Defaults.Exposed › Opravy › SPF (Sender Policy Framework)

Jak opravit SPF (Sender Policy Framework)

SPF je záznam v nastavení vaší domény, který uvádí, které e-mailové služby smějí odesílat zprávy vaším jménem. Bez něj může kdokoliv na světě posílat e-maily, které vypadají jako od vás — a vaše vlastní legitimní e-maily mají větší šanci skončit ve spamu zákazníků.

Výsledek pro vaše podnikání: Kdokoliv může posílat e-maily jako vaše firma — zákazníkům, zaměstnancům i dodavatelům — faktury, žádosti o změnu plateb a vše ostatní. Zároveň jsou vaše skutečné nabídky a faktury náchylnější ke skončení v nevyžádané poště, takže obchody tiše stagnují.

Co vás to může stát

• Podvodník pošle vašemu zákazníkovi fakturu 'od vás' s vlastními bankovními údaji a zákazník ji zaplatí. Dozvíte se o tom o týdny později, když se zákazník ptá na své zboží — a teď jde o vaši pověst a možná i odpovědnost.
• Vaše nabídky, faktury a odpovědi tiše přistávají ve spamu zákazníků, protože velcí poskytovatelé nemohou ověřit, že jsou skutečně od vás. Obchody vychladnou a vy nikdy nepochopíte proč.
• Podvodník se vydává za majitele nebo finanční manažer a e-mailem žádá zaměstnance o urgentní platbu nebo dárkové karty — zpráva skutečně vypadá jako z vaší domény, takže někdo zaplatí.
• IT nebo bezpečnostní tým většího zákazníka zkontroluje vaši doménu a nevidí žádnou ochranu odesílatelů — buď vás vyřadí, nebo vás nutí to napravit, než podepíšou — stojí vás to obchod nebo týdny zpoždění.
• Myslíte si, že jste chráněni, protože SPF záznam existuje — jenže je nastaven na 'soft fail' bez vynucení, nebo je tiše poškozen, takže podvržená pošta stále prochází.

Proč na tom záleží. Falšování adresy odesílatele e-mailu je triviálně snadné a útočníka nestojí nic. SPF je nejlevnější a nejrychlejší způsob, jak ztížit napodobování vaší domény a udržet legitimní poštu mimo spam. Google a Yahoo nyní aktivně odhazují nebo odmítají poštu z domén bez autentizace, takže toto už není volitelné — jde o základní podmínku pro doručení e-mailu vůbec.

Stručná verze

Právě teď, pokud nemáte SPF správně nastaveno, může kdokoliv na světě posílat e-maily, které vypadají jako od vaší firmy. Mohou e-mailem kontaktovat vaše zákazníky s falešnými fakturami, vaše zaměstnance s falešnými žádostmi o platbu a vaše dodavatele jako byste to byli vy — a zprávy budou vypadat legitimně, protože na vaší doméně není nic, co by říkalo jinak.

SPF (Sender Policy Framework) je řešení. Jde o jeden řádek textu v nastavení DNS vaší domény, který uvádí, které poštovní služby skutečně smějí odesílat e-maily vaším jménem. Poskytovatelé přijímající poštu — Gmail, Outlook, všichni — tento seznam zkontrolují, než rozhodnou, zda je zpráva skutečná. Bez seznamu nebo se slabým seznamem nemají o co se opřít.

Tato stránka pokrývá dvě věci, které musí být obě správné: zda SPF záznam vůbec existuje a zda je nastaven dostatečně přísně, aby skutečně plnil svou funkci.

Co vás to může stát

Toto jsou každodenní, reálné způsoby, jak chybějící nebo slabý SPF záznam přemění v odcházející peníze a ztrátu důvěry. Nikdy nejmenujeme skutečnou firmu — jde o vzory, které vidíme v datech.

• Přesměrování faktury. Zločinec pošle jednomu z vašich zákazníků e-mail, který vypadá přesně jako od vás, s připojenou realisticky vypadající fakturou s vlastním bankovním účtem. Zákazník ji zaplatí. První, co slyšíte, je upomínka s dotazem, kde je objednávka. Nyní je tu rozzlobený zákazník, platba putující ke zločinci a obtížný rozhovor o tom, kdo ponese ztrátu.
• Podvod s CEO/financemi. Někdo napíše vašemu účetnímu ‘od’ majitele: “Rychlá laskavost — můžete tuto platbu provést do konce dne?” Protože zpráva skutečně vypadá jako z vaší domény, nikoho nenapadne ji zpochybnit. Peníze odejdou z firmy.
• Skrytá daň na doručitelnost. Vaše nabídky a faktury začínají přistávat ve složkách spamu zákazníků, protože Gmail a Yahoo nemohou ověřit, že jsou skutečně od vás. Nedostanete žádný bounce, žádnou chybu — obchody jen utichnou. Ztrácíte podnikání a nemůžete to ani vidět.
• Ztracená smlouva. Nábor nebo bezpečnostní tým většího klienta provede základní kontrolu vaší domény jako součást procesu onboardingu. Vidí žádnou autentizaci odesílatele a označí vás jako riziko. V nejlepším případě spěcháte s opravou pod tlakem termínu; v nejhorším případě jdou k konkurenci, která prošla.
• Vlna poškození značky. Vaše doména je použita v phishingové kampani zaměřené na veřejnost. Lidé, kteří byli poškozeni, nyní nedůvěřují každému e-mailu s vaším jménem — takže i vaše skutečné nabídky a obnovení jsou ignorovány nebo nahlášeny.

Společný jmenovatel všech těchto případů: útočník nevynakládá nic a vaše firma nese náklady i vinu.

Co to vlastně je

Když e-mail dorazí, přijímající poštovní server chce znát jednu věc: je toto skutečně od toho, za koho se vydává? SPF odpovídá na část této otázky.

Publikujete krátký řádek textu v nastavení DNS vaší domény — “TXT záznam” — který pojmenovává poštovní služby oprávněné odesílat vaším jménem. Něco jako:

v=spf1 include:_spf.google.com include:sendgrid.net -all

V prostém jazyce to říká: “Skutečná pošta od nás přichází ze serverů Google a serverů SendGrid — odmítněte cokoliv jiného, co tvrdí, že je od nás.”

Dvě části, které jsou důležité pro vaše hodnocení:

1. Existuje záznam vůbec? Toto je to hlavní (nese největší váhu ze všech e-mailových kontrol). Žádný záznam znamená, že přijímající servery nemají seznam, který by zkontrolovaly, takže vydávání se je zcela otevřené. Existuje také jemný selhávací způsob: pokud vaše doména má dva nebo více SPF záznamů, pravidla říkají, že všechny jsou neplatné — takže fakticky nemáte SPF vůbec, i když to tak vypadá.

2. Je politika dostatečně přísná? Záznam může existovat a přesto být neúčinný. Zakončení — mechanismus “all” — je instrukce pro přijímající servery:

   • -all (hard fail) — odmítněte vše, co není na seznamu. Nejsilnější. Plné hodnocení.
   • ~all (soft fail) + DMARC nastavené na reject — moderní doporučené nastavení. Ekvivalentní ochrana jako hard fail, bez rizika bounces u přeposílané pošty. Plné hodnocení.
   • ~all + DMARC nastavené na quarantine — přijatelné, mírně slabší; přesuňte DMARC na reject pro plnou ochranu.
   • ~all samo o sobě (bez DMARC vynucení) — slabé. Toto říká “pravděpodobně falešné, přesto doručte.” Podvržená pošta stále prochází. Toto je past, do které mnohé firmy spadnou v domnění, že jsou chráněny.
   • ?all (neutrální) — neposkytuje žádnou ochranu.
   • +all — aktivně nebezpečné: říká světu, že kdokoliv smí posílat vaším jménem. Nikdy to nepoužívejte.

Existuje ještě jedno neviditelné selhání: SPF smí při vyhodnocování spustit maximálně 10 DNS vyhledávání. Navrstvíte-li příliš mnoho položek include: a záznam překročí tento limit, přijímající servery celou věc považují za nefunkční — a vrátíte se na nulovou ochranu. Toto je běžný, tichý problém pro firmy využívající mnoho marketingových a SaaS nástrojů.

Jak vypadá ‘dobré’ nastavení: přesně jeden SPF záznam, uvádějící každou službu, která legitimně posílá poštu vaším jménem, zakončený -all (nebo ~all spárovaným s DMARC na p=reject) a bezpečně pod limitem 10 vyhledávání.

Jak to opravit (zdarma, ~10 minut)

Předejte tuto sekci tomu, kdo spravuje vaši doménu nebo web — a poznamenejte, že oprava je zdarma. Jde o změnu nastavení DNS, ne o produkt, který kupujete. Účtujeme pouze monitoring, zda zůstane správné v čase, nikoli za provedení změny.

Krok 1 — Vypište každou službu, která odesílá e-maily vaším jménem. Toto je část, kde lidé dělají chyby. Zapište si všechny: váš poskytovatel poštovních schránek (Google Workspace, Microsoft 365 atd.), plus jakýkoliv newsletter nástroj, CRM, helpdesk, e-commerce platformu, fakturační/účetní aplikaci a systém rezervací. Pokud na službu zapomenete, váš SPF po zpřísnění politiky bude blokovat její poštu.

Krok 2 — Publikujte jeden TXT záznam na vaší kořenové doméně. Zkombinujte řádky “include” pro všechny vaše odesílatele do jednoho záznamu. Podle běžných platforem:

• Google Workspace: include:_spf.google.com
• Microsoft 365: include:spf.protection.outlook.com
• SendGrid: include:sendgrid.net
• Mailchimp: include:servers.mcsv.net
• Zoho: include:zoho.eu (nebo doménově vhodná varianta)

Kombinovaný záznam vypadá takto:

v=spf1 include:_spf.google.com include:spf.protection.outlook.com include:sendgrid.net -all

Kde to přidat, podle poskytovatele:

• Cloudflare: DNS → Záznamy → Přidat záznam → Typ TXT, Název @, Obsah = výše uvedená hodnota.
• Microsoft 365 / Google admin: publikují přesný include řetězec pro použití v průvodci nastavením; zkopírujte jej do TXT záznamu vašeho hostitele DNS.
• GoDaddy / Blacknight / většina hostingů: Správa DNS → Přidat → TXT, Host/Název @, Hodnota = záznam.

Krok 3 — Začněte bezpečně, pak vynuťte. Zatímco potvrzujete, že váš seznam odesílatelů je úplný, publikujte s ~all (soft fail), aby nebyla omylem zablokována legitimní pošta. Jakmile potvrdíte, že veškerá vaše legitimní pošta stále proudí, zpřísněte na -all (hard fail) — nebo raději ponechte ~all a přidejte DMARC politiku p=reject, což je doporučené moderní párování.

Krok 4 — Ujistěte se, že máte přesně JEDEN záznam. Pokud starý SPF záznam již existuje, upravte jej místo přidávání druhého. Dva záznamy v=spf1 se vzájemně ruší a zanechají vás nechráněnými.

Krok 5 — Sledujte počet vyhledávání. Pokud máte mnoho odesílatelů, můžete přesáhnout limit 10 vyhledávání. Pokud k tomu dojde, konsolidujte — někteří poskytovatelé nabízejí “SPF flattening” nebo zrušte odesílatele, které již nepoužíváte.

Krok 6 — Znovu zkontrolujte svou doménu a ověřte, že nyní projde, se záznamem přítomným a politikou přísnou.

Běžné chyby

• Dva SPF záznamy. Nejčastější tiché selhání. Přidání nového záznamu místo úpravy stávajícího zneplatní oba. Musí existovat přesně jeden.
• Zastavení na ~all v předpokladu, že jste hotovi. Soft fail bez DMARC v pozadí je slabý střed — vypadá nakonfigurovaně, ale sotva vás chrání. Buď přejděte na -all, nebo spárujte ~all s DMARC p=reject.
• Zapomenutí odesílatele. Zpřísnění na -all před výpisem vaší fakturační aplikace, CRM nebo newsletter nástroje začne blokovat vaši vlastní legitimní poštu. Nejprve vypište vše.
• Překročení limitu 10 vyhledávání. Každý include: může řetězit další vyhledávání. Příliš mnoho a záznam je považován za nefunkční. Udržujte jej stručný.
• Použití +all. Toto explicitně autorizuje celý internet odesílat vaším jménem. Je to horší než nemít žádný záznam. Nikdy to nepublikujte.

Kde to zapadá do celku

SPF je základ, ale je to jedna ze tří vrstev. DKIM přidává kryptografický podpis prokazující, že zpráva nebyla pozměněna, a DMARC je instrukce, která spojuje SPF a DKIM dohromady a říká přijímajícím serverům, co skutečně dělat s poštou, která selže — včetně blokování vydávání se za viditelné jméno odesílatele, které vaši zákazníci vidí. Nejprve správně nastavte SPF (je to nejrychlejší výhra a nese největší váhu), pak přidejte DKIM a DMARC pro úplné uzavření dveří. Všechny tři opravy jsou zdarma.

Nastavte u svého poskytovatele

Krok za krokem pro oblíbené poskytovatele:

• Nastavit SPF u GoDaddy
• Nastavit SPF u Namecheap
• Nastavit SPF u Cloudflare
• Nastavit SPF u Google Workspace
• Nastavit SPF u Microsoft 365
• Nastavit SPF u Squarespace
• Nastavit SPF u Wix
• Nastavit SPF u AWS Route 53
• Nastavit SPF u Hostinger
• Nastavit SPF u Porkbun
• Nastavit SPF u IONOS
• Nastavit SPF u Bluehost

Časté dotazy