Jak poprawnie skonfigurować rekord SPF domeny?

W jednym z poprzednich artykułów opisałem o czym należy pamiętać aby zabezpieczyć swoją domenę przed możliwością podszywania się. Teraz przyszła pora na szczegóły dotyczące konfiguracji SPF.

Sender Policy Framework (SPF) jest jednym z mechanizmem obrony przed podszywaniem się. Ustawienie rekordu SPF domeny znacznie utrudnia atakującym wykorzystanie Twojej domeny do wysłania poczty z Twojego adresu email. SPF powinien być obecnie standardem skonfigurowanym dla każdej domeny.

Od strony konfiguracji rekordów domeny – SPF jest po prostu zwykłym rekordem typu TXT, który zawiera informację które serwery są upoważnione do wysyłania poczty dla tej domeny. Przykładowy rekord SPF może wyglądać tak:

"v=spf1 a mx ip4:111.222.333.444 include:_spf.atthost.pl -all"

W jaki sposób utworzyć rekord SPF dla domeny?

Rozpocznij od określenia wersji protokołu SPF z której korzystamy:

v=spf1

Obecnie obowiązującą wersją protokołu SPF jest 1. Prace nad wersją 2 są obecnie wstrzymane.

Następnie – rekord SPF powinien zawierać listę adresów IP które są upoważnione do wysyłki poczty z tej domeny. Mamy kilka możliwości aby określić upoważnione serwery:

  • a – adres IP znajdujący się w głównym rekordzie A domeny,
  • mx – adres IP znajdujący się w rekordzie MX domeny,
  • ip4:111.222.333.444 – bezpośrednio określony adres IPv4,
  • ip4:111.222.333.0/24 – cała klasa adresów IPv4,
  • ip6:1c::1 – bezpośrednio określony adres IPv6,
  • ip6:1c::/32 – cała klasa adresów IPv6,
  • include:_spf.atthost.pl – dołączone rekordy SPF wskazanej domeny.

Po określeniu serwerów, które mogą wysyłać wiadomości – musimy określić co serwer odbiorcy ma zrobić z wiadomością, jeśli weryfikacja SPF nie przebiegnie poprawnie. Mamy tutaj do wyboru:

  • -all – odrzuć wiadomość (zalecane),
  • ~all – przyjmij wiadomość, ale uznaj za spam (niezalecane)
  • +all – przyjmij wiadomość (bezwzględnie niezalecane).

Całość łączymy w jeden ciąg tekstowy, i dodajemy jako rekord TXT do rekordów DNS naszej domeny. Od tej chwili nasza domena jest chroniona przed podszywaniem się dzięki SPF.

Poprawność konfiguracji SPF dla domeny można sprawdzić, np. korzystając z serwisu https://mxtoolbox.com/spf.aspx.