Zapewnianie dostarczania e-maili i zapobieganie podszywaniu się (SPF)

Ochrona przed sfałszowanymi e-mailami i sprawdzanie, czy wiadomości nie są oznaczane jako spam

Sender Policy Framework (SPF) to metoda uwierzytelniania poczty e-mail, która wskazuje serwery poczty uprawnione do wysyłania wiadomości w imieniu Twojej domeny. SPF pomaga zapobiegać podszywaniu się pod użytkowników z Twojej domeny i zwiększa szanse na poprawne dostarczanie wysyłanych wiadomości. Serwery, które odbierają pocztę z Twojej domeny, używają SPF do sprawdzania, czy wiadomości wyglądające, jakby pochodziły z Twojej domeny, faktycznie z niej pochodzą.

  • SPF pomaga zapobiegać podszywaniu się – spamerzy mogą wysyłać fałszywe wiadomości, które wyglądają na pochodzące z Twojej organizacji. Jest to tzw. podszywanie się. Takie wiadomości mogą być używane do wyrządzania szkody – np. do przekazywania fałszywych informacji, wysyłania szkodliwego oprogramowania lub skłaniania innych osób do ujawnienia poufnych informacji. SPF pozwala serwerom odbierającym pocztę sprawdzać, czy wiadomości wysłane z Twojej domeny rzeczywiście pochodzą z Twojej organizacji i zostały wysłane przez uprawniony do tego serwer poczty.
  • SPF umożliwia dostarczanie wiadomości do skrzynek odbiorczych adresatów – SPF pomaga zapobiegać traktowaniu wiadomości z Twojej domeny jako spamu. Jeśli Twoja domena nie używa SPF, serwery odbierające pocztę nie mogą sprawdzać, czy wiadomości, które wyglądają na pochodzące z Twojej domeny, rzeczywiście z niej pochodzą. Serwery odbierające mogą umieszczać prawdziwe wiadomości w folderach ze spamem albo je odrzucać.

Uwaga: jeśli Twoja domena została kupiona od partnera Google podczas rejestracji w G Suite, konfigurowanie rekordów SPF może nie być konieczne. Sprawdź, czy wśród ustawień zarządzanych przez Twojego dostawcę hostingu domeny jest SPF.

Sprawdzone metody uwierzytelniania poczty e-mail

Zalecamy skonfigurowanie w domenie tych metod uwierzytelniania poczty e-mail:

  • SPF pozwala serwerom sprawdzać, czy wiadomości pochodzące z określonej domeny są wysyłane z serwerów autoryzowanych przez jej właściciela.
  • DKIM dodaje podpis cyfrowy do każdej wiadomości. Dzięki temu serwery sprawdzają, czy wiadomości nie są sfałszowane i nie zostały zmienione podczas przesyłania.
  • DMARC uwierzytelnia wiadomości przy użyciu SPF i DKIM oraz zarządza podejrzanymi wiadomościami przychodzącymi.
Szczegółowe instrukcje znajdziesz w artykule Zapobieganie spamowi, podszywaniu się i wyłudzaniu informacji.

Zanim zaczniesz

Przed włączeniem SPF w organizacji przeczytaj informacje zawarte w tej sekcji.

Znajdowanie swojego dostawcy hostingu domeny
SPF musisz włączyć w konsoli zarządzania swojego dostawcy domeny, a nie w konsoli administracyjnej Google. Jeśli nie wiesz, kto jest Twoim dostawcą domeny, wykonaj opisane niżej czynności.

Jeśli nie możesz znaleźć swoich danych rozliczeniowych, spróbuj wyszukać w internecie dostawcę hostingu domeny. ICANN (Internet Corporation for Assigned Names and Numbers) to organizacja non-profit zbierająca informacje o domenach. Użyj narzędzia ICANN Lookup, aby znaleźć swojego dostawcę hostingu domeny.

  1. Wejdź na stronę lookup.icann.org.
  2. W polu wyszukiwania wpisz swoją nazwę domeny i kliknij Lookup (Wyszukaj).
  3. Na stronie wyników przewiń w dół do sekcji Registrar Information (Informacje o rejestratorze). Rejestrator jest zwykle dostawcą hostingu domeny.

Sprzedawcy domen

Niektóre domeny są hostowane przez sprzedawców za pośrednictwem innego rejestratora. Jeśli nie możesz zalogować się na stronie podanego rejestratora lub pole rejestratora jest puste, dostawca hostingu domeny może być sprzedawcą.

  1. Na stronie wyników narzędzia ICANN Lookup przewiń w dół do sekcji Raw Registry RDAP Response (Nieprzetworzona odpowiedź RDAP rejestru).
  2. Znajdź pozycję Reseller (Sprzedawca).
  3. Wejdź na stronę internetową sprzedawcy.
  4. Zaloguj się za pomocą danych logowania użytych podczas zakupu lub przeniesienia domeny.
    Jeśli nie pamiętasz hasła, skontaktuj się z zespołem pomocy sprzedawcy.

Jeśli nie ma informacji o sprzedawcy, skontaktuj się z zespołem pomocy rejestratora.

Zewnętrzni dostawcy poczty e-mail

Prawdziwe wiadomości wysyłane przez zewnętrznych dostawców poczty e-mail w imieniu Twojej domeny mogą nie przejść kontroli SPF. Jeśli tak się stanie, serwer odbierający może przekazać wiadomości od zewnętrznych dostawców do spamu.

Aby zapewnić pozytywny wynik kontroli SPF dla wiadomości wysyłanych przez zewnętrznych dostawców:

  • Sprawdź rekordy SPF dostawcy.
  • Kieruj wiadomości przez swoją domenę lub sieć dzięki skonfigurowaniu usługi przekaźnika SMTP.
Rekord TXT dla SPF

Aby włączyć SPF w domenie, zaktualizuj rekord TXT dla SPF w konsoli zarządzania dostawcy domeny.

Rekord TXT jest typem rekordu DNS zawierającym informacje tekstowe, które są używane przez serwery i inne źródła spoza domeny. Dowiedz się więcej o rekordach TXT.

Szczegółowe instrukcje znajdziesz w sekcji Krok 2. Włącz SPF dla swojej domeny.

(Opcjonalnie) Sprawdzanie bieżącego rekordu TXT dla SPF

Być może masz już skonfigurowany rekord TXT dla SPF u dostawcy domeny. Aby to sprawdzić, użyj funkcji Sprawdzanie rekordów MX w Zestawie narzędzi G Suite:

  1. Otwórz Zestaw narzędzi G Suite.
  2. Wpisz nazwę swojej domeny.
  3. Kliknij Uruchom testy!
  4. Gdy testy zostaną ukończone, kliknij Zakresy adresów SPF, które można obsłużyć.
  5. Sprawdź wyniki testów SPF. Powinny zawierać te informacje:
    • _spf.google.com
    • _netblocks.google.com z kilkoma adresami IP
    • _netblocks2.google.com z kilkoma adresami IP
    • _netblocks3.google.com z kilkoma adresami IP

Krok 1. Utwórz rekord TXT dla SPF

Rekord TXT dla SPF określa serwery pocztowe, które mogą wysyłać pocztę w imieniu Twojej domeny.

Jedna domena może mieć tylko jeden rekord TXT dla SPF. Rekord TXT domeny może jednak wskazywać wiele serwerów i domen, które mogą wysyłać pocztę w imieniu Twojej domeny.

Treść rekordu TXT

Jeśli cała poczta e-mail Twojej organizacji jest wysyłana z G Suite, w swoim rekordzie TXT użyj następującego wiersza tekstu:

v=spf1 include:_spf.google.com ~all

Musisz również utworzyć niestandardowy rekord TXT dla SPF, jeśli wysyłasz pocztę nie tylko z G Suite, ale również:

  • z innych serwerów;
  • za pomocą zewnętrznego dostawcy poczty;
  • gdy Twoja witryna korzysta z usługi generującej automatyczne e-maile, na przykład z formularza kontaktowego.

Utwórz rekord TXT, korzystając z informacji zawartych w sekcjach Dane serwera dla rekordu TXT oraz Format rekordu TXT.

Dane serwera dla rekordu TXT
Rekord TXT dla SPF musi zawierać informacje o serwerach poczty.

Adresy IP wszystkich Twoich serwerów poczty

Określ adresy IP wszystkich serwerów wysyłających pocztę w imieniu Twojej organizacji. Mogą to być:

  • serwery WWW;
  • lokalne serwery poczty, na przykład Microsoft Exchange;
  • serwery poczty używane przez dostawcę usług;
  • zewnętrzny usługodawca lub usługa wysyłająca e-maile w imieniu Twojej domeny.

Wszystkie domeny kontrolowane przez organizację

Określ wszystkie domeny, którymi zarządza organizacja – nawet te, z których nie są wysyłane e-maile. Spamerzy mogą próbować podszyć się pod domeny, z których nie jest wysyłana poczta – zwłaszcza wtedy, gdy domeny wysyłające pocztę zostały zabezpieczone przy użyciu SPF.

Format rekordu TXT

Rekord TXT ma postać wiersza zwykłego tekstu, który zawiera listę tagów i wartości. Tagi nazywane są mechanizmami. Inne tagi opcjonalne nazywane kwalifikatorami definiują czynność, która ma być wykonywana w przypadku dopasowania mechanizmu.

Oto kilka przykładowych rekordów TXT dla SPF. Zastąp przykładowe adresy IP i domeny własnymi adresami i nazwami domen.

v=spf1 ip4:192.168.0.1/16 -all

Ten rekord TXT autoryzuje każdy adres IP z zakresu między 192.168.0.1 a 192.168.255.255 do wysyłania poczty w imieniu Twojej domeny.

v=spf1 -all

Ten rekord TXT zapobiega podszywaniu się pod domeny, które nie wysyłają poczty.

Mechanizmy rekordów TXT dla SPF

Tagi używane do tworzenia rekordów TXT dla SPF nazywane są mechanizmami.

Ważne: rekord TXT dla SPF może zawierać maksymalnie 10 wyszukiwań. Mechanizmy generujące wyszukiwanie w rekordzie TXT to: a, mx i include. Jeśli rekord TXT zawiera więcej niż 10 wyszukiwań, wiadomości z Twojej domeny nie zostaną uwierzytelnione podczas kontroli SPF na serwerze odbierającym i mogą zostać uznane za spam. Więcej informacji znajdziesz w sekcji Sprawdzanie wyszukiwań DNS generowanych w rekordzie TXT.

Poniżej znajduje się lista mechanizmów, których można użyć w rekordzie TXT. Mechanizmy są sprawdzane w kolejności, w jakiej występują w rekordzie TXT. W przypadku dopasowania mechanizmu i braku kwalifikatora czynność domyślna to uznanie wiadomości za dozwoloną.

Uwaga: adresy i domeny w tej tabeli są przykładowe. Zastąp je adresami IP i domenami swoich serwerów poczty i organizacji.

Mechanizm Opis i dozwolone wartości
v Wersja SPF. Musi to być wartość spf1. Ten tag jest wymagany i musi być pierwszym tagiem w rekordzie.
ip4 Wskazuje jeden lub wiele serwerów poczty na podstawie adresu lub zakresu adresów IPv4. Wartość musi być adresem IPv4 w standardowym formacie, na przykład:
ip4:192.168.0.1
ip6 Wskazuje jeden lub wiele serwerów poczty na podstawie adresu lub zakresu adresów IPv6. Wartość musi być adresem IPv6 w standardowym formacie, na przykład:
ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF
a Wskazuje serwer poczty na podstawie nazwy domeny, na przykład:
a:produktysolarne.com
mx

Wskazuje co najmniej jeden serwer poczty na podstawie rekordu MX, na przykład:
mx:mail.produktysolarne.com

Wskazanie domeny za pomocą tego mechanizmu jest opcjonalne. Jeśli nie wskażesz domeny, domyślną wartością będą rekordy MX domeny, w której jest używany rekord SPF.

include

Wskazuje serwery poczty domeny, która nie należy do Ciebie, na przykład:
include:sparkpostmail.com

Użyj tego mechanizmu, aby zezwolić na wysyłanie e-maili przez usługi zewnętrzne.

all Jeśli ten tag jest używany, musi być ostatni w rekordzie. Kontrola SPF ignoruje wszystkie mechanizmy po all. Zalecamy użycie tego mechanizmu z kwalifikatorem łagodnego traktowania niedozwolonych wiadomości: ~all.

Kwalifikatory rekordów TXT dla SPF

Tagi opcjonalne nazywane kwalifikatorami określają czynność, która ma być wykonywana, gdy w utworzonym dla SPF rekordzie TXT występuje dopasowanie mechanizmu.

Mechanizmy są sprawdzane w kolejności, w jakiej występują w rekordzie TXT. Jeśli nie używasz kwalifikatorów, czynność domyślna to uznanie wiadomości za dozwoloną. Jeśli nie ma pasującego mechanizmu, czynnością domyślną jest uznanie wiadomości za neutralną.

Poniżej znajduje się lista kwalifikatorów, których można użyć w rekordzie TXT. Kwalifikator to opcjonalny prefiks, który możesz dodać do dowolnego mechanizmu w rekordzie. Kwalifikatory określają czynność, która ma zostać wykonana po dopasowaniu do wartości mechanizmu.

Zalecamy użycie ~all w rekordzie TXT dla SPF.

Kwalifikator Opis
+ Uwierzytelnienie. Serwer o pasującym adresie IP lub pasującej domenie może wysyłać wiadomości w imieniu domeny. Uwierzytelnienie to czynność domyślna, gdy nie jest używany żaden kwalifikator.
- Brak uwierzytelnienia. Serwer o pasującym adresie IP lub pasującej domenie nie może wysyłać wiadomości w imieniu domeny. Rekord SPF nie zawiera adresu IP ani domeny serwera wysyłającego.
~ Częściowy brak uwierzytelnienia. Możliwe, że serwer o pasującym adresie IP lub pasującej domenie może wysyłać wiadomości w imieniu domeny. Serwer odbierający zwykle akceptuje wiadomości i oznacza je jako podejrzane.
? Wynik neutralny. Rekord SPF nie wskazuje wyraźnie, czy adres IP lub domena może wysyłać wiadomości w imieniu domeny. Rekordy SPF z wynikami neutralnymi często zawierają ?all.

Krok 2. Włącz SPF dla swojej domeny

Włącz SPF u dostawcy domeny, dodając rekord TXT DNS dla SPF.

  • Nazwy pól w kroku 4 poniżej mogą być inne u Twojego dostawcy. Nazwy pól rekordu TXT DNS mogą być różne u różnych dostawców.
  • Jeśli Twoja organizacja lub domena wysyła wszystkie e-maile z G Suite, użyj wartości rekordu TXT podanej w kroku 4 poniżej. Jeśli tworzysz inny rekord TXT, wpisz jego wartość.

Aby włączyć SPF, zaktualizuj rekord TXT DNS dla SPF w systemie dostawcy domeny.

  1. Pobierz plik tekstowy lub wiersz tekstu definiujący Twój rekord TXT.
  2. Zaloguj się w konsoli zarządzania dostawcy hostingu domeny. Jeśli nie wiesz, kto jest Twoim dostawcą hostingu domeny, wykonaj czynności opisane w sekcji Znajdowanie swojego dostawcy hostingu domeny.
  3. Znajdź stronę umożliwiającą zaktualizowanie rekordów TXT domeny.
  4. Dodaj nowy rekord TXT dla serwerów poczty G Suite:
    Nazwa/host/alias Wartość TTL (Time to Live) Aktualizowany rekord TXT DNS Priorytet Wartość / odpowiedź / miejsce docelowe
    @
    (lub pozostaw puste)
    3600 SPF 1 v=spf1 include:_spf.google.com ~all
  5. Zapisz zmiany. Zanim SPF zacznie chronić Twoją domenę, może minąć do 48 godzin.
  6. (Opcjonalnie) Powtórz te kroki dla każdej domeny, którą zarządzasz w organizacji.

Dodawanie nowego serwera poczty lub nowej domeny do rekordów SPF

Musisz zaktualizować rekord TXT dla SPF u dostawcy domeny za każdym razem, gdy:

  • dodasz nowe serwery poczty w swojej organizacji,
  • zaczniesz korzystać z nowych zewnętrznych usług wysyłających pocztę.

Jeśli nie dodasz do rekordu TXT nowego serwera ani informacji o usłudze wysyłającej pocztę, wiadomości z tego serwera lub usługi mogą być kierowane do spamu.

Najpierw dodaj do rekordu TXT nowe serwery lub domeny, postępując zgodnie z instrukcjami zawartymi w sekcji Krok 1. Utwórz rekord TXT dla SPF. Następnie zaktualizuj rekord SPF u dostawcy domeny, wykonując czynności opisane w sekcji Krok 2. Włącz SPF dla swojej domeny.

Rozwiązywanie problemów z rekordami SPF

Jeśli po włączeniu SPF wiadomości wysyłane z Twojej domeny są nadal uznawane za spam, skorzystaj z tych zalecanych instrukcji rozwiązywania problemów.

Sprawdź, czy wiadomości są uznawane za dozwolone przez kontrolę SPF

Aby sprawdzić, czy rekord SPF działa właściwie, a wiadomości z Twojej domeny są uznawane za dozwolone przez kontrolę SPF, sprawdź wiadomość wysłaną z Twojej domeny.
Poproś osobę, która otrzymała e-maila z Twojej domeny, by go otworzyła i wyświetliła wszystkie jego nagłówki. Następnie sprawdź wyniki SPF w nagłówku wiadomości. Jeśli nagłówek zawiera informację o braku uwierzytelnienia wiadomości przez SPF, sprawdź poprawność swojego rekordu SPF. Upewnij się, że rekord zawiera odwołania do wszystkich serwerów i domen, które wysyłają pocztę w imieniu Twojej organizacji.
Najpierw przejrzyj informacje zawarte w sekcji Krok 1. Utwórz rekord TXT dla SPF i wprowadź zmiany w rekordzie TXT, jeśli są konieczne. Następnie zaktualizuj rekord na stronie dostawcy hostingu domeny, wykonując czynności opisane w sekcji Krok 2. Włącz SPF dla swojej domeny.
Sprawdzanie wyszukiwań DNS generowanych w rekordzie TXT

Rekordy TXT dla SPF mogą zawierać maksymalnie 10 wyszukiwań. Z tego względu rekord TXT dla SPF nie może zawierać więcej niż 10 odwołań do innych domen. Jeśli rekord TXT zawiera więcej niż 10 wyszukiwań, wiadomości z Twojej domeny zostaną uznane za niedozwolone podczas kontroli SPF na serwerze odbierającym. Wiadomości mogą zostać skierowane do spamu.

Wyszukiwanie generowane jest przez każde wystąpienie w rekordzie TXT następujących tagów: a, mx, include, ptr.

Limit 10 wyszukiwań obejmuje zagnieżdżone wyszukiwania. Jeśli więc domena wskazana w tagu include odwołuje się w swoim rekordzie TXT dla SPF do innych domen, domeny te wliczają się do limitu.

Jeśli wiadomości nadal są uznawane za spam, sprawdź liczbę wyszukiwań w rekordzie TXT za pomocą funkcji Sprawdzanie rekordów MX w Zestawie narzędzi G Suite.

Aby zmniejszyć liczbę wyszukiwań w rekordzie TXT:

  • Nie używaj tagów include, jeśli nie jest to konieczne.
  • Gdy to możliwe, używaj tagu ip4 lub ip6 zamiast include.
  • Usuń zduplikowane tagi lub tagi wskazujące tę samą domenę.

Wskazuj tylko domeny, które rzeczywiście wysyłają wiadomości w imieniu Twojej organizacji. Usuń wszystkie zapisy include dotyczące partnerów, którzy już nie wysyłają poczty w imieniu Twojej domeny.

Google, Google Workspace oraz powiązane znaki i logo są znakami towarowymi Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.

Czy to było pomocne?
Jak możemy ją poprawić?