W jednym z poprzednich artykułów opisałem o czym należy pamiętać aby zabezpieczyć swoją domenę przed możliwością podszywania się. Teraz przyszła pora na szczegóły dotyczące konfiguracji SPF.
Sender Policy Framework (SPF) jest jednym z mechanizmem obrony przed podszywaniem się. Ustawienie rekordu SPF domeny znacznie utrudnia atakującym wykorzystanie Twojej domeny do wysłania poczty z Twojego adresu email. SPF powinien być obecnie standardem skonfigurowanym dla każdej domeny.
Od strony konfiguracji rekordów domeny – SPF jest po prostu zwykłym rekordem typu TXT, który zawiera informację które serwery są upoważnione do wysyłania poczty dla tej domeny. Przykładowy rekord SPF może wyglądać tak:
"v=spf1 a mx ip4:111.222.333.444 include:_spf.atthost.pl -all"
W jaki sposób utworzyć rekord SPF dla domeny?
Rozpocznij od określenia wersji protokołu SPF z której korzystamy:
v=spf1
Obecnie obowiązującą wersją protokołu SPF jest 1. Prace nad wersją 2 są obecnie wstrzymane.
Następnie – rekord SPF powinien zawierać listę adresów IP które są upoważnione do wysyłki poczty z tej domeny. Mamy kilka możliwości aby określić upoważnione serwery:
- a – adres IP znajdujący się w głównym rekordzie A domeny,
- mx – adres IP znajdujący się w rekordzie MX domeny,
- ip4:111.222.333.444 – bezpośrednio określony adres IPv4,
- ip4:111.222.333.0/24 – cała klasa adresów IPv4,
- ip6:1c::1 – bezpośrednio określony adres IPv6,
- ip6:1c::/32 – cała klasa adresów IPv6,
- include:_spf.atthost.pl – dołączone rekordy SPF wskazanej domeny.
Po określeniu serwerów, które mogą wysyłać wiadomości – musimy określić co serwer odbiorcy ma zrobić z wiadomością, jeśli weryfikacja SPF nie przebiegnie poprawnie. Mamy tutaj do wyboru:
- -all – odrzuć wiadomość (zalecane),
- ~all – przyjmij wiadomość, ale uznaj za spam (niezalecane)
- +all – przyjmij wiadomość (bezwzględnie niezalecane).
Całość łączymy w jeden ciąg tekstowy, i dodajemy jako rekord TXT do rekordów DNS naszej domeny. Od tej chwili nasza domena jest chroniona przed podszywaniem się dzięki SPF.
Poprawność konfiguracji SPF dla domeny można sprawdzić, np. korzystając z serwisu https://mxtoolbox.com/spf.aspx.