SPF - Sender policy framework

Technologie pro autorizaci IP adres, jež jsou oprávněné odesílat zprávy jménem domény, nejsou žádnou novinkou, ale jejich nasazení se u mnoha firem stále potýká s mýty a neznalostí správců. Pokusíme se vysvětlit nejdůležitější pravidla pro správné nasazení SPF záznamů.

Jedním z nejčastějších mýtů, se kterým se setkáváme, je přesvědčení některých správců, že zavedením SPF záznamů by snížili bezpečnost své domény. Z podstaty fungování SPF to není možné - lze zvýšit míru bezpečnosti, nebo ji ponechat na stejné úrovni jako bez SPF, ale nelze ji snížit. Tato úvaha většinou pramení ze tří chyb, kterých se administrátoři při implementaci SPF dopustí:

a) příliš restriktivní pravidla - pokud nastavíte restriktivní pravidlo SPF záznamu, které bude povolovat pouze váš hlavní mailserver a vám známé IP adresy a nebudete mít zajištěné v rámci firmy, že všichni uživatelé používají jen a pouze tento server, velice brzy nastanou problémy. Obvykle pak přijdou stížnosti od lidí, kteří pracují vzdáleně či na cestách a používají externí SMTP server, oddělení využívající externích nástrojů pro e-mail marketing, nebo např. odesílání logistických informací. Nasazení SPF by proto měla předcházet kontrola celkových bezpečnostních pravidel ve firmě, identifikace zdrojů komunikace (externí SMTP, partneři, atp.) a následně aktivace neutrálního SPF pravidla (~all) obsahujícího všechny interní IP adresy, ale i include rozsahů externích služeb, které společnost využívá.

b) příliš volná pravidla - mnoho správců si nekontroluje svá pravidla a nastaví, co jim jejich ISP poradí a to někdy i několikrát. Např. pokud využíváte Google Apps, tak si do vašeho SPF záznamu přidáte Googlem doporučovaný include:_spf.google.com, čímž povolíte přes 239 tisíc IP adres. Pro jistotu však přidáte i include:spf.protection.outlook.com, protože používáte Office365 a tím povolíte dalších 361 tisíc IP adres. A někteří poskytovatelé se snaží myslet za vás, a tak vám totéž podstrčí ještě jednou. Jen těmito dvěma řádky došlo k autorizaci obrovského množství IP adres, ze kterých pravděpodobně nikdy nepřijde žádná z vašich zpráv. Výjimkou nejsou ani SPF záznamy povolující téměř celý dostupný IP rozsah na celém světě. Přínos takového SPF záznamu je samozřejmě nulový.

c) neplatné SPF záznamy - tento problém se obvykle týká správců, kteří mají zároveň příliš volná pravidla a nemají zkušenosti s nasazením SPF záznamů a jejich limitů. První chybou je vložení několika SPF záznamů - SPF záznam smí v doméně existovat pouze jeden. Druhou častou chybou je použití špatného typu záznamu - místo záznamu typu text (IN TXT), založí záznam spf (IN SPF) - takový však neexistuje. Třetí častou chybou úzce související s příliš volnými pravidly, je SPF záznam obsahující příliš mnoho DNS dotazů - SPF záznamy jsou omezeny na 10 dotazů. Zvláště pokud budete bez rozmyslu a bez kontroly includovat, co vám přijde pod ruku, dostanete se za limit velice rychle. Překročení limitu pak znamená nevalidní SPF záznam a de facto totéž, jako by nebyl pokud má pravidlo ~all, nebo zcela nepředvídatelné problémy v případě pravidla -all.

Nejvhodnějším řešením je tady začít pomalu s pravidlem ~all a přidat všechny používané služby. Následně takto připravený SPF záznam ověřit pomocí jedné z existujících služeb, např. Dmarcian. Implementaci SPF je dobré spojit i s implementací neutrálního DMARC záznamu, který vám pomůže sledovat zdroje zpráv a případné problémy odhalit.

Pokud si na nasazení SPF záznamů netroufáte, tak se není důvod stydět - zvláště ve větších společnostech to může být poměrně tvrdý oříšek a vyplatí se na to využít služeb zkušených profesionálů.