Aplikace: Jak si vytvořit SPF záznam
Podrobnosti a vysvětlení, jak an SPF záznam práce jsou podrobně uvedeny níže v nástroji SPF Record builder.
SPF Record Builder
Zde je formulář, který můžete použít k vytvoření vlastního záznamu TXT, který přidáte do své domény nebo subdomény, ze které odesíláte e-maily.
Byla to docela úleva, když jsme přesunuli e-mail naší společnosti na Google ze spravované IT služby, kterou jsme používali. Než jsme se dostali na Google, museli jsme zadávat požadavky na jakékoli změny, doplnění seznamů atd. Nyní to vše zvládneme prostřednictvím jednoduchého rozhraní Google.
Jednou překážkou, kterou jsme zaznamenali, když jsme začali posílat, bylo, že některé e-maily z našeho systému se nedostaly do doručené pošty... dokonce ani do naší doručené pošty. Přečetl jsem si rady od Googlu pro Hromadní odesílatelé e-mailů a rychle se dal do práce. Máme e-maily vycházející ze 2 aplikací, které hostujeme, další aplikace, kterou kromě poskytovatele e-mailových služeb hostí někdo jiný. Naším problémem bylo, že nám chyběl záznam SPF, který by ISP informoval, že e-maily odeslané z Googlu jsou naše.
Co je rámec zásad pro odesílatele?
Sender Policy Framework je protokol pro ověřování e-mailů a součást e-mailové kybernetické bezpečnosti, kterou používají poskytovatelé internetových služeb k blokování phishingových e-mailů před doručováním jejich uživatelům. An SPF záznam je záznam domény se seznamem všech vašich domén, IP adres atd., ze kterých odesíláte e-maily. To umožňuje jakémukoli ISP vyhledat váš záznam a ověřit, že e-mail pochází z vhodného zdroje.
Phishing je typ online podvodu, kde zločinci používají techniky sociálního inženýrství, aby oklamali lidi, aby prozradili citlivé informace, jako jsou hesla, čísla kreditních karet nebo jiné osobní údaje. Útočníci obvykle používají e-mail, aby nalákali jednotlivce k poskytnutí osobních údajů tím, že se vydávali za legitimní firmu... jako je ta vaše nebo moje.
SPF je skvělý nápad – a nejsem si jistý, proč to není běžná metoda pro hromadné e-mailery a systémy blokující spam. Mysleli byste si, že každý registrátor domény by si dal záležet na tom, aby do ní zabudoval průvodce, aby kdokoli vyjmenoval zdroje e-mailů, které posílají.
Jak funguje SPF záznam?
An ISP zkontroluje SPF záznam provedením DNS dotazu, aby získal SPF záznam spojený s doménou e-mailové adresy odesílatele. ISP poté vyhodnotí SPF záznam, seznam autorizovaných IP adres nebo názvů hostitelů, kterým je povoleno odesílat e-maily jménem domény, oproti IP adrese serveru, který e-mail odeslal. Pokud není IP adresa serveru zahrnuta v záznamu SPF, ISP může označit e-mail jako potenciálně podvodný nebo jej zcela odmítnout.
Pořadí procesu je následující:
- ISP provede DNS dotaz, aby načetl SPF záznam spojený s doménou e-mailové adresy odesílatele.
- ISP vyhodnotí SPF záznam podle IP adresy e-mailového serveru. To lze označit v CIDR formát tak, aby zahrnoval rozsah IP adres.
- ISP vyhodnotí IP adresu a zajistí, že není na a DNSBL server jako známý spammer.
- ISP také hodnotí DMARC a Bimi evidence.
- ISP poté povolí doručování e-mailů, odmítne je nebo je umístí do složky nevyžádané pošty v závislosti na svých interních pravidlech doručování.
Příklady záznamů SPF
Záznam SPF je záznam TXT, který musíte přidat do domény, se kterou posíláte e-maily. Záznamy SPF nemohou mít více než 255 znaků a nemohou obsahovat více než deset příkazů typu include.
- Začněte s
v=spf1
tag a následujte jej s IP adresami oprávněnými odesílat váš e-mail. Například,v=spf1 ip4:1.2.3.4 ip4:2.3.4.5
. - Pokud k odesílání e-mailů jménem příslušné domény používáte třetí stranu, musíte přidat obsahovat do vašeho záznamu SPF (např. include:domain.com), abyste danou třetí stranu označili za legitimního odesílatele
- Jakmile přidáte všechny autorizované IP adresy a zahrnete výpisy, ukončete svůj záznam příponou
~all
or-all
štítek. Značka ~all označuje a měkké SPF selhání zatímco značka -all označuje a selhání tvrdého SPF. V očích hlavních poskytovatelů poštovních schránek povedou ~all a -all k selhání SPF.
Jakmile budete mít svůj záznam SPF zapsán, budete chtít záznam přidat k registrátorovi domény. Zde jsou nějaké příklady:
v=spf1 a mx ip4:192.0.2.0/24 -all
Tento záznam SPF uvádí, že jakýkoli server se záznamy A nebo MX domény nebo jakákoli IP adresa v rozsahu 192.0.2.0/24 je oprávněn odesílat e-maily jménem domény. The -Všechno na konci označuje, že jakékoli jiné zdroje by neměly projít kontrolou SPF:
v=spf1 a mx include:_spf.google.com -all
Tento záznam SPF uvádí, že jakýkoli server se záznamy A nebo MX domény nebo jakýkoli server zahrnutý v záznamu SPF pro doménu „_spf.google.com“ je oprávněn odesílat e-maily jménem domény. The -Všechno na konci označuje, že jakékoli jiné zdroje by neměly projít kontrolou SPF.
v=spf1 ip4:192.168.0.0/24 ip4:192.168.1.100 include:otherdomain.com -all
Tento záznam SPF určuje, že všechny e-maily odeslané z této domény by měly pocházet z IP adres v rozsahu sítě 192.168.0.0/24, jediné IP adresy 192.168.1.100 nebo jakýchkoli IP adres autorizovaných záznamem SPF otherdomain.com doména. The -all
na konci záznamu určuje, že všechny ostatní IP adresy by měly být považovány za neúspěšné kontroly SPF.
Nejlepší postupy při zavádění SPF
Správná implementace SPF zlepšuje doručitelnost e-mailů a chrání vaši doménu před e-mailovým spoofingem. Postupný přístup k implementaci SPF může pomoci zajistit, že legitimní e-mailový provoz nebude neúmyslně ovlivněn. Zde je doporučená strategie:
1. Inventář odesílacích zdrojů
- Cíl: Identifikujte všechny servery a služby, které odesílají e-maily jménem vaší domény, včetně vašich vlastních poštovních serverů, poskytovatelů e-mailových služeb třetích stran a jakýchkoli dalších systémů, které odesílají e-maily (např. systémy CRM, platformy pro automatizaci marketingu).
- Akce: Sestavte úplný seznam IP adres a domén těchto odesílacích zdrojů.
2. Vytvořte svůj počáteční SPF záznam
- Cíl: Navrhněte záznam SPF, který obsahuje všechny identifikované legitimní zdroje odesílání.
- Akce: K zadání těchto zdrojů použijte syntaxi SPF. Příklad záznamu SPF může vypadat takto:
v=spf1 ip4:192.168.0.1 include:_spf.google.com ~all
. Tento záznam umožňuje e-maily z IP adresy 192.168.0.1 a zahrnuje záznam SPF společnosti Google s~all
indikující softfail pro zdroje, které nejsou explicitně uvedeny.
3. Zveřejněte svůj SPF záznam v DNS
- Cíl: Dejte o své SPF zásadě vědět přijímajícím poštovním serverům tím, že ji přidáte do DNS záznamů vaší domény.
- Akce: Publikujte SPF záznam jako TXT záznam v DNS vaší domény. To umožňuje poštovním serverům příjemců načíst a zkontrolovat váš záznam SPF, když obdrží e-maily z vaší domény.
4. Monitorujte a testujte
- Cíl: Zajistěte, aby váš záznam SPF ověřoval legitimní zdroje e-mailů, aniž by to ovlivnilo doručitelnost e-mailů.
- Akce: Použijte nástroje pro ověření SPF ke sledování zpráv o doručení e-mailů od vašich poskytovatelů služeb. Věnujte pozornost všem problémům s doručováním, které by mohly naznačovat, že kontroly SPF zachycují legitimní e-maily.
5. Upřesněte svůj SPF záznam
- Cíl: Upravte svůj záznam SPF, abyste vyřešili všechny problémy zjištěné během monitorování a testování a aby odrážely změny ve vašich postupech odesílání e-mailů.
- Akce: Podle potřeby přidejte nebo odeberte adresy IP nebo zahrňte příkazy. Mějte na paměti limit vyhledávání SPF 10, který může při překročení způsobit problémy s ověřením.
6. Pravidelně kontrolujte a aktualizujte
- Cíl: Udržujte svůj záznam SPF přesný a aktuální, aby se přizpůsobil změnám ve vaší e-mailové infrastruktuře a praktikám odesílání.
- Akce: Pravidelně kontrolujte své zdroje odesílání a podle toho aktualizujte svůj záznam SPF. To zahrnuje přidávání nových poskytovatelů e-mailových služeb nebo odstraňování těch, které již nepoužíváte.
Dodržováním těchto kroků můžete implementovat SPF pro zvýšení zabezpečení a doručitelnosti vašich e-mailů a zároveň minimalizovat riziko narušení legitimní e-mailové komunikace.