Defaults.Exposed › Ispravci › SPF (Sender Policy Framework)

Kako popraviti SPF (Sender Policy Framework)

SPF je redak u postavkama vaše domene koji navodi kojim servisima je dopušteno slati e-poštu u ime vašeg poslovanja. Bez njega, bilo tko na svijetu može slati poruke koje izgledaju kao da dolaze od vas — a vaša stvarna e-pošta češće završava u spam mapama primatelja.

Zaključak za vaše poslovanje: Kriminalci mogu slati e-poštu lažno predstavljajući vaše poduzeće — vašim klijentima, zaposlenicima i dobavljačima — lažne fakture, zahtjeve za promjenu plaćanja i slično. Istovremeno, vaše stvarne ponude i fakture češće završavaju u spam mapama, pa poslovi tiho staju.

Što vas ovo može koštati

Prevarant pošalje vašem klijentu fakturu 'od vas' s vlastitim bankovnim podacima i bude plaćen. Doznate to tjednima kasnije kad klijent upita gdje je roba — a sada je u pitanju vaša reputacija, i potencijalno vaša odgovornost.
Vaše ponude, fakture i odgovori tiho završavaju u spam mapama klijenata jer veliki pružatelji ne mogu potvrditi da zaista dolaze od vas. Poslovi se ohlade, a vi nikad ne saznate zašto.
Prevarant se lažno predstavlja kao vlasnik ili financijska osoba i šalje zaposlenicima zahtjev za hitnu uplatu ili poklon-kartice — poruka zaista izgleda kao da dolazi s vaše domene, pa netko plati.
IT ili sigurnosni tim većeg poslovnog partnera provjeri vašu domenu, vidi da nema zaštite pošiljatelja i ili odustane od suradnje ili zatraži popravak prije potpisivanja — što vas stoji posao ili tjednima kašnjenja.
Mislite da ste zaštićeni jer SPF zapis postoji — ali postavljen je na 'soft fail' bez DMARC-a koji bi ga provodio, ili je tiho neispravan, pa lažne poruke i dalje prolaze.

Zašto je to važno. Krivotvorenje adrese 'od' u e-pošti trivijalno je jednostavno i napadača ne košta ništa. SPF je najjeftiniji i najbrži način da vašu domenu učinite teže lažnom i da vaša legitimna pošta ne završi u spamu. Google i Yahoo sada aktivno odbacuju ili odbijaju poštu od domena koje nisu autenticirane, pa ovo više nije opcija — to je preduvjet za isporuku e-pošte.

Ukratko

Trenutno, osim ako nemate ispravno postavljen SPF, bilo tko na svijetu može slati e-poštu koja se čini kao da dolazi od vašeg poduzeća. Mogu e-poštom slati vašim klijentima lažne fakture, vašim zaposlenicima lažne zahtjeve za plaćanje i vašim dobavljačima poruke kao da ste vi — a poruke će izgledati autentično, jer ništa na vašoj domeni ne govori drugačije.

SPF (Sender Policy Framework) je rješenje. To je jedan redak teksta u DNS postavkama vaše domene koji navodi kojim servisima zaista je dopušteno slati e-poštu u vaše ime. Primajući pružatelji pošte — Gmail, Outlook, svi ostali — provjere taj popis prije nego odluče je li poruka stvarna. Bez popisa, ili sa slabim popisom, nemaju ništa na što se mogu osloniti.

Ova stranica pokriva dvije stvari koje moraju obje biti ispravne: postoji li SPF zapis uopće, i je li postavljen dovoljno strogo da zaista obavlja svoju funkciju.

Što vas ovo može koštati

Ovo su svakodnevni, stvarni načini na koje nedostajući ili slabi SPF zapis pretvara se u novac i povjerenje koji odu. Nikad ne imenujemo stvarno poduzeće — ovo su obrasci koje vidimo u podacima.

Preusmjeravanje fakture. Kriminalac pošalje jednom od vaših klijenata e-poštu koja izgleda točno kao da dolazi od vas, s priloženom uvjerljivom fakturom na kojoj su njegovi bankovni podaci. Klijent plati. Prva vijest je opomena s pitanjem gdje je narudžba. Sada postoji ljutiti klijent, uplata koja je otišla kriminalcu i težak razgovor o tome tko snosi gubitak.
CEO/financijska prijevara. Netko e-poštom šalje vašem računovođi ‘od’ vlasnika: “Možete li hitno provesti ovu uplatu do kraja radnog dana?” Budući da poruka zaista izgleda kao da dolazi s vaše domene, ne pobuđuje sumnju ni kod koga. Novac napušta tvrtku.”
Tihi porez na isporučivost. Vaše ponude i fakture počinju završavati u spam mapama klijenata jer Gmail i Yahoo ne mogu potvrditi da zaista dolaze od vas. Ne dobivate povratnu poruku, ne dobivate grešku — poslovi jednostavno utihnu. Gubite posao i ne možete to ni vidjeti.”
Izgubljeni ugovor. Nabavni ili sigurnosni tim većeg klijenta provede osnovnu provjeru vaše domene kao dio procesa uvođenja. Vide da nema autentikacije pošiljatelja i označe vas kao rizik. U najboljem slučaju, požurite s popravkom pod pritiskom rokova; u najgorem, odu kod konkurenta koji je prošao provjeru.”
Val trovanja brenda. Vaša domena se koristi u phishing kampanji usmjerenoj na javnost. Ljudi koji su prevareni sada ne vjeruju nijednoj e-poruci s vašim imenom — pa čak i vaše autentične ponude i obavijesti o obnovi budu ignorirane ili prijavljene.”

Nit kroz sve ove scenarije: napadač ne troši ništa, a vaše poduzeće snosi trošak i odgovornost.

Što je to zapravo

Kad e-poruka stigne, primajući mail server želi znati jednu stvar: je li ovo zaista od onoga za koga se izdaje? SPF odgovara na dio tog pitanja.

Objavljujete kratki redak teksta u DNS postavkama vaše domene — “TXT zapis” — koji imenuje servise ovlaštene za slanje e-pošte u vaše ime. Nešto poput:

v=spf1 include:_spf.google.com include:sendgrid.net -all

U slobodnom prijevodu, to kaže: “Prava pošta od nas dolazi s Googleovih servera i SendGridovih servera — odbijte sve ostalo što tvrdi da smo mi.”

Dva dijela koji su bitna za vašu ocjenu:

Postoji li zapis uopće? Ovo je ključno (nosi najviše težine od svih pojedinačnih provjera e-pošte). Bez zapisa, primatelji nemaju popis za provjeru, pa je lažno predstavljanje potpuno otvoreno. Postoji i suptilno neuspješno stanje: ako vaša domena ima dva ili više SPF zapisa, pravila kažu da su svi nevažeći — pa zapravo nemate SPF, iako izgleda da ga imate.”
Je li politika dovoljno stroga? Zapis može postojati, ali i dalje biti beskoristan. Završetak — mehanizam ‘all’ — uputa je primateljima:
- -all (hard fail) — odbijte sve što nije na popisu. Najjača postavka. Pune ocjene.
- ~all (soft fail) + DMARC postavljen na reject — moderna preporučena konfiguracija. Jednaka zaštita kao hard fail, bez rizika od odbijanja prosljeđene pošte. Pune ocjene.
- ~all + DMARC postavljen na quarantine — prihvatljivo, malo slabije; pomaknite DMARC na reject za potpunu zaštitu.
- ~all samo po sebi (bez DMARC provedbe) — slabo. To kaže “vjerojatno lažno, dostavi svejedno.” Lažna pošta i dalje prolazi. Ovo je zamka u koju mnoga poduzeća upada misleći da su zaštićena.
- ?all (neutralno) — ne pruža zaštitu.
- +all — aktivno je opasno: govori svijetu da bilo tko smije slati u vaše ime. Nikad ne koristite ovo.

Postoji još jedno nevidljivo neuspješno stanje: SPF smije pokrenuti do 10 DNS pretraživanja kad se evaluira. Nagomilate li previše include: unosa i zapis premaši to ograničenje, primatelji ga tretiraju kao neispravan — i vraćamo se na situaciju bez zaštite. Ovo je čest, tihi problem za poduzeća koja koriste mnogo marketinških i SaaS alata.

Kako izgleda ‘dobro’: točno jedan SPF zapis, koji navodi sve servise koji legitimno šalju poštu u vaše ime, završava s -all (ili ~all u paru s DMARC-om na p=reject), i ostaje ugodno ispod ograničenja od 10 pretraživanja.

Kako to popraviti (besplatno, ~10 minuta)

Proslijedite ovaj odjeljak onome tko upravlja vašom domenom ili web stranicom — i napomenite da je popravak besplatan. To je promjena DNS postavke, ne proizvod koji kupujete. Mi naplaćujemo samo praćenje da ostane ispravno, ne samu promjenu.

Korak 1 — Navedite svaki servis koji šalje e-poštu u vaše ime. Ovdje ljudi griješe. Zapišite sve: pružatelja poštanskog sandučića (Google Workspace, Microsoft 365, itd.), plus sve alate za newsletter, CRM, helpdesk, e-commerce platformu, aplikaciju za fakturiranje/računovodstvo i sustav za rezervacije. Ako zaboravite servis koji šalje poštu s vašim imenom, SPF će blokirati njegovu poštu kad pooštrite politiku.

Korak 2 — Objavite jedan TXT zapis na vašoj korijenskoj domeni. Kombinirajte “include” retke za sve vaše pošiljatelje u jedan zapis. Po popularnim platformama:

Google Workspace: include:_spf.google.com
Microsoft 365: include:spf.protection.outlook.com
SendGrid: include:sendgrid.net
Mailchimp: include:servers.mcsv.net
Zoho: include:zoho.eu (ili domena odgovarajuće regije)

Kombinirani zapis izgleda ovako:

v=spf1 include:_spf.google.com include:spf.protection.outlook.com include:sendgrid.net -all

Gdje ga dodati, po pružatelju:

Cloudflare: DNS → Zapisi → Dodaj zapis → Tip TXT, Naziv @, Sadržaj = vrijednost gore.
Microsoft 365 / Google admin: objavljuju točan include niz za korištenje u čarobnjaku za postavljanje; kopirajte ga u TXT zapis vašeg DNS hosta.
GoDaddy / većina hostova: Upravljanje DNS-om → Dodaj → TXT, Host/Naziv @, Vrijednost = zapis.

Korak 3 — Krenite sigurno, zatim provedite. Dok potvrđujete da je popis pošiljatelja potpun, objavite s ~all (soft fail) da ništa legitimno ne bude slučajno blokirano. Nakon što potvrdite da sva vaša stvarna pošta i dalje teče, pooštrite na -all (hard fail) — ili, bolje, zadržite ~all i dodajte DMARC politiku p=reject, što je preporučeni moderni par.

Korak 4 — Pobrinite se da imate točno JEDAN zapis. Ako već postoji stari SPF zapis, uredite ga umjesto da dodajete drugi. Dva v=spf1 zapisa poništavaju jedan drugoga i ostavljaju vas nezaštićenima.

Korak 5 — Pratite broj pretraživanja. Ako imate mnogo pošiljatelja, možete prekoračiti ograničenje od 10 pretraživanja. Ako se to dogodi, konsolidirajte — neki pružatelji nude “SPF spljoštivanje”, ili uklonite pošiljatelje koje više ne koristite.

Korak 6 — Provjerite svoju domenu da potvrdite da sada prolazi provjeru, uz prisutan zapis i strogu politiku.

Česte greške

Dva SPF zapisa. Najčešće tiho neuspješno stanje. Dodavanje novog zapisa umjesto uređivanja postojećeg poništava oba. Mora postojati točno jedan.
Zaustavljanje na ~all i pretpostavljanje da ste gotovi. Soft fail bez DMARC-a iza njega je slaba sredina — izgleda konfigurirano, ali jedva štiti. Ili prijeđite na -all, ili upospite ~all s DMARC-om p=reject.
Zaboraviti pošiljatelja. Pooštravanje na -all prije navođenja vaše aplikacije za fakturiranje, CRM-a ili alata za newsletter počet će blokirati vašu vlastitu legitimnu poštu. Najprije navedite sve.
Prekoračenje ograničenja od 10 pretraživanja. Svaki include: može ulančati više pretraživanja. Previše i zapis se tretira kao neispravan. Neka ostane prost.
Korištenje +all. Ovo eksplicitno ovlašćuje cijeli internet da šalje u vaše ime. Lošije je od nepostojanja zapisa. Nikad ga ne objavite.

Gdje ovo stoji

SPF je temelj, ali jedan od tri sloja. DKIM dodaje kriptografski potpis koji dokazuje da poruka nije bila mijenjana, a DMARC je uputa koja spaja SPF i DKIM i govori primateljima što zapravo učiniti s poštom koja ne prođe provjeru — uključujući blokiranje lažnog predstavljanja vidljivog ‘od’ naziva koji vaši klijenti vide. Najprije ispravite SPF (to je najbrža pobjeda i nosi najveću težinu), zatim dodajte DKIM i DMARC da potpuno zatvorite vrata. Sva tri popravka su besplatna.

Postavite kod svog pružatelja hostinga

Korak po korak za popularne pružatelje:

Česta pitanja

Nisam tehničar — mogu li ovo riješiti sam?

Ne morate razumjeti tehničke detalje. Promjena su jedan ili dva retka dodana u postavke vaše domene, a to radi onaj tko upravlja vašom web stranicom ili IT podrškom. Proslijedite im odjeljak 'Kako to popraviti' u nastavku — obično traje nekoliko minuta i besplatno je. Mi naplaćujemo samo praćenje da ostane ispravno, ne samu promjenu.

Već imamo SPF zapis — znači li to da smo zaštićeni?

Ne nužno. Imati zapis je prvi dio; imati ga postavljenog strogo je drugi. Zapis koji završava s '~all' (soft fail) bez DMARC-a iza njega govori primajućim serverima 'ovo je možda lažno, ali dostavi svejedno' — što pruža minimalnu zaštitu. Dva SPF zapisa, ili jedan koji prelazi previše DNS pretraživanja, smatraju se neispravnima i ne pružaju nikakvu zaštitu usprkos tome što naizgled postoje. Oba dijela moraju biti ispravna.

Hoće li popravak slučajno prekinuti moju vlastitu e-poštu?

Može, ako zapis preskače nekog legitimnog pošiljatelja — primjerice vašu aplikaciju za fakturiranje ili alat za newsletter koji šalje poštu u vaše ime. Upravo zato je siguran pristup: najprije navesti svaki servis koji šalje poštu u vaše ime, objaviti s mekim '~all' dok se potvrdi da ništa nije izostavljeno, zatim postrožiti na hard fail. Rađeno tim redoslijedom, ništa se neće prekinuti.

Koja je razlika između '~all' i '-all', i koji koristiti?

'-all' (hard fail) nalaže primateljima da odbiju sve što nije na vašem popisu — najjača postavka. '~all' (soft fail) kaže 'vjerojatno nije legitimno, ali prihvati svejedno.' Moderna preporuka je '~all' u kombinaciji s DMARC politikom 'reject' — taj par daje istu zaštitu kao '-all' bez rizika od odbijanja prosljeđene pošte. '~all' sam po sebi, bez DMARC-a koji ga provodi, slaba je konfiguracija koju treba izbjegavati.

Hoće li SPF sam zaustaviti svo krivotvorenje e-pošte?

Ne — to je temeljni prvi sloj, ali ne i cjelokupno rješenje. SPF kaže koji serveri smiju slati u vaše ime, ali ne govori primateljima što učiniti kad poruka ne prođe provjeru, niti pokriva vidljivo ime 'od' koje korisnik vidi. Da biste potpuno blokirali lažno predstavljanje, trebate i DKIM i DMARC. SPF je najbrži, najučinkovitiji prvi korak — krenite odavde, zatim dodajte preostalo dvoje.

Koliko dugo traje dok stupi na snagu, i može li koštati?

DNS promjene obično stupaju na snagu u roku od nekoliko minuta do nekoliko sati. Sam popravak uvijek je besplatan — to je samo uređivanje postavke kod vašeg DNS pružatelja. Tko god vam kaže da dodavanje SPF zapisa zahtijeva plaćeni proizvod, griješi.