Defaults.Exposed › Διορθώσεις › SPF (Sender Policy Framework)

Πώς να διορθώσετε SPF (Sender Policy Framework)

Το SPF είναι η εγγραφή στις ρυθμίσεις του domain σας που καθορίζει ποιες υπηρεσίες αλληλογραφίας επιτρέπεται να στέλνουν email εκ μέρους της επιχείρησής σας. Χωρίς αυτό, οποιοσδήποτε στον κόσμο μπορεί να στείλει email που φαίνεται να προέρχεται από εσάς — και τα γνήσια email σας είναι πιο πιθανό να καταλήξουν στα spam των πελατών.

Ουσία για την επιχείρησή σας: Οποιοσδήποτε μπορεί να στείλει email προσποιούμενος ότι είναι η επιχείρησή σας — στους πελάτες, το προσωπικό και τους προμηθευτές σας — τιμολόγια, αιτήματα αλλαγής πληρωμής, τα πάντα. Ταυτόχρονα, τα πραγματικά σας προσφορές και τιμολόγια έχουν περισσότερες πιθανότητες να καταλήξουν στα ανεπιθύμητα, οπότε οι συμφωνίες αδρανοποιούνται αθόρυβα.

Τι μπορεί να σας κοστίσει αυτό

Ένας απατεώνας στέλνει στον πελάτη σας τιμολόγιο «από εσάς» με τα δικά του τραπεζικά στοιχεία, και πληρώνεται. Μαθαίνετε γι' αυτό εβδομάδες αργότερα όταν ο πελάτης ρωτά πού είναι τα εμπορεύματά του — και τώρα πρόκειται για τη φήμη σας, και ενδεχομένως για την ευθύνη σας.
Οι προσφορές, τα τιμολόγια και οι απαντήσεις σας καταλήγουν αθόρυβα στα spam των πελατών, επειδή οι μεγάλοι πάροχοι δεν μπορούν να επαληθεύσουν ότι προέρχονται πραγματικά από εσάς. Οι συμφωνίες παγώνουν και ποτέ δεν μαθαίνετε γιατί.
Ένας απατεώνας υποδύεται τον ιδιοκτήτη ή τον υπεύθυνο οικονομικών και στέλνει email σε υπαλλήλους ζητώντας επείγουσα πληρωμή ή δωροκάρτες — το μήνυμα φαίνεται αληθινό να προέρχεται από το domain σας, οπότε κάποιος πληρώνει.
Ο έλεγχος ΙΤ ενός μεγαλύτερου υποψήφιου πελάτη ελέγχει το domain σας, δεν βλέπει προστασία αποστολής, και είτε σας αποκλείει είτε σας ζητά να το διορθώσετε πριν υπογράψουν — κοστίζοντας τη συμφωνία ή εβδομάδες καθυστέρησης.
Νομίζετε ότι είστε προστατευμένοι επειδή υπάρχει εγγραφή SPF — αλλά είναι ρυθμισμένη σε 'soft fail' χωρίς κάτι να την επιβάλλει, ή έχει σπάσει αθόρυβα, οπότε τα πλαστά email συνεχίζουν να διέρχονται.

Γιατί έχει σημασία. Η πλαστογράφηση της διεύθυνσης 'από' ενός email είναι εξαιρετικά εύκολη και δεν κοστίζει τίποτα σε έναν εισβολέα. Το SPF είναι ο φθηνότερος, γρηγορότερος τρόπος για να δυσκολέψετε την υποδύεση του domain σας και να κρατήσετε τα νόμιμα email σας μακριά από τα spam. Η Google και η Yahoo πλέον αρνούνται ενεργά ή απορρίπτουν email από domains που δεν είναι αυθεντικοποιημένα, οπότε αυτό δεν είναι πλέον προαιρετικό — είναι βασική προϋπόθεση για την παράδοση email σας.

Η σύντομη έκδοση

Αυτή τη στιγμή, εκτός κι αν έχετε σωστά ρυθμισμένο SPF, οποιοσδήποτε στον κόσμο μπορεί να στείλει email που φαίνεται να προέρχεται από την επιχείρησή σας. Μπορούν να στείλουν πλαστά τιμολόγια στους πελάτες σας, ψεύτικα αιτήματα πληρωμής στο προσωπικό σας, και να αλληλογραφούν με τους προμηθευτές σας σαν να ήσασταν εσείς — και τα μηνύματα θα φαίνονται γνήσια, επειδή τίποτα στο domain σας δεν λέει διαφορετικά.

Το SPF (Sender Policy Framework) είναι η λύση. Είναι μία μόνο γραμμή κειμένου στις ρυθμίσεις DNS του domain σας που απαριθμεί ποιες υπηρεσίες αλληλογραφίας επιτρέπεται πραγματικά να στέλνουν email εκ μέρους σας. Οι πάροχοι αλληλογραφίας — Gmail, Outlook, όλοι — ελέγχουν τη λίστα πριν αποφασίσουν αν ένα μήνυμα είναι πραγματικό. Χωρίς λίστα, ή με αδύναμη, δεν έχουν στοιχεία με τα οποία να αξιολογήσουν.

Αυτή η σελίδα καλύπτει δύο πράγματα που πρέπει να είναι σωστά: αν υπάρχει εγγραφή SPF, και αν έχει ρυθμιστεί αρκετά αυστηρά ώστε να κάνει τη δουλειά της.

Τι μπορεί να σας κοστίσει

Αυτά είναι τα καθημερινά, πραγματικά σενάρια στα οποία μια ελλείπουσα ή αδύναμη εγγραφή SPF μετατρέπεται σε χρήματα και εμπιστοσύνη που φεύγουν από την πόρτα.

Η ανακατεύθυνση τιμολογίου. Ένας εγκληματίας στέλνει σε έναν πελάτη σας email που μοιάζει ακριβώς να προέρχεται από εσάς, επισυνάπτοντας πραγματικό τιμολόγιο με τον δικό του τραπεζικό λογαριασμό. Ο πελάτης σας πληρώνει. Το μαθαίνετε πρώτη φορά από ένα follow-up που ρωτά πού είναι η παραγγελία. Τώρα υπάρχει θυμωμένος πελάτης, πληρωμή που πήγε σε εγκληματία, και δύσκολη συζήτηση για το ποιος θα καταπιεί τη ζημιά.
Η απάτη CEO/οικονομικών. Κάποιος στέλνει email στον υπολογιστή σας «από» τον ιδιοκτήτη: «Γρήγορη χάρη — μπορείς να προωθήσεις αυτή την πληρωμή πριν τη λήξη της ημέρας;» Επειδή το μήνυμα φαίνεται αληθινά να προέρχεται από το domain σας, δεν ενεργοποιεί τα ένστικτα κανενός. Τα χρήματα φεύγουν.
Ο αθόρυβος φόρος παραδοσιμότητας. Οι προσφορές και τα τιμολόγιά σας αρχίζουν να καταλήγουν στα spam των πελατών, επειδή το Gmail και το Yahoo δεν μπορούν να επαληθεύσουν ότι προέρχονται πραγματικά από εσάς. Δεν λαμβάνετε bounce, δεν λαμβάνετε σφάλμα — οι συμφωνίες απλώς σβήνουν. Χάνετε επιχειρήσεις και δεν το βλέπετε καν να συμβαίνει.
Η χαμένη σύμβαση. Η ομάδα προμηθειών ή ασφάλειας ενός μεγαλύτερου πελάτη εκτελεί έναν βασικό έλεγχο στο domain σας ως μέρος της ενσωμάτωσης. Δεν βλέπει αυθεντικοποίηση αποστολέα και σας επισημαίνει ως κίνδυνο. Στην καλύτερη περίπτωση, σπεύδετε να το διορθώσετε υπό πίεση προθεσμίας· στη χειρότερη, επιλέγουν έναν ανταγωνιστή που πέρασε.
Το κύμα δηλητηρίασης μάρκας. Το domain σας χρησιμοποιείται σε εκστρατεία phishing κατά του κοινού. Οι άνθρωποι που έπεσαν θύματα τώρα δυσπιστούν σε κάθε email με το όνομά σας — οπότε ακόμα και οι γνήσιες προσφορές και ανανεώσεις σας αγνοούνται ή αναφέρονται.

Το νήμα που διατρέχει όλα αυτά: ο εισβολέας δεν ξοδεύει τίποτα, και η επιχείρησή σας φέρει το κόστος και τη ευθύνη.

Τι είναι στην πραγματικότητα

Όταν φτάνει ένα email, ο διακομιστής αλληλογραφίας λήψης θέλει να γνωρίζει ένα πράγμα: είναι αυτό πραγματικά από αυτόν που ισχυρίζεται ότι είναι; Το SPF απαντά μέρος αυτής της ερώτησης.

Δημοσιεύετε μια σύντομη γραμμή κειμένου στις ρυθμίσεις DNS του domain σας — μια «εγγραφή TXT» — που ονομάζει τις υπηρεσίες αλληλογραφίας που επιτρέπεται να στέλνουν εκ μέρους σας. Κάτι σαν:

v=spf1 include:_spf.google.com include:sendgrid.net -all

Σε απλή γλώσσα, αυτό λέει: «Το γνήσιο email μας προέρχεται από διακομιστές της Google και της SendGrid — απορρίψτε οτιδήποτε άλλο ισχυρίζεται ότι είναι εμείς.»

Τα δύο μέρη που έχουν σημασία για τη βαθμολογία σας:

Υπάρχει η εγγραφή; Αυτό είναι το βασικό (φέρει το μεγαλύτερο βάρος από οποιονδήποτε μεμονωμένο έλεγχο email). Χωρίς εγγραφή, οι παραλήπτες δεν έχουν λίστα να ελέγξουν, οπότε η υποδύεση είναι εντελώς ανοιχτή. Υπάρχει επίσης μια λεπτή αποτυχία εδώ: αν το domain σας έχει δύο ή περισσότερες εγγραφές SPF, οι κανόνες λένε ότι όλες είναι άκυρες — οπότε ουσιαστικά δεν έχετε καθόλου SPF, ακόμα και αν φαίνεται να υπάρχει.
Είναι η πολιτική αρκετά αυστηρή; Μια εγγραφή μπορεί να υπάρχει αλλά να είναι άνευ αξίας. Η κατάληξη — ο μηχανισμός «all» — είναι η οδηγία προς τους παραλήπτες:
- -all (hard fail) — απόρριψη οτιδήποτε δεν βρίσκεται στη λίστα. Ισχυρότερο. Πλήρης βαθμολογία.
- ~all (soft fail) + DMARC ρυθμισμένο σε reject — η σύγχρονη συνιστώμενη ρύθμιση. Ισοδύναμη προστασία με hard fail, χωρίς τον κίνδυνο bounce σε νόμιμα email που προωθούνται. Πλήρης βαθμολογία.
- ~all + DMARC ρυθμισμένο σε quarantine — αποδεκτό, ελαφρώς ασθενέστερο· μετακινήστε DMARC σε reject για πλήρη προστασία.
- ~all μόνο του (χωρίς DMARC enforcement) — αδύναμο. Αυτό λέει «πιθανώς πλαστό, παραδώστε ούτως ή άλλως.» Τα πλαστά email εξακολουθούν να περνούν. Αυτή είναι η παγίδα στην οποία πέφτουν πολλές επιχειρήσεις νομίζοντας ότι προστατεύονται.
- ?all (neutral) — δεν παρέχει καμία προστασία.
- +all — ενεργά επικίνδυνο: λέει στον κόσμο ότι οποιοσδήποτε μπορεί να στέλνει εκ μέρους σας. Μη το χρησιμοποιείτε ποτέ.

Υπάρχει ακόμα μια αόρατη αποτυχία: το SPF επιτρέπεται να ενεργοποιεί μέχρι 10 DNS lookups όταν αξιολογείται. Συσσωρεύστε πάρα πολλές καταχωρήσεις include: και η εγγραφή υπερβαίνει αυτό το όριο, οπότε οι παραλήπτες αντιμετωπίζουν ολόκληρη την εγγραφή ως κατεστραμμένη — και επιστρέφετε σε μηδενική προστασία.

Πώς μοιάζει το «καλό»: ακριβώς μία εγγραφή SPF, που απαριθμεί κάθε υπηρεσία που νομίμως στέλνει email εκ μέρους σας, τελειώνει σε -all (ή ~all σε ζεύγος με DMARC στο p=reject), και παραμένει άνετα κάτω από το όριο των 10 lookups.

Πώς να το διορθώσετε (δωρεάν, ~10 λεπτά)

Δώστε αυτή την ενότητα σε αυτόν που διαχειρίζεται το domain ή τον ιστότοπό σας — και σημειώστε ότι η διόρθωση είναι δωρεάν. Είναι αλλαγή σε ρύθμιση DNS, όχι προϊόν που αγοράζετε. Χρεώνουμε μόνο για την παρακολούθηση ότι παραμένει σωστό διαχρονικά, όχι για να κάνετε την αλλαγή.

Βήμα 1 — Απαριθμήστε κάθε υπηρεσία που στέλνει email εκ μέρους σας. Αυτό είναι το μέρος που οι άνθρωποι κάνουν λάθος. Γράψτε τα όλα: τον πάροχο γραμματοκιβωτίου σας (Google Workspace, Microsoft 365 κ.λπ.), συν κάθε εργαλείο newsletter, CRM, helpdesk, πλατφόρμα e-commerce, εφαρμογή τιμολόγησης/λογιστικής, και σύστημα κρατήσεων.

Βήμα 2 — Δημοσιεύστε μία εγγραφή TXT στο root domain σας. Συνδυάστε τις γραμμές “include” για όλους τους αποστολείς σε μία μόνο εγγραφή. Ανά κοινή πλατφόρμα:

Google Workspace: include:_spf.google.com
Microsoft 365: include:spf.protection.outlook.com
SendGrid: include:sendgrid.net
Mailchimp: include:servers.mcsv.net
Zoho: include:zoho.eu (ή το domain για την περιοχή σας)

Μια συνδυαστική εγγραφή μοιάζει με:

v=spf1 include:_spf.google.com include:spf.protection.outlook.com include:sendgrid.net -all

Πού να την προσθέσετε, ανά πάροχο:

Cloudflare: DNS → Records → Add record → Type TXT, Name @, Content = η παραπάνω τιμή.
Microsoft 365 / Google admin: δημοσιεύουν τη συγκεκριμένη συμπεριλαμβανόμενη συμβολοσειρά στον οδηγό εγκατάστασης· αντιγράψτε την στην εγγραφή TXT του παρόχου DNS σας.
GoDaddy / άλλοι hosts: DNS management → Add → TXT, Host/Name @, Value = η εγγραφή.

Βήμα 3 — Ξεκινήστε ασφαλώς, μετά επιβάλλετε. Ενώ επιβεβαιώνετε ότι η λίστα αποστολέων σας είναι πλήρης, δημοσιεύστε με ~all (soft fail) ώστε τίποτα νόμιμο να μην μπλοκαριστεί κατά λάθος. Μόλις επιβεβαιώσετε ότι όλο το γνήσιο email σας συνεχίζει να ρέει, σφίξτε σε -all (hard fail) — ή, καλύτερα, κρατήστε ~all και προσθέστε DMARC policy p=reject.

Βήμα 4 — Βεβαιωθείτε ότι έχετε ακριβώς ΜΙΑ εγγραφή. Αν υπάρχει ήδη παλιά εγγραφή SPF, επεξεργαστείτε εκείνη αντί να προσθέσετε δεύτερη. Δύο εγγραφές v=spf1 αλληλοεκμηδενίζονται και σας αφήνουν απροστάτευτους.

Βήμα 5 — Παρακολουθήστε τον αριθμό lookups. Αν έχετε πολλούς αποστολείς, μπορείτε να ξεπεράσετε το όριο των 10 lookups. Αν αυτό συμβεί, ενοποιήστε — ορισμένοι πάροχοι προσφέρουν «SPF flattening», ή αφαιρέστε αποστολείς που δεν χρησιμοποιείτε πλέον.

Βήμα 6 — Ξανα-ελέγξτε το domain σας για να επιβεβαιώσετε ότι τώρα περνά, με την εγγραφή παρούσα και την πολιτική αυστηρή.

Συνηθισμένα λάθη

Δύο εγγραφές SPF. Η πιο κοινή αθόρυβη αποτυχία. Η προσθήκη νέας εγγραφής αντί επεξεργασίας της υπάρχουσας καθιστά και τις δύο άκυρες. Πρέπει να υπάρχει ακριβώς μία.
Σταμάτημα στο ~all με την υπόθεση ότι τελειώσατε. Το soft fail χωρίς DMARC από πίσω είναι η αδύναμη μέση λύση — φαίνεται ρυθμισμένο αλλά μόλις που σας προστατεύει. Είτε πηγαίνετε σε -all, είτε συνδυάζετε ~all με DMARC p=reject.
Λησμόνηση αποστολέα. Σφίξιμο σε -all πριν απαριθμήσετε την εφαρμογή τιμολόγησης, CRM ή εργαλείο newsletter θα αρχίσει να μπλοκάρει το δικό σας νόμιμο email. Απαριθμήστε τα πάντα πρώτα.
Υπέρβαση του ορίου 10 lookups. Κάθε include: μπορεί να αλυσιδωθεί σε περισσότερα lookups. Πάρα πολλά και η εγγραφή αντιμετωπίζεται ως κατεστραμμένη. Κρατήστε τη λιτή.
Χρήση +all. Αυτό εξουσιοδοτεί ρητά ολόκληρο το internet να στέλνει εκ μέρους σας. Είναι χειρότερο από το να μην έχετε καμία εγγραφή. Μη το δημοσιεύετε ποτέ.

Πού εντάσσεται

Το SPF είναι το θεμέλιο, αλλά είναι ένα από τρία επίπεδα. Το DKIM προσθέτει κρυπτογραφική υπογραφή που αποδεικνύει ότι ένα μήνυμα δεν παραβιάστηκε, και το DMARC είναι η οδηγία που συνδέει SPF και DKIM και λέει στους παραλήπτες τι να κάνουν με email που αποτυγχάνει — συμπεριλαμβανομένου του μπλοκαρίσματος υποδύεσης του ορατού ονόματος «από» που βλέπουν οι πελάτες σας. Πρώτα φτιάξτε το SPF (είναι η πιο γρήγορη επιτυχία και φέρει το μεγαλύτερο βάρος), μετά προσθέστε DKIM και DMARC για να κλείσετε πλήρως την πόρτα. Και οι τρεις διορθώσεις είναι δωρεάν.

Ρυθμίστε το στον πάροχό σας

Βήμα προς βήμα για δημοφιλείς παρόχους:

Συχνές Ερωτήσεις

Δεν είμαι τεχνικός — μπορώ να το χειριστώ μόνος μου;

Δεν χρειάζεται να κατανοείτε τις λεπτομέρειες. Η αλλαγή είναι μία ή δύο γραμμές που προστίθενται στις ρυθμίσεις του domain σας, από αυτόν που διαχειρίζεται τον ιστότοπό σας ή τον πάροχο ΙΤ σας. Δώστε τους την ενότητα 'Πώς να το διορθώσετε' παρακάτω — συνήθως χρειάζεται λίγα λεπτά και είναι δωρεάν. Εμείς χρεώνουμε μόνο για την παρακολούθηση ότι παραμένει σωστό διαχρονικά.

Έχουμε ήδη εγγραφή SPF — δεν σημαίνει ότι είμαστε καλυμμένοι;

Όχι απαραίτητα. Η ύπαρξη μιας εγγραφής είναι το πρώτο μισό· η αυστηρή ρύθμισή της είναι το δεύτερο. Μια εγγραφή που τελειώνει σε '~all' (soft fail) χωρίς DMARC λέει στους διακομιστές λήψης 'αυτό μπορεί να είναι πλαστό, αλλά παραδώστε το ούτως ή άλλως' — πράγμα που παρέχει ελάχιστη προστασία. Δύο εγγραφές SPF, ή μια με πολλά lookups, αντιμετωπίζεται ως κατεστραμμένη και δεν σας δίνει καμία προστασία παρόλο που φαίνεται να υπάρχει. Και τα δύο μισά πρέπει να είναι σωστά.

Η διόρθωση αυτού θα σπάσει κατά λάθος τα δικά μου email;

Μπορεί αν η εγγραφή παραλείψει έναν νόμιμο αποστολέα — για παράδειγμα την εφαρμογή τιμολόγησης ή το εργαλείο newsletter που στέλνει email με το όνομά σας. Αυτός ακριβώς είναι ο λόγος που η ασφαλής προσέγγιση είναι να απαριθμήσετε πρώτα κάθε υπηρεσία που στέλνει email εκ μέρους σας, να δημοσιεύσετε με soft '~all' ενώ επιβεβαιώνετε ότι δεν παραλείπεται τίποτα, και μετά να σφίξετε σε hard fail. Γίνεται σε αυτή τη σειρά και δεν θα σπάσει τίποτα.

Ποια είναι η διαφορά μεταξύ '~all' και '-all', και ποιο πρέπει να χρησιμοποιούμε;

Το '-all' (hard fail) λέει στους παραλήπτες να απορρίψουν οτιδήποτε δεν είναι στη λίστα σας — η πιο αυστηρή ρύθμιση. Το '~all' (soft fail) λέει 'πιθανώς μη νόμιμο, αλλά αποδεχτείτε το ούτως ή άλλως.' Η σύγχρονη βέλτιστη πρακτική είναι '~all' σε συνδυασμό με DMARC policy 'reject' — αυτό το ζεύγος σας δίνει την ίδια προστασία με το '-all' χωρίς τον κίνδυνο bounce σε email που προωθούνται. Το '~all' μόνο του, χωρίς DMARC, είναι η αδύναμη διαμόρφωση που πρέπει να αποφύγετε.

Θα σταματήσει το SPF όλες τις πλαστογραφήσεις email μόνο του;

Όχι — είναι το βασικό πρώτο επίπεδο, όχι η πλήρης απάντηση. Το SPF λέει ποιοι διακομιστές μπορούν να στέλνουν εκ μέρους σας, αλλά δεν λέει στους παραλήπτες τι να κάνουν όταν ένα μήνυμα αποτυγχάνει, και δεν καλύπτει το ορατό όνομα 'από' που βλέπει ο χρήστης. Για να κλειδώσετε πλήρως την υποδύεση χρειάζεστε επίσης DKIM και DMARC. Το SPF είναι το πιο γρήγορο, υψηλότερης επίδρασης πρώτο βήμα, οπότε ξεκινήστε από εδώ, μετά προσθέστε τα άλλα δύο.

Πόσο χρόνο χρειάζεται για να ισχύσει, και μπορεί να κοστίσει κάτι;

Οι αλλαγές DNS συνήθως ισχύουν μέσα σε λίγα λεπτά έως μερικές ώρες. Η ίδια η διόρθωση είναι πάντα δωρεάν — είναι απλώς η επεξεργασία μιας ρύθμισης στον πάροχο DNS σας. Όποιος σας λέει ότι απαιτεί πληρωμένο προϊόν για να προσθέσετε εγγραφή SPF κάνει λάθος.