SPF to bardzo istotne narzędzie do przeciwdziałania nieautoryzowanej wysyłce maili, który został opisany w artykule SPF i DKIM-zabezpieczenie przed spamem
W tym artykule została przedstawiona dość istotna różnica w ustawieniach tego rekordu: różnica między parametrem ~all a -all
~all (soft fail)
Parametr ~all jest mniej restrykcyjny, podczas używania tego parametru większość serwerów odbierających pocztę wysłaną z serwera, który nie jest podany w ustawieniach zabezpieczenia SPF, uzna wiadomość za spam i może ją odrzucić (ale nie musi). Wskazuje, że preferowane są serwery wymienione w rekordzie SPF, ale jeśli wiadomość pochodzi z innego serwera, to serwer odbierający powinien ją zaakceptować, lecz oznaczyć jako podejrzaną (np. oznaczyć jako spam). Jest to bardziej elastyczna polityka, która pozwala na zaakceptowanie wiadomości, ale daje sygnał, że coś może być nie tak.
Przykład działania:
Domena @domenaklienta.pl ma skonfigurowany poprawnie rekord SPF, w którym podany jest adres IP serwera uprawnionego do wysyłki z domeny: @domenaklienta.pl. Rekord SPF zakończony jest oznaczeniem: ~all
Wysyłka z adresu biuro@domenaklienta.pl poprzez nieautoryzowany serwer pocztowy (czyli z IP innego niż wpisane w rekordzie SPF) na biuro@inna-domena.pl. W tym przykładzie to serwer odbiorcy poczty decyduje, czy przyjmie wiadomość czy też ją odrzuci (zależy to od wewnętrznych ustawień danego dostawcy). Bazując na oznaczeniu ~all najprawdopodobniej pocztę e-mail przyjmie, ale potraktuje „podejrzanie” i umieści w folderze spam.
-all (hard fail)
Parametr -all jest bardziej restrykcyjny, dzięki czemu korespondencja e-mail jest bardziej chroniona przed wysyłką nieautoryzowanych wiadomości. Gdy ten parametr zostanie użyty w rekordzie SPF, serwer odbiorczy poczty odrzuci wiadomość wysłaną z nieautoryzowanego adresu IP. Wskazuje, że tylko serwery wymienione w rekordzie SPF są autoryzowane do wysyłania e-maili z tej domeny. Jeśli wiadomość e-mail pochodzi z serwera, który nie znajduje się w rekordzie SPF, powinna ona zostać odrzucona przez serwer odbiorczy lub oznaczona jako spam.
Przykład działania:
Domena @domenaklienta.pl ma skonfigurowany poprawnie rekord SPF, w którym podany jest adres IP serwera uprawnionego do wysyłki z domeny: @domenaklienta.pl. Rekord SPF zakończony jest oznaczeniem: -all
Wysyłka z adresu biuro@domenaklienta.pl poprzez nieautoryzowany serwer pocztowy (czyli z IP innego niż wpisane w rekordzie SPF) na biuro@inna-domena.pl. W tym przykładzie serwer odbiorcy poczty bazując na ustawieniu -all odrzuci wiadomość e-mail.
Zalecenia stosowania SPF -all
Dla własnego bezpieczeństwa warto używać parametru -all aby bardziej zabezpieczyć się przed możliwość podszywania się pod e-maile we własnej domenie i wysyłką nieautoryzowanych maili z własnej domeny.
Takie zalecenia podaje również Zespół reagowania na incydenty naruszenia bezpieczeństwa informatycznego w CERT Polska, która wykonuje obowiązki CSIRT NASK wynikające z ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.
CERT rekomenduje:
Rekord SPF (Sender Policy Framework) może zawierać dyrektywę „~all”. Nie jest to błąd (zwłaszcza gdy poprawnie skonfigurowane są również DKIM i DMARC), ale rekomendujemy przeanalizowanie rekordu i jeżeli jest to w danym przypadku możliwe, zmianę rekordu tak, aby zawierał dyrektywę „-all” (hardfail).
Więcej o konfigurowaniu rekordu SPF można przeczytać o zabezpieczeniach poczty w cPanel: jak dodac nowy wpis
- Czy PHP 8.3 jest szybsze od innych wersji? - 18 września, 2024
- Luka we wtyczce Litespeed Cache - 22 sierpnia, 2024
- DMARC – zmiana ustawień - 6 grudnia, 2023