Zapobieganie podszywaniu się pod inne osoby w e-mailach za pomocą rekordów SPF

Ochrona przed sfałszowanymi e-mailami wyglądającymi na pochodzące z Twojej domeny

Spamerzy mogą wysyłać e-maile, które wyglądają na pochodzące z Twojej domeny. Jest to tzw. podszywanie się. Możesz dodać rekord SPF (Sender Policy Framework) w systemie swojego dostawcy hostingu domeny, aby ułatwić odbiorcom rozpoznawanie, skąd powinny pochodzić e-maile z Twojej domeny i że nie są próbą podszywania się.

Jeśli domenę kupiono podczas rejestracji w G Suite od partnera Google (GoDaddy.com, eNom.com lub DomainDiscount24.com), wykonywanie tych czynności może nie być konieczne. Szczegółowe informacje znajdziesz w artykule Ustawienia zarządzane przez dostawcę hostingu domeny.

Dodawanie rekordu TXT SPF w systemie dostawcy hostingu domeny

Dostawca hostingu domeny przechowuje ustawienia tekstowe (zwane rekordami DNS), które kierują ruch internetowy do Twojej domeny. Rekord TXT SPF zawiera listę serwerów poczty, które mogą wysyłać e-maile z Twojej domeny. Jeśli wiadomość zostanie wysłana z serwera, którego nie ma w rekordzie, serwer adresata może uznać ją za spam.

Uwaga: domena może mieć tylko jeden rekord SPF, ale ten rekord może zawierać wiele serwerów. Szczegółowe informacje znajdziesz w sekcji Dodawanie wielu serwerów do rekordu SPF.

  1. Zaloguj się na konto domeny w systemie dostawcy jej hostingu (nie w konsoli administracyjnej Google).
  2. Otwórz stronę służącą do aktualizowania rekordów DNS domeny.
    Może ona mieć nazwę podobną do tych: „DNS management” (Zarządzanie DNS), „name server management” (Zarządzanie serwerem nazw) lub „advanced settings” (Ustawienia zaawansowane).
  3. Sprawdź w rekordach TXT, czy domena ma rekord SPF.
    Rekord SPF zaczyna się od „v=spf1”.
  4. Jeśli Twoja domena ma już rekord SPF, usuń go. Jeśli masz tylko jedno urządzenie, przejdź do kroku 5.
  5. Utwórz rekord TXT z tymi wartościami:
    • Name/Host/Alias (Nazwa/Host/Alias) – wpisz @ lub pozostaw puste pole.
      Na podstawie innych rekordów DNS domeny można wywnioskować, co powinno zawierać to pole.
    • Time to Live (TTL) (Czas życia danych – TTL) – wpisz 3600 lub pozostaw wartość domyślną.
    • Value/Answer/Destination (Wartość/odpowiedź/miejsce docelowe) – wpisz v=spf1 include:_spf.google.com ~all.
  6. Zapisz rekord.

Nowy rekord SPF zacznie obowiązywać w ciągu 48 godzin.

Zarządzanie rekordem SPF

Otwórz wszystko  |  Zamknij wszystko

Weryfikowanie rekordu SPF
Zweryfikuj rekord SPF przy użyciu aplikacji Sprawdzanie rekordów MX, która jest częścią Zestawu narzędzi G Suite:
  1. Otwórz Zestaw narzędzi G Suite.
  2. Wpisz nazwę swojej domeny.
  3. Kliknij Uruchom testy!.
  4. Gdy testy zostaną ukończone, kliknij Zakresy adresów SPF, które można obsłużyć.
  5. Sprawdź wyniki testów SPF.
    Powinny zawierać następujące informacje:
    • _spf.google.com
    • _netblocks.google.com z kilkoma adresami IP
    • _netblocks2.google.com z kilkoma adresami IP
    • _netblocks3.google.com z kilkoma adresami IP
Dodawanie kilku serwerów do rekordu SPF
Domena może mieć tylko jeden rekord SPF, ale możesz w nim umieścić wszystkie swoje serwery poczty. Jeśli na przykład masz skonfigurowaną bramę poczty wychodzącej, rekord SPF powinien zawierać adres serwera Gmaila i adres serwera SMTP bramy poczty wychodzącej.
Aby dodać serwer poczty do istniejącego rekordu SPF, wpisz adres IP tego serwera przed argumentem ~all. Użyj formatu ip4:adres lub ip6:adres zgodnie z tym przykładem:
v=spf1 ip4:172.16.254.1 include:_spf.google.com ~all
Aby dodać domenę serwera poczty, użyj instrukcji „include” w przypadku każdej takiej domeny. Na przykład:
v=spf1 include:domena-serwera.com include:_spf.google.com ~all

Powiązane artykuły

Zarządzanie mechanizmami i kwalifikatorami
Mechanizmy w rekordzie SPF identyfikują serwery, które mogą wysyłać pocztę w imieniu domeny. W rekordzie SPF brany jest pod uwagę każdy mechanizm (od lewej do prawej strony).
Przykładowy rekord SPF:
v=spf1 ip4:172.16.254.1 include:_spf.google.com ~all
Te mechanizmy identyfikują adresy IP, które mogą wysyłać e-maile z domeny:
  • a
  • mx
  • ip4
  • ip6
  • include
  • all

Jeśli serwer nie pasuje do żadnego z mechanizmów podanych w rekordzie SPF, mechanizm all decyduje, czy w przypadku danego e-maila operacja sprawdzania rekordów SPF powinna zakończyć się powodzeniem. 

Aby za pomocą rekordu SPF wpływać na wynik operacji sprawdzania rekordów SPF wykonywanej na e-mailach, możesz dodawać kwalifikatory do mechanizmów.
Kwalifikator Opis
Powodzenie (+) W przypadku e-maili z serwera, który pasuje do mechanizmu z kwalifikatorem + (lub bez kwalifikatora), operacja sprawdzania rekordów SPF kończy się powodzeniem. Adresat powinien zaakceptować e-maila.
Niepowodzenie (-) W przypadku e-maili z serwera, który pasuje do mechanizmu z kwalifikatorem -, operacja sprawdzania rekordów SPF kończy się niepowodzeniem. Adresat powinien odrzucić e-maila.
Częściowe niepowodzenie (~) W przypadku e-maili z serwera, który pasuje do mechanizmu z kwalifikatorem ~, operacja sprawdzania rekordów SPF kończy się powodzeniem, ale takie wiadomości są traktowane jako podejrzane.
Neutralny (?) Mechanizmy z kwalifikatorem ? nie mają wpływu na wynik operacji sprawdzania rekordów SPF.
Ograniczenia wyszukiwania DNS i sprawdzania rekordów SPF
SPF pozwala na maksymalnie dziesięć wyszukiwań DNS. Ta wartość uwzględnia zagnieżdżone wyszukiwania. Jeśli rekord SPF ma więcej niż dziesięć wyszukiwań, mechanizmy są uznawane za nieprawidłowe, a operacja sprawdzania rekordów SPF kończy się niepowodzeniem.
Liczbę wyszukiwań swojego rekordu SPF możesz sprawdzić przy użyciu aplikacji Sprawdzanie rekordów MX.

Mechanizmy i modyfikatory rekordu SPF

Mechanizmy i modyfikatory używane w rekordzie SPF mogą zapobiec osiągnięciu maksymalnej liczby dziesięciu wyszukiwań DNS.
Wliczają się do maksymalnej liczby wyszukiwań Nie wliczają się do maksymalnej liczby wyszukiwań
  • a
  • exists
  • include
  • mx
  • ptr
  • require
  • all
  • exp
  • ip4
  • ip6

 

Aby zmniejszyć liczbę wyszukiwań w rekordzie SPF, zastosuj się do tych zaleceń:

  • Unikaj zbędnych instrukcji include.
  • Jeśli to możliwe, używaj mechanizmu ip4 lub ip6 zamiast instrukcji „include”.
  • Unikaj używania mechanizmu ptr. Generuje wiele wyszukiwań DNS.
  • Usuwaj zduplikowane mechanizmy lub mechanizmy, które działają w tej samej domenie.
  • Odwołuj się tylko do tych domen, które aktywnie wysyłają dane.
  • Usuwaj wszystkie instrukcje include dotyczące rekordów SPF partnerów, którzy już nie wysyłają poczty z Twojej domeny.

Przydatne materiały

Używanie SPF wraz z DKIM i DMARC
Oprócz SPF zalecamy skonfigurowanie DKIM (DomainKeys Identified Mail) i DMARC (Domain-based Message Authentication, Reporting & Conformance):
  • SPF określa serwery, które mogą wysyłać e-maile w Twojej domenie.
  • DKIM sprawdza, czy treść wiadomości jest autentyczna i nie została zmieniona.
  • DMARC określa sposób postępowania z przychodzącymi podejrzanymi e-mailami w domenie.

Powiązane artykuły

 Powiązane artykuły

Czy to było pomocne?
Jak możemy ją poprawić?