide o neutrálne posúdenie. Tento SPF záznam je v podstate len informačný a výslovne neuvádza, že len server resp. IP adresa zahrnutá v zázname je oprávnená odosielať v mene domény, takže emailové správy budú zvyčajne plne akceptované serverom prijímateľa, aj keď budú emaily odoslané z iných serverov, ktoré nie sú v SPF zázname uvedené. Výnimočne sa niekedy môže stať, že emailová správa bude označená ako podozrivá. |
~all | Mierne až prísne posúdenie. Ak emailová správa bude odoslaná zo servera, ktorý nie je uvedený v SPF zázname, tak server prijímateľa dostane informáciu, že tento server pravdepodobne nie je oprávnený odosielať v mene domény. Server prijímateľa správu ale zvyčajne prijme, hoci s veľkou pravdepodobnosťou ju označí za podozrivú alebo ako možný spam alebo skončí rovno v nevyžiadanej pošte. SPF záznam končiaci na ~all je štandardným záznamom EXO Hosting. |
-all | Najprísnejšie posúdenie. Ak sa odošle email zo servera, ktorý nie je uvedený v SPF zázname, tak server prijímateľa bude informovaný, že daný server odosielateľa (resp. IP adresa) nie je oprávnený odosielať v mene domény. Keďže záznam SPF nezahŕňa IP adresu odosielajúceho servera ani jeho názov (doménu), emailové správy neprejdú overením, budú rovno odmietnuté, nedoručené, v lepšom prípade skončia v nevyžiadanej pošte. |
Majte na pamäti, že konkrétne nastavenie SPF záznamu nie je 100% zárukou toho, ako servery prijímateľa budú s prijatými emailami pracovať. Môže sa stať aj to, že bude odoslaný email aj z iného servera, ako toho čo máte uvedeného vo svojom "-all" SPF zázname a serverom prijímateľa bude akceptovaný. Záleží od servera prijímateľa akú váhu dáva SPF záznamom odosielateľa pri kontrole emailov a aké nástroje, či analýzy pri tom používa.
Príklady SPF
v=spf1 a mx include:_spf.dnsserver.eu ~all
Tento SPF záznam je verzie SPF1 (v=spf1), sú akceptované emaily z IP adresy uvedenej v A zázname (a) a z MX serverov (mx) uvedených v DNS záznamoch domény, zároveň sú akceptované pravidlá SPF záznamu servera dnsserver.eu. Správy z iných serverov alebo IP adries budú tiež akceptované (~all), ale môžu byť označené ako podozrivé alebo ako spam.
v=spf1 a -all
Tento SPF záznam je verzie SPF1 (v=spf1) a sú akceptované emaily len z IP adresy uvedenej v A zázname (a). Emailové správy odoslané z iných zdrojov (-all) budú serverom prijímateľa odmietnuté alebo skončia v nevyžiadanej pošte.
SPF záznamy iných serverov
Pre prípad, keby ste chceli využívať na zasielanie emailov servery iných spoločností, je potrebné, aby ste si SPF záznam v DNS záznamoch doplnili o SPF záznam daných spoločností. Tu je zoznam SPF záznamov niektorých bežne používaných serverov:
Server | Časť záznamu potrebného pridať do SPF záznamu EXO Hosting | Viac informácií |
Google/Gmail | include:_spf.google.com | zdroj |
Microsoft Outlook | include:spf.protection.outlook.com | zdroj |
Mailchimp | include:spf.mandrillapp.com | zdroj |
Mailgun | include:mailgun.org | zdroj |
SendGrid | include:sendgrid.net | zdroj |
Adobe Workfront | include:spf.workfront.com | zdroj |
Shoptet | include:_spf.myshoptet.com | zdroj |
Shoptec | include:_spf.vshosting.cloud | zdroj |
* kliknutím na odkaz zdroj, si dodatočne overte, či daný SPF záznam je aktuálny, keďže nezaručujeme platnosť údajov tretích strán, hoci je veľmi nízka pravdepodobnosť, že by sa niektorý zo záznamov mal v budúcnosti zmeniť.
Ako skombinovať viaceré SPF záznamy
V prípade, ak používate hostingové služby aj od iného poskytovateľa, pravdepodobne budete potrebovať pridať server iného poskytovateľa do nášho SPF záznamu - čo odporúčame, aby vaše emailové správy boli spoľahlivo doručované vo všetkých prípadoch.
Príklad pridania iného servera do SPF záznamu od EXO Hosting
Ak napríklad chcete odosielať emaily z prostredia Google (Gmail), tak servery Gmail pridajte do SPF záznamu, konkrétne v tvare include:_spf.google.com a výsledný SPF záznam bude vyzerať takto:
v=spf1 a mx include:_spf.dnsserver.eu include:_spf.google.com ~all
Príklad pridania konkrétnej IP adresy do SPF záznamu od EXO Hosting
Napríklad chcete informovať server prijímateľa, že budete odosielať emaily aj zo servera s IP adresou 8.8.8.8, túto adresu potom musíte pridať v tvare ip4:8.8.8.8 a výsledný SPF záznam bude vyzerať takto:
v=spf1 a mx include:_spf.dnsserver.eu ip4:8.8.8.8 ~all
Subdoména na inej IP adrese
Ak na doméne máte subdoménu, ktoré mieri na iné servery a z jej webového priestoru odosielate emaily, je potrebné ju tiež zahrnúť do SPF záznamu.
Príklad DNS záznamov:
Názov | TTL | Typ záznamu | Hodnota |
exotechnologies.sk | 3600 | IN A | 92.240.253.223 |
*.exotechnologies.sk | 3600 | IN A | 92.240.253.223 |
test.exotechnologies.sk | 3600 | IN A | 10.10.10.10 |
Východzí SPF záznam:
v=spf1 a mx include:_spf.dnsserver.eu ~all
platí pre hlavnú (root) doménu, teda exotechnologies.sk. Keďže všetky subdmény (*) mieria na rovnakú IP adresu, v SPF zázname budú akceptované emaily zo všetkých subdomén, okrem subdomény test, ktorá mieri na server s inou IP adresou. V tomto prípade sa odporúča do SPF záznamu zahrnúť buď subdoménu:
v=spf1 a a:test.exotechnologies.sk mx include:_spf.dnsserver.eu ~all
alebo priamo IP adresu:
v=spf1 a mx include:_spf.dnsserver.eu ip4:10.10.10.10 ~all
Kontrola SPF záznamu
Pred uložením každého SPF záznamu si najprv skontrolujte jeho syntax, akákoľvek chyba spôsobí jeho nefunkčnosť. Ak bude syntax označená ako platná, tak si SPF záznam v DNS záznamoch uložte. Zmena sa prejaví obyčajne do dvoch hodín od uloženia.
Na kontrolu syntaxe SPF záznamov môžete použiť viacero internetových služieb:
See also this article
See also this article