SPF (Sender Policy Framework): czym jest i jak działa

Blog

Dowiedz się, czym jest SPF (Sender Policy Framework), jak działa, jak skonfigurować rekord oraz dlaczego sam SPF nie wystarczy, aby w pełni zabezpieczyć Twoją domenę.

Maitham Al Lawati

Ostatnia aktualizacja:
7 czas czytania: 7 minut
SPF (Sender Policy Framework): czym jest i jak działa
Spis treści-

Kluczowe wnioski

  • SPF (Sender Policy Framework) to protokół uwierzytelniania poczty elektronicznej, który umożliwia właścicielom domen publikowanie listy autoryzowanych serwerów pocztowych w systemie DNS.
  • Rekord SPF to rekord DNS typu TXT, który zawiera listę autoryzowanych adresów IP i usług wysyłających. Musi on zaczynać się od v=spf1, być zgodny z poprawną składnią SPF oraz być opublikowany jako pojedynczy rekord.
  • SPF ma rzeczywiste ograniczenia. Nie działa w przypadku wiadomości przekazywanych dalej, nie chroni adresu nadawcy widocznego dla użytkowników i ma sztywny limit 10 zapytań DNS. Przekroczenie tego limitu powoduje błąd PermError, który może w sposób niewidoczny spowodować odrzucenie prawidłowej wiadomości.
  • Sam wskaźnik SPF nie wystarczy. Aby zapewnić pełną ochronę przed fałszowaniem adresów e-mail, atakami phishingowymi i nadużyciami domen, należy go połączyć z protokołami DKIM i DMARC.

Podszywanie się pod nadawców wiadomości e-mail to jedna z najstarszych sztuczek stosowanych przez hakerów, która wciąż działa, ponieważ zbyt wiele domen ułatwia jej stosowanie. Sender Policy Framework (SPF) stanowi pierwszą linię obrony. Jest to podstawowy protokół uwierzytelniania poczty elektronicznej, który informuje serwery pocztowe odbierające wiadomości, które adresy IP są faktycznie uprawnione do wysyłania wiadomości e-mail w Twoim imieniu.

W niniejszym przewodniku omówiono, czym jest SPF, jak działa protokół SPF, jak go prawidłowo skonfigurować oraz jakie są jego ograniczenia.

Czym jest SPF (Sender Policy Framework)?

Sender Policy Framework (SPF) to protokół uwierzytelniania wiadomości e-mail, którego celem jest zapobieganie podszywania się pod nadawców, jednej z najczęściej stosowanych technik wykorzystywanych w atakach phishingowych i kampaniach spamowych.

Działa to w ten sposób, że właściciele domen mogą opublikować w swoim systemie DNS listę autoryzowanych serwerów pocztowych, dzięki czemu serwery odbierające mogą sprawdzić, czy przychodząca wiadomość rzeczywiście pochodzi z zatwierdzonego źródła.

SPF stanowi podstawowy element uwierzytelniania poczty elektronicznej , ponieważ dostarcza systemom odbierającym jasną, miarodajną odpowiedź na proste pytanie: czy ten serwer ma uprawnienia do wysyłania poczty dla tej domeny?

Jakie miejsce zajmuje SPF w szerszym kontekście bezpieczeństwa poczty elektronicznej

Protokół SPF nie działa w izolacji. Jest to jeden z trzech podstawowych protokołów uwierzytelniania poczty elektronicznej, obok DomainKeys Identified Mail (DKIM) oraz Domain-based Message Authentication, Reporting, and Conformance (DMARC). Razem protokoły te tworzą kompletną ochronę przed oszustwami e-mailowymi.

ProtokółCo to sprawdza
SPFCzy serwer wysyłający posiada upoważnienie od właściciela domeny
DKIMCzy treść wiadomości uległa zmianie podczas przesyłania
DMARCCzy podpisy SPF i DKIM są zgodne z adresem nadawcy i co zrobić, jeśli tak nie jest

Rekord SPF jest również niezbędnym elementem konfiguracji protokołu DMARC. Bez prawidłowego rekordu SPF protokół DMARC nie może działać poprawnie.

Warto przeczytać: SPF, DKIM i DMARC: jak ze sobą współpracują

Jak działa protokół SPF

System SPF działa wyłącznie w oparciu o protokół DNS. Gdy wysyłana jest wiadomość e-mail, serwer pocztowy odbiorcy przeprowadza szereg kontroli w celu ustalenia, czy wiadomość jest wiarygodna. Oto jak wygląda ten proces od początku do końca.

Proces weryfikacji SPF

  1. Wiadomość e-mail jest wysyłana z serwera, a adres Return-Path zawiera domenę nadawcy
  2. Serwer odbierający rozpoznaje domenę nadawcy na podstawie adresu Return-Path
  3. Serwer odbierający przeprowadza wyszukiwanie rekordu SPF w systemie DNS domeny, aby znaleźć opublikowany rekord SPF
  4. Adres IP serwera wysyłającego jest porównywany z listą autoryzowanych adresów IP zawartą w rekordzie SPF
  5. Jeśli zostanie znalezione dopasowanie, wiadomość e-mail przechodzi uwierzytelnianie SPF. Jeśli nie zostanie znalezione dopasowanie, wiadomość e-mail może zostać oznaczona jako podejrzana lub odrzucona, w zależności od zasad obowiązujących w danej domenie

Wyniki uwierzytelniania SPF

WynikZnaczenie
PassAdres IP nadawcy jest dopuszczony w rekordzie SPF
FailAdres IP nadawcy nie jest autoryzowany
SoftFailAdres IP nie jest autoryzowany, ale domena nie blokuje dostępu
NeutralnyWłaściciel domeny nie podał żadnych informacji na temat adresu IP nadawcy
BrakNie znaleziono rekordu SPF dla tej domeny
Błąd tymczasowyPodczas sprawdzania wystąpił błąd wyszukiwania DNS
Błąd stałyRekord SPF zawiera błąd składniowy lub przekracza limit wyszukiwań

Należy pamiętać, że protokół SPF weryfikuje jedynie adres IP serwera wysyłającego. Nie uwierzytelnia on faktycznej tożsamości nadawcy ani treści wiadomości. Właśnie w tym miejscu DKIM i DMARC wypełniają luki.

Jak wygląda rekord SPF?

Rekord SPF to rekord DNS typu TXT opublikowany w ustawieniach DNS Twojej domeny. Ma on określoną składnię składającą się z mechanizmów i kwalifikatorów, które określają, które serwery są uprawnione do wysyłania wiadomości e-mail w imieniu Twojej domeny.

Podstawowa struktura rekordu SPF

v=spf1 ip4:192.0.2.0/24 include:mailprovider.com -all

KomponentZnaczenie
v=spf1Oznaczenie wersji musi znajdować się na początku każdego wpisu SPF
ip4:Zezwala na użycie określonego adresu lub zakresu adresów IPv4
ip6:Upoważnia określony adres lub zakres adresów IPv6
obejmują:Autoryzuje rekord SPF nadawcy będącego stroną trzecią
a:Umożliwia ustawienie adresu IP w rekordzie A domeny
mx:Upoważnia serwery pocztowe domeny
-allCałkowita porażka: odrzuć wszystkie wiadomości, które nie pasują do wpisu
~wszystkieBłąd miękki: zgłoszenie, ale dostarczenie wiadomości niezgodnej z rekordem
?wszystkieNeutralne: brak zasad dotyczących wiadomości, które nie pasują

Wpisy SPF dla domen, które nie wysyłają wiadomości

W przypadku domen, które nigdy nie wysyłają wiadomości e-mail, należy mimo to opublikować restrykcyjny rekord SPF, aby zapobiec ich sfałszowaniu:

v=spf1 -all

Spowoduje to, że serwery odbiorcze będą odrzucać wszystkie wiadomości e-mail rzekomo pochodzące z tej domeny.

Limit 10 wyszukiwań DNS

SPF ma limit 10 zapytań DNS na każdą ocenę rekordu. Każdy obejmuje:, a:, mx:, oraz redirect: mechanizm uruchamia wyszukiwanie.

Przekroczenie tego limitu powoduje błąd PermError, co może skutkować tym, że prawidłowe wiadomości e-mail niepowodzenie uwierzytelniania SPF bez żadnego ostrzeżenia. Jest to jeden z najczęstszych i najczęściej pomijanych problemów związanych z konfiguracją SPF, szczególnie w przypadku organizacji o złożonym środowisku poczty elektronicznej.

Skonfiguruj SPF za pomocą PowerDMARC!

Dlaczego warto wybrać PowerDMARC zamiast innych narzędzi SPF?

  • Automatyczne spłaszczanie adresów SPF w celu zapobiegania błędom podczas wyszukiwania DNS
  • Informacje o zagrożeniach i raporty w czasie rzeczywistym na potrzeby proaktywnego zabezpieczenia
  • Całodobowe wsparcie ekspertów zapewniające szybkie rozwiązywanie problemów
  • Płynna integracja z głównymi dostawcami usług poczty elektronicznej
  • Posiadamy certyfikaty SOC 2 i ISO 27001 potwierdzające bezpieczeństwo i zgodność z przepisami

Jak utworzyć i opublikować rekord SPF

Utworzenie i opublikowanie rekordu SPF to jeden z najważniejszych kroków w procesie zabezpieczania poczty elektronicznej w Twojej domenie.

Jeśli zostanie to zrobione prawidłowo, każdy odbierający serwer pocztowy będzie dokładnie wiedział, które źródła są uprawnione do wysyłania wiadomości w Twoim imieniu. Jeśli zostanie to zrobione nieprawidłowo, może to w sposób niezauważalny uniemożliwić uwierzytelnianie Twoich własnych, prawidłowych wiadomości e-mail. Oto jak to zrobić prawidłowo.

Krok 1: Przeprowadź audyt wszystkich źródeł wysyłania wiadomości e-mail

Zanim zaczniesz tworzyć wpis SPF, zidentyfikuj wszystkie usługi i systemy, które wysyłają wiadomości e-mail z Twojej domeny. Jest to etap, który większość organizacji pomija w pośpiechu, a stanowi on najczęstszą przyczynę niepowodzeń wpisów SPF po ich opublikowaniu.

Audyt powinien obejmować:

  • Twój główny serwer pocztowy
  • Platformy do marketingu e-mailowego
  • Systemy CRM i narzędzia sprzedażowe
  • Oprogramowanie do obsługi pomocy technicznej i wsparcia
  • Usługi związane z rozliczeniami i wiadomościami e-mailowymi dotyczącymi transakcji
  • Wszelkie firmy zewnętrzne wysyłające przesyłki w Twoim imieniu

Dla każdego źródła należy zebrać konkretne adresy IP wysyłające lub ciąg znaków SPF podany przez daną usługę.

Krok 2: Utwórz rekord SPF

Połącz wszystkich autoryzowanych nadawców w jeden rekord DNS typu TXT, stosując poprawną składnię SPF. Podstawowy przykład wygląda następująco:

v=spf1 ip4:192.0.2.1 include:sendingservice.com include:marketingplatform.com -all

Najważniejsze zasady, których należy przestrzegać podczas sporządzania dokumentu:

ZasadaDlaczego to ma znaczenie
Zawsze zaczynaj od v=spf1To jest obowiązkowy tag wersji. Bez niego rekord jest nieprawidłowy
Należy używać tylko jednego rekorduWiele rekordów SPF w tej samej domenie powoduje błąd PermError i uniemożliwia uwierzytelnienie
Nie przekraczaj 10 zapytań DNSKażdy mechanizm typu „include:”, „a:” i „mx:” wlicza się do limitu. Przekroczenie tego limitu powoduje błąd PermError
Kończy się na -all lub ~allOkreśla, co dzieje się z wiadomościami, które nie spełniają kryteriów. Użyj opcji -all, aby wymusić całkowite odrzucenie

Krok 3: Opublikuj wpis w systemie DNS

Po utworzeniu rekordu zaloguj się do panelu swojego dostawcy usług DNS i dodaj go jako rekord TXT w domenie głównej.

Rekord należy dodać pod adresem @ lub twojadomena.com, a nie w subdomenie, chyba że tworzysz osobny wpis dla subdomeny.

Jeśli korzystasz z oddzielnych subdomen dla różnych usług wysyłkowych, każda subdomena wymaga własnego rekordu SPF. Jest to również przydatna metoda pozwalająca nie przekroczyć limitu 10 wyszukiwań podczas zarządzania wieloma zewnętrznymi nadawcami.

Krok 4: Sprawdź swój wpis po opublikowaniu

Opublikowanie zapisu nie jest ostatnim krokiem. Po opublikowaniu zawsze należy go sprawdzić, aby upewnić się, że:

  • Plik ma poprawny format i nie zawiera błędów składniowych
  • Wszystkie autoryzowane adresy IP i ciągi znaków są obecne
  • Limit wyszukiwań DNS nie został przekroczony
  • W tej domenie nie ma zduplikowanych rekordów SPF

Zastosowanie narzędzia do sprawdzania SPF firmy PowerDMARC , aby przeprowadzić tę kontrolę natychmiast po opublikowaniu, a także za każdym razem, gdy wprowadzisz zmiany.

Krok 5: Aktualizuj swoje dane

Rekord SPF nie jest ustawieniem, które można skonfigurować raz i o nim zapomnieć.

Za każdym razem, gdy dodajesz nową platformę wysyłkową, zmieniasz dostawcę usług pocztowych lub wycofujesz ze służby starego dostawcę, konieczne jest zaktualizowanie rekordu SPF. Nieaktualny rekord, który odwołuje się do starych adresów IP lub nieistniejących usług, jest jedną z najczęstszych przyczyn niepowodzeń w uwierzytelnianiu SPF w przypadku legalnych wiadomości e-mail.

Należy ustalić regularny harmonogram sprawdzania rekordu SPF, zwłaszcza po wprowadzeniu jakichkolwiek zmian w infrastrukturze poczty elektronicznej.

Baner SPF PowerDMARC

SPF przestaje działać bez żadnego ostrzeżenia. Dowiadujesz się o tym dopiero wtedy, gdy przestają przychodzić e-maile.

PowerDMARC pomógł ponad 10 000 klientów w następujących kwestiach:

Jeden pulpit nawigacyjny dla SPF, DMARC i DKIM
Automatyczne monitorowanie — bez konieczności przeglądania surowych danych
Natychmiastowe powiadomienia o błędach w konfiguracji i lukach w zasadach
Skalowanie w ramach domen klienckich obsługujących wielu użytkowników

Współczynnik SPF a dostarczalność wiadomości e-mail

Jedną z najbardziej bezpośrednich korzyści wynikających z wdrożenia SPF jest poprawa dostarczalności wiadomości e-mail. Oto, jak SPF wpływa na drogę, jaką pokonują Twoje wiadomości e-mail od wysłania do skrzynki odbiorczej.

W jaki sposób SPF poprawia dostarczalność

  • Serwery odbierające pocztę oraz dostawcy skrzynek pocztowych wykorzystują protokół SPF jako wskaźnik zaufania przy podejmowaniu decyzji o dostarczeniu, przefiltrowaniu lub odrzuceniu przychodzącej poczty
  • Prawidłowy wpis SPF zmniejsza ryzyko, że legalne wiadomości e-mail zostaną oznaczone jako spam
  • Konsekwentne uwierzytelnianie za pomocą SPF z czasem buduje reputację domeny, dzięki czemu zmniejsza się prawdopodobieństwo, że Twoje wiadomości e-mail zostaną zablokowane lub przekierowane do folderów ze spamem
  • Wdrożenie protokołu SPF stanowi dla dostawców usług internetowych wyraz zaangażowania w zapewnienie bezpieczeństwa poczty elektronicznej, co pozytywnie wpływa na reputację nadawcy

W jaki sposób nieprawidłowa konfiguracja wskaźnika SPF może negatywnie wpłynąć na dostarczalność wiadomości

ProblemWpływ
Brakujący wpis SPFDomenę można dowolnie sfałszować, odbiorcy nie otrzymują żadnego sygnału potwierdzającego wiarygodność
Błąd stały (przekroczono limit wyszukiwania)Rzetelne wiadomości e-mail mogą nie przejść uwierzytelniania SPF
Nieaktualne autoryzowane adresy IPWiadomości e-mail od nowych lub zmienionych nadawców nie przechodzą testu SPF
Wiele rekordów SPFPowoduje wystąpienie błędu PermError, co całkowicie uniemożliwia uwierzytelnianie
Zbyt liberalne ~wszystko czy ?wszystkoOgranicza wartość ochronną dokumentu

Prowadzenie dokładnego i aktualnego wpisu SPF ma kluczowe znaczenie dla ochrony reputacji domeny i zapewnienia stałej dostarczalności wiadomości e-mail.

Ograniczenia SPF

SPF to podstawowa metoda uwierzytelniania poczty elektronicznej , ale ma dobrze udokumentowane ograniczenia, które powinien rozumieć każdy właściciel domeny. Poleganie wyłącznie na SPF pozostawia poważne luki w zabezpieczeniach poczty elektronicznej.

Czego SPF nie potrafi

OgraniczenieDlaczego to ma znaczenie
Nie można ukryć widocznego adresu nadawcySPF weryfikuje nagłówek Return-Path, a nie nagłówek From, który widzą odbiorcy
Przerwy w przekazywanych wiadomościach e-mailAdres IP serwera przekazującego nie występuje w oryginalnym rekordzie SPF, co powoduje błędy
Nie można zweryfikować treści wiadomościProtokół SPF sprawdza jedynie adres IP nadawcy, a nie to, czy wiadomość została zmieniona
Nie można zablokować phishingu z wykorzystaniem domen podobnychAtakujący mogą zarejestrować podobną domenę z własnym prawidłowym rekordem SPF
Obowiązuje limit 10 wyszukiwań DNSW skomplikowanych środowiskach może dojść do przekroczenia limitu, co powoduje błędy PermError

SPF to dopiero początek, a nie koniec

Sam wskaźnik SPF nie jest w stanie chronić adresu nadawcy widocznego dla użytkowników, nie zachowuje swojej ważności w przypadku przekazywania wiadomości i nie pozwala na uwierzytelnienie treści wiadomości.

Aby zapewnić pełną ochronę przed atakami polegającymi na podszywaniu się pod domeny i phishingiem, protokół SPF należy stosować w połączeniu z protokołami DKIM i DMARC. Protokół DMARC wypełnia lukę pozostawioną przez protokół SPF, wymagając, aby adres nadawcy był zgodny z uwierzytelnionymi danymi nadawcy.

Rada eksperta: Zawsze doradzam klientom, aby prowadzili dziennik zmian SPF, w którym dokumentują wszystkie modyfikacje, zwłaszcza w złożonych środowiskach z wieloma usługami poczty elektronicznej. Zapobiega to rozbieżnościom w konfiguracji i znacznie ułatwia rozwiązywanie problemów.

Zabezpiecz swoją domenę dzięki SPF i PowerDMARC

Protokół SPF stanowi punkt wyjścia dla uwierzytelniania wiadomości e-mail, ale to tylko jeden z elementów układanki.

Prawidłowe skonfigurowanie rekordu SPF, dbanie o jego aktualność w miarę rozwoju infrastruktury wysyłkowej oraz połączenie go z protokołami DKIM i DMARC to właśnie te działania skutecznie chronią Twoją domenę przed spoofingiem, phishingiem i problemami z dostarczalnością.

Klient opowiada:

„Dzięki PowerDMARC zarządzanie SPF stało się dla naszego zespołu IT dziecinnie proste. Skuteczność dostarczania wiadomości e-mail i ich bezpieczeństwo poprawiły się z dnia na dzień.” – Dyrektor ds. bezpieczeństwa informacji, instytucja finansowa

PowerDMARC sprawia, że cały ten proces staje się łatwiejszy do opanowania. Od generowania i weryfikacji rekordu SPF, przez monitorowanie wyników uwierzytelniania we wszystkich domenach wysyłających, aż po dążenie do pełnego wdrożenia protokołu DMARC — PowerDMARC zapewnia przejrzystość i kontrolę, które pozwalają wykonać te zadania poprawnie za pierwszym razem i utrzymać je w długiej perspektywie.

Zacznij korzystać z PowerDMARC już dziś!

Najczęściej zadawane pytania

1. Czym jest system SPF (Sender Policy Framework)?

SPF (Sender Policy Framework) to protokół uwierzytelniania poczty elektronicznej, który umożliwia właścicielom domen określenie, które serwery pocztowe są uprawnione do wysyłania wiadomości e-mail w imieniu ich domeny. Działa on poprzez opublikowanie rekordu DNS typu TXT zawierającego listę zatwierdzonych źródeł wysyłających, co pomaga serwerom odbierającym zweryfikować autentyczność wiadomości e-mail i zapobiegać spoofingowi.

2. Czym różni się SPF od DKIM i DMARC?

Protokół SPF weryfikuje adres IP serwera wysyłającego, DKIM wykorzystuje podpisy kryptograficzne do sprawdzania integralności wiadomości, a DMARC zapewnia egzekwowanie zasad i generowanie raportów. SPF sprawdza nadawcę widocznego, DKIM weryfikuje, czy treść wiadomości nie została zmieniona, a DMARC informuje serwery odbierające, jak mają postąpić w przypadku niepowodzenia weryfikacji SPF lub DKIM. Wszystkie trzy protokoły współdziałają, zapewniając kompleksowe uwierzytelnianie wiadomości e-mail.

3. Jak korzystać z Sender Policy Framework?

Zidentyfikuj wszystkie usługi wysyłające wiadomości e-mail z Twojej domeny, zbierz listę ich autoryzowanych adresów IP i opublikuj pojedynczy rekord DNS typu TXT, zaczynający się od v=spf1. Przetestuj go po opublikowaniu i aktualizuj w miarę zmian w infrastrukturze wysyłkowej.

4. Jakie są ograniczenia dotyczące rekordów e-mailowych w usłudze SPF?

Protokół SPF weryfikuje jedynie serwer wysyłający, a nie tożsamość nadawcy ani treść wiadomości. Nie działa on w przypadku wiadomości przekazywanych dalej i ma ścisły limit 10 wyszukiwań DNS, którego przekroczenie może w sposób niewidoczny uniemożliwić uwierzytelnienie.

5. Czy SPF to to samo co DKIM?

Nie. Protokół SPF weryfikuje adres IP serwera wysyłającego. Protokół DKIM wykorzystuje podpis kryptograficzny do sprawdzenia, czy treść wiadomości nie została zmieniona podczas przesyłania.

6. Dlaczego wiadomość e-mail może nie przejść weryfikacji SPF?

Najczęstsze przyczyny to: serwer wysyłający, który nie posiada odpowiednich uprawnień; nieaktualny rekord SPF, w którym brakuje prawidłowego nadawcy; błędy składniowe w rekordzie; lub przekroczenie limitu 10 wyszukiwań DNS.

PowerDMARC CTA

Najnowsze posty autorstwa Maitham Al Lawati (zobacz wszystkie)
Ostatnia aktualizacja:
Wyjaśnienie rekordów MX DNS: jak je konfigurować, sprawdzać i rozwiązywać związane z nimi problemyCo to jest rekord DNS MX 01Jak cofnąć wysłanie wiadomości e-mail w Gmailu, Outlooku i nie tylko