Autoryzowanie nadawców e-maili przy użyciu SPF

Zapobieganie podszywaniu się pod Twoją domenę

Sender Policy Framework (SPF) uniemożliwia spamerom wysyłanie nieautoryzowanych e-maili z Twojej domeny. Spam tego typu jest określany jako podszywanie się. SPF to metoda zabezpieczania poczty e-mail, która zapobiega podszywaniu się pod Twoją domenę. Podszywanie się to częsta metoda nieautoryzowanego użycia poczty e-mail, dlatego niektóre serwery poczty wymagają SPF. Jeśli nie skonfigurujesz SPF w swojej domenie, wiadomości wysyłane z Twojej domeny mogą być odrzucane lub oznaczane jako spam.

Używanie SPF wraz z DKIM i DMARC

Oprócz SPF zalecamy skonfigurowanie DKIM (DomainKeys Identified Mail) i DMARC (Domain-based Message Authentication, Reporting & Conformance).

  • SPF określa domeny, z których mogą być wysyłane wiadomości.
  • DKIM sprawdza, czy treść wiadomości jest autentyczna i nie została zmieniona.
  • DMARC określa sposób postępowania z przychodzącymi podejrzanymi e-mailami w domenie.

Włączanie SPF w domenie

Aby włączyć SPF w domenie, dodaj rekord TXT SPF w systemie swojego dostawcy hostingu domeny. Dodanie tego rekordu nie ma wpływu na przepływ poczty.

Informacje o rekordach TXT

Dostawca hostingu domeny zarządza ustawieniami tekstowymi zwanymi rekordami DNS, które kierują ruch internetowy do Twojej domeny. Dowiedz się więcej o pracy z rekordami TXT. Jeśli nadal potrzebujesz pomocy w związku z rekordami TXT, skontaktuj się z dostawcą hostingu domeny.

Rekord TXT SPF zawiera listę serwerów poczty, które są uprawnione do wysyłania e-maili z Twojej domeny. Wiadomości wysyłane z serwerów, których nie ma na tej liście, mogą być oznaczane jako spam. 

SPF i wiele serwerów poczty

Nie zalecamy stosowania wielu rekordów SPF do obsługi wielu serwerów poczty. Używanie wielu rekordów SPF może powodować problemy z autoryzacją. Używaj tego samego rekordu SPF na potrzeby wszystkich serwerów poczty. 

Dowiedz się, jak można zaktualizować istniejący rekord SPF, aby używać go z wieloma serwerami poczty.

Dodawanie rekordu TXT SPF

Aby włączyć SPF, zaktualizuj rekord TXT SPF domeny:

  1. Zaloguj się na konto domeny w systemie dostawcy jej hostingu (nie w konsoli administracyjnej Google).

    Zobacz, jak zidentyfikować swojego dostawcę hostingu domeny.

  2. Znajdź stronę służącą do aktualizowania rekordów DNS domeny. Może ona mieć nazwę podobną do tych: DNS management (Zarządzanie DNS), name server management (Zarządzanie serwerem nazw) lub advanced settings (Ustawienia zaawansowane).
  3. Sprawdź w rekordach TXT, czy domena ma rekord SPF. Rekord SPF zaczyna się od v=spf1.
  4. Jeśli Twoja domena ma już rekord SPF, usuń go. W przeciwnym razie przejdź do kroku 5.
  5. Utwórz rekord TXT z tymi wartościami:
    • Name/Host/Alias (Nazwa/Host/Alias): wpisz @ lub pozostaw puste pole. Na podstawie innych rekordów DNS domeny można wywnioskować, co powinno zawierać to pole.
    • Time to Live (TTL) (Czas życia danych – TTL): wpisz 3600 lub pozostaw wartość domyślną.
    • Value/Answer/Destination (Wartość/odpowiedź/miejsce docelowe): wpisz v=spf1 include:_spf.google.com ~all

  6. Zapisz rekord.

Nowy rekord SPF zacznie obowiązywać w ciągu 48 godzin, ale może to nastąpić wcześniej.

Weryfikowanie rekordu SPF

Zweryfikuj rekord SPF przy użyciu aplikacji Sprawdzanie rekordów MX, która jest częścią Zestawu narzędzi G Suite:

  1. Wejdź na https://toolbox.googleapps.com/apps/checkmx/.
  2. Wpisz nazwę Twojej domeny.
  3. Kliknij Uruchom testy!
  4. Gdy testy zostaną ukończone, kliknij Zakresy adresów SPF, które można obsłużyć.
  5. Sprawdź wyniki testów SPF. Powinny one zawierać te wartości:
    • _spf.google.com
    • _netblocks.google.com z kilkoma adresami IP
    • _netblocks2.google.com z kilkoma adresami IP
    • _netblocks3.google.com z kilkoma adresami IP

Stosowanie rekordu SPF do obsługi wielu serwerów

Domena może mieć tylko jeden rekord SPF. Nie twórz osobnych rekordów SPF dla poszczególnych serwerów poczty. Zamiast tego zaktualizuj jeden rekord SPF tak, aby uwzględniał wszystkie Twoje serwery poczty.

Jeśli na przykład masz skonfigurowaną bramę poczty wychodzącej, to rekord SPF powinien zawierać adres serwera Gmaila i adres serwera SMTP bramy poczty wychodzącej.

Aby dodać serwer poczty do istniejącego rekordu SPF, wpisz adres IP tego serwera przed argumentem ~all. Użyj formatu ip4:adres lub ip6:adres zgodnie z tym przykładem:

v=spf1 ip4:172.16.254.1 include:_spf.google.com ~all

Aby dodać domenę serwera poczty, użyj instrukcji include w przypadku każdej takiej domeny. Przykład:

v=spf1 include:domena-serwera.com include:_spf.google.com ~all

Maksymalna liczba wyszukiwań DNS i sprawdzanie rekordów SPF

SPF pozwala na maksymalnie dziesięć wyszukiwań DNS. Ta wartość uwzględnia zagnieżdżone wyszukiwania. Jeśli rekord SPF ma więcej niż dziesięć wyszukiwań, te nadmiarowe są uznawane za nieprawidłowe, a operacja sprawdzania rekordów SPF kończy się niepowodzeniem. 

Więcej informacji o limitach wyszukiwania DNS zawiera dokument RFC 7208.

Te mechanizmy i modyfikatory rekordu SPF wliczają się do maksymalnej liczby wyszukiwań:

  • a
  • exists
  • include
  • mx
  • ptr
  • require

Te mechanizmy i modyfikatory nie wliczają się do maksymalnej liczby wyszukiwań:

  • exp
  • ip4
  • ip6

Kilka sposobów na zmniejszenie liczby wyszukiwań w rekordzie SPF:

  • Unikaj zbędnych instrukcji include.
  • Jeśli to możliwe, używaj mechanizmu ip4 lub ip6 zamiast instrukcji include.
  • Unikaj używania mechanizmu ptr, ponieważ generuje on wiele wyszukiwań DNS.
  • Usuwaj zduplikowane mechanizmy lub mechanizmy, które działają w tej samej domenie.
  • Odwołuj się tylko do tych domen, które aktywnie wysyłają dane.
  • Usuwaj wszystkie instrukcje include dotyczące rekordów SPF partnerów, którzy już nie wysyłają poczty z Twojej domeny.

Liczbę wyszukiwań swojego rekordu SPF możesz sprawdzić przy użyciu aplikacji Sprawdzanie rekordów MX, która jest częścią Zestawu narzędzi G Suite.

Powiązany artykuł

Informacje o tym, co powinien zawierać rekord SPF, znajdziesz w artykule Zakresy adresów IP serwerów Google dla wychodzącego ruchu SMTP.

Czy to było pomocne?
Jak możemy ją poprawić?