Ochrona przed podszywaniem się i wyłudzaniem informacji oraz zapobieganie oznaczaniu wiadomości jako spam
Dla kogo jest przeznaczony ten artykuł
Ten artykuł jest przeznaczony dla informatyków oraz osób mających doświadczenie w konfigurowaniu serwerów poczty e-mail. Zawiera informacje techniczne dotyczące SPF, w tym te związane z wymaganiami rekordu SPF, składnią rekordu SPF oraz wpływem SPF na dostarczanie e-maili. Jeśli wystarczy Ci podstawowy rekord SPF do wysyłania e-maili tylko z Google Workspace lub z Google Workspace oraz innych nadawców e-maili, przejdź do instrukcji w artykule Definiowanie rekordu SPF – konfiguracja podstawowa.
Jeśli wysyłasz e-maile tylko przy użyciu Google Workspace, znajdź rekord SPF w sekcji Definiowanie rekordu SPF – konfiguracja podstawowa.
Rekord SPF określa serwery poczty oraz domeny, które mogą wysyłać pocztę w imieniu Twojej domeny. Ponadto informuje serwery odbierające, co mają zrobić z wiadomościami po ich sprawdzeniu. Serwery odbierające analizują rekord SPF i sprawdzają, czy wiadomości przychodzące, które wyglądają, jakby pochodziły z Twojej organizacji, są wysyłane z dozwolonych przez Ciebie serwerów. Każda domena może mieć tylko 1 rekord SPF. Rekord SPF domeny może jednak wskazywać kilka serwerów i innych firm uprawnionych do wysyłania poczty w imieniu domeny.
Skonfiguruj rekord SPF, dodając rekord DNS typu TXT u dostawcy domeny.
Format rekordu SPF
Rekord SPF ma postać wiersza zwykłego tekstu, który zawiera listę tagów i wartości. Tagi nazywane są mechanizmami. Wartości to zazwyczaj adresy IP i nazwy domen.
Rekord SPF jest dodawany u dostawcy domeny w postaci rekordu DNS typu TXT. Dowiedz się więcej o rekordach DNS typu TXT.
Maksymalna liczba znaków w rekordach SPF to 255. Rozmiar pliku rekordu TXT nie powinien przekraczać 512 bajtów.
Mechanizmy rekordu SPF
Użyj mechanizmów z tej tabeli, aby utworzyć rekord SPF. Serwery odbierające pocztę sprawdzają wiadomości pod kątem mechanizmów w kolejności, w jakiej są wymienione w rekordzie SPF.
Pamiętaj:
- Z mechanizmami możesz używać opcjonalnych kwalifikatorów w rekordzie SPF.
- Rekord TXT dla SPF nie powinien zawierać więcej niż 10 odwołań do innych domen lub serwerów. Odwołania są nazywane wyszukiwaniami. Więcej informacji znajdziesz w sekcji Sprawdzanie wyszukiwań DNS w rekordzie SPF.
v | Wersja SPF. Ten tag jest wymagany i musi być pierwszym tagiem w rekordzie. Mechanizm musi mieć postać:v=spf1 |
ip4 | Upoważnia serwery poczty na podstawie adresu lub zakresu adresów IPv4. Wartość musi być adresem lub zakresem adresów IPv4 w standardowym formacie, na przykład:ip4:192.168.0.1lubip4:192.0.2.0/24 |
ip6 | Upoważnia serwery poczty na podstawie adresu lub zakresu adresów IPv6. Wartość musi być adresem lub zakresem adresów IPv6 w standardowym formacie, na przykład:ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DFlubip6:2001:db8:1234::/48 |
a | Upoważnia serwery poczty na podstawie nazwy domeny, na przykład:a:solarmora.com |
mx | Upoważnia co najmniej 1 serwer poczty na podstawie rekordu MX domeny, na przykład:mx:mail.solarmora.comJeśli tego mechanizmu nie ma w rekordzie SPF, wartością domyślną są rekordy MX domeny, w której jest używany rekord SPF. |
include | Upoważnia zewnętrznych nadawców e-maili na podstawie domeny, na przykład:include:servers.mail.net |
all | Określa, że wszystkie wiadomości przychodzące są dopasowywane. Zalecamy, aby zawsze uwzględniać ten mechanizm w rekordzie SPF.Musi to być ostatni mechanizm w rekordzie SPF. Każdy mechanizm występujący po mechanizmie all w rekordzie SPF jest ignorowany.Którego mechanizmu użyć: ~all czy all?Gdy rekord SPF zawiera mechanizm ~all (kwalifikator częściowego braku uwierzytelnienia), serwery odbierające zazwyczaj akceptują wiadomości od nadawców, których nie ma w rekordzie SPF, ale oznaczają je jako podejrzane.Gdy rekord SPF zawiera mechanizm -all (kwalifikator braku uwierzytelnienia), serwery odbierające mogą odrzucać wiadomości od nadawców, których nie ma w rekordzie SPF. Jeśli rekord SPF nie jest prawidłowo skonfigurowany, przez kwalifikator braku uwierzytelnienia więcej wiadomości z domeny może trafiać do spamu.Wskazówka: aby zapobiec podszywaniu się pod domeny, które nie wysyłają poczty, jako rekord SPF domeny zastosuj: vspf1 ~all. |
Kwalifikatory w rekordzie SPF
Kwalifikator to opcjonalny prefiks, który możesz dodać do dowolnego mechanizmu w rekordzie SPF. Kwalifikatory informują serwer odbierający pocztę, czy uwierzytelnić wiadomość po dopasowaniu do wartości mechanizmu, na przykład:
v=spf1 include:_spf.google.com -all
W tym przykładzie rekord SPF upoważnia do wysyłania e-maili w imieniu Twojej domeny tylko Google Workspace. Mechanizm all zawiera kwalifikator braku uwierzytelnienia (–), więc wiadomości od innych nadawców nie przejdą kontroli SPF i mogą zostać odrzucone przez serwer odbierający.
Mechanizmy są sprawdzane w kolejności, w jakiej występują w rekordzie SPF. Jeśli mechanizm nie ma kwalifikatora i istnieje dopasowanie, działaniem domyślnym jest uwierzytelnienie wiadomości. Gdy mechanizm nie jest dopasowany, działanie domyślne jest neutralne: uwierzytelnianie nie kończy się ani powodzeniem, ani niepowodzeniem.
Użyj tych opcjonalnych kwalifikatorów, aby poinformować serwery odbierające pocztę, co zrobić w przypadku wiadomości, które są dopasowane do mechanizmów w rekordzie SPF.