Defaults.Exposed › Opravy › SPF (Sender Policy Framework)

Ako opraviť SPF (Sender Policy Framework)

SPF je riadok v nastaveniach vašej domény, ktorý určuje, ktoré poštové služby môžu odosielať e-maily v mene vašej firmy. Bez neho môže ktokoľvek na svete poslať e-mail, ktorý vyzerá, akoby pochádzal od vás — a vaše vlastné skutočné e-maily s väčšou pravdepodobnosťou skončia v spame zákazníkov.

Podstata pre vaše podnikanie: Ktokoľvek môže posielať e-maily, ktoré predstierajú, že pochádzajú z vašej firmy — vašim zákazníkom, zamestnancom aj dodávateľom — faktúry, žiadosti o zmenu platobných údajov a podobne. Zároveň vaše skutočné ponuky a faktúry s väčšou pravdepodobnosťou skončia v spame, takže obchody ticho stroskotávajú.

Čo vás to môže stáť

Podvodník pošle vášmu zákazníkovi faktúru 'od vás' so svojimi bankovými údajmi a zákazník zaplatí. Zistíte to o niekoľko týždňov neskôr, keď sa zákazník pýta, kde je tovar — a teraz je ohrozená vaša povesť, prípadne aj vaša zodpovednosť.
Vaše ponuky, faktúry a odpovede ticho pristávajú v priečinkoch so spamom zákazníkov, pretože veľkí poskytovatelia nevedia overiť, že e-mail skutočne pochádza od vás. Obchody vychladnú a vy nikdy nezistíte prečo.
Podvodník sa vydáva za vášho majiteľa alebo finančníka a posiela zamestnancom e-mail so žiadosťou o urgentné zaplatenie alebo o nákup darčekových kariet — správa sa javí ako skutočná z vašej domény, takže niekto zaplatí.
IT alebo bezpečnostný tím väčšieho potenciálneho zákazníka skontroluje vašu doménu, nezistí žiadnu ochranu odosielateľa a buď vás odmietne, alebo vás požiada o nápravu skôr, ako podpíšu — čo vás stojí obchod alebo týždne meškania.
Myslíte si, že ste chránení, pretože SPF záznam existuje — ale je nastavený na 'soft fail' bez vynucovania, alebo je ticho nefunkčný, takže podvrhnuté e-maily stále prechádzajú.

Prečo na tom záleží. Sfalšovanie odosielateľa v e-maile je triviálne ľahké a útočníka nič nestojí. SPF je najlacnejší a najrýchlejší spôsob, ako sťažiť zneužitie vašej domény a zabrániť tomu, aby vaša legitímna pošta skončila v spame. Google a Yahoo teraz aktívne odmietajú alebo triediac posielajú do spamu poštu z domén bez autentifikácie — takže toto už nie je voliteľné.

Stručné zhrnutie

Ak teraz nemáte správne nastavený SPF, ktokoľvek na svete môže odosielať e-maily, ktoré vyzerajú, akoby pochádzali z vašej firmy. Môžu posielať vašim zákazníkom falošné faktúry, zamestnancom falošné žiadosti o platbu a dodávateľom e-maily, akoby boli od vás — a správy budú vyzerať ako skutočné, pretože nič vo vašej doméne tomu nehovorí inak.

SPF (Sender Policy Framework) je riešenie. Je to jeden riadok textu v nastaveniach DNS vašej domény, ktorý uvádza, ktoré poštové služby môžu skutočne odosielať e-maily vo vašom mene. Poskytovatelia prijímanej pošty — Gmail, Outlook, všetci — skontrolujú tento zoznam skôr, než rozhodnú, či je správa skutočná. Bez zoznamu alebo so slabým zoznamom nemajú nič, čím by sa riadili.

Táto stránka pokrýva dve veci, ktoré musia byť obe správne: či SPF záznam vôbec existuje a či je nastavený dostatočne prísne, aby skutočne plnil svoju funkciu.

Čo vás to môže stáť

Toto sú bežné, reálne spôsoby, ako chýbajúci alebo slabý SPF záznam vedie k strate peňazí a dôvery.

Presmerovanie faktúry. Zločinec pošle jednému z vašich zákazníkov e-mail, ktorý vyzerá presne ako keby pochádzel od vás, s priloženou faktúrou s vlastným bankovým účtom. Zákazník zaplatí. Prvý raz to počujete, keď sa pýta, kde je objednávka. Teraz máte nahnevaného zákazníka, platbu pre zločinca a ťažký rozhovor o tom, kto znáša stratu.
Podvod CEO/financií. Niekto pošle vašej účtovníčke e-mail ‘od’ majiteľa: “Môžete prosím spracovať túto platbu do konca dňa?” Keďže správa sa skutočne javí ako z vašej domény, nevzbudí podozrenie. Peniaze odídu z firmy.
Tichá daň za nedoručiteľnosť. Vaše ponuky a faktúry začnú pristávať v priečinkoch so spamom zákazníkov, pretože Gmail a Yahoo nevedia overiť, že skutočne pochádzajú od vás. Nedostanete odmietnutie, nedostanete chybu — obchody jednoducho utíchnú. Prichádzate o zákazníkov a ani to nevidíte.
Stratená zmluva. Tím nákupu alebo bezpečnosti väčšieho klienta spustí základnú kontrolu vašej domény pri onboardingu. Nenájde žiadnu autentifikáciu odosielateľa a označí vás ako riziko. V najlepšom prípade sa snažíte opraviť problém pod tlakom termínu; v najhoršom idú ku konkurentovi, ktorý prešiel.
Vlna poškodzovania značky. Vaša doména sa použije v phishingovej kampani zameranej na verejnosť. Ľudia, ktorí boli oklamaní, teraz nedôverujú žiadnemu e-mailu s vaším menom.

Spoločná nit: útočník nič nevydá a vaša firma nesie náklady aj vinu.

Čo to v skutočnosti je

Keď príde e-mail, server prijímanej pošty chce vedieť jednu vec: je to naozaj od toho, za koho sa vydáva? SPF odpovedá na časť tejto otázky.

V nastaveniach DNS vašej domény zverejníte krátky riadok textu — “TXT záznam” — ktorý menuje poštové služby oprávnené odosielať vo vašom mene. Napríklad:

v=spf1 include:_spf.google.com include:sendgrid.net -all

V jednoduchých slovách to znamená: “Skutočná pošta od nás prichádza zo serverov Google a SendGrid — odmietni čokoľvek iné, čo tvrdí, že je od nás.”

Dve časti, ktoré sa počítajú pre vaše hodnotenie:

Existuje záznam? Toto je tá hlavná (nesie najväčšiu váhu zo všetkých e-mailových kontrol). Bez záznamu nemajú prijímatelia žiadny zoznam na kontrolu, takže vydávanie sa za vás je úplne voľné. Existuje aj zákerná chyba: ak má vaša doména dva alebo viac SPF záznamov, pravidlá hovoria, že všetky sú neplatné — takže v skutočnosti nemáte žiadny SPF, aj keď sa zdá, že áno.
Je politika dostatočne prísna? Záznam môže existovať a napriek tomu byť neúčinný. Záver — mechanizmus “all” — je inštrukcia pre prijímateľov:
- -all (hard fail) — odmietni všetko, čo nie je na zozname. Najsilnejšie. Plné hodnotenie.
- ~all (soft fail) + DMARC nastavené na reject — moderné odporúčané nastavenie. Ekvivalentná ochrana ako hard fail. Plné hodnotenie.
- ~all + DMARC nastavené na quarantine — prijateľné, mierne slabšie; presuňte DMARC na reject pre plnú ochranu.
- ~all samotné (bez DMARC vynucovania) — slabé. Hovorí “pravdepodobne falošné, doručte aj tak.” Podvrhnutá pošta stále prechádza.
- ?all (neutrálne) — neposkytuje žiadnu ochranu.
- +all — aktívne nebezpečné: hovorí svetu, že ktokoľvek môže odosielať ako vy. Nikdy toto nepoužívajte.

Existuje ešte jedna neviditeľná chyba: SPF smie aktivovať najviac 10 DNS vyhľadávaní pri vyhodnocovaní. Príliš veľa include: záznamov a záznam prekračuje tento limit, načo prijímatelia považujú celú vec za nefunkčnú.

Ako vyzerá ‘dobré’ nastavenie: presne jeden SPF záznam, uvádzajúci každú službu, ktorá legitímne odosiela poštu za vás, končiaci -all (alebo ~all spárovaným s DMARC na p=reject), a pohodlne pod limitom 10 vyhľadávaní.

Ako to opraviť (zadarmo, ~10 minút)

Odovzdajte túto sekciu tomu, kto spravuje vašu doménu alebo web — oprava je zadarmo. Je to zmena nastavenia DNS, nie produkt, ktorý kupujete.

Krok 1 — Vypíšte každú službu, ktorá odosiela e-mail za vás. Zapíšte ich všetky: váš poskytovateľ poštovej schránky (Google Workspace, Microsoft 365 atď.), plus akýkoľvek nástroj na newslettery, CRM, helpdesk, e-commerce platforma, fakturačná/účtovnícka aplikácia a rezervačný systém.

Krok 2 — Zverejnite jeden TXT záznam na vašej koreňovej doméne. Skombinovahjte riadky “include” pre všetkých vašich odosielateľov do jedného záznamu. Podľa bežnej platformy:

Google Workspace: include:_spf.google.com
Microsoft 365: include:spf.protection.outlook.com
SendGrid: include:sendgrid.net
Mailchimp: include:servers.mcsv.net
Zoho: include:zoho.eu (alebo doménovo príslušná)

Kombinovaný záznam vyzerá takto:

v=spf1 include:_spf.google.com include:spf.protection.outlook.com include:sendgrid.net -all

Krok 3 — Začnite bezpečne, potom vynúťte. Kým potvrdzujete, že váš zoznam odosielateľov je úplný, zverejnite s ~all (soft fail), aby nič legitímne nebolo náhodou zablokované. Po potvrdení, že všetka vaša skutočná pošta stále prúdi, spresnite na -all (hard fail) — alebo lepšie, ponechajte ~all a pridajte DMARC politiku p=reject.

Krok 4 — Uistite sa, že máte presne JEDEN záznam. Ak starý SPF záznam už existuje, upravte ho namiesto pridávania druhého. Dva v=spf1 záznamy sa navzájom rušia.

Krok 5 — Sledujte počet vyhľadávaní. Ak máte veľa odosielateľov, môžete prekročiť limit 10 vyhľadávaní. Ak sa to stane, konsolidujte — niektorí poskytovatelia ponúkajú “SPF flattening”.

Krok 6 — Znovu skontrolujte svoju doménu, aby ste potvrdili, že teraz prechádza s prítomným záznamom a prísnou politikou.

Bežné chyby

Dva SPF záznamy. Najčastejšia tichá chyba. Pridanie nového záznamu namiesto úpravy existujúceho zneplatní oba. Musí byť presne jeden.
Zastavenie pri ~all a predpoklad, že ste hotoví. Soft fail bez DMARC za ním je slabý kompromis — vyzerá nakonfigurovaný, ale len minimálne chráni. Buď prejdite na -all, alebo spárujte ~all s DMARC p=reject.
Zabudnutie na odosielateľa. Sprísnenie na -all pred vymenovaním vašej fakturačnej aplikácie, CRM alebo nástroja na newslettery začne blokovať vašu vlastnú legitímnu poštu.
Prekročenie limitu 10 vyhľadávaní. Každý include: môže viesť k ďalším vyhľadávaniam. Príliš veľa a záznam sa považuje za nefunkčný.
Použitie +all. Toto explicitne oprávňuje celý internet odosielať za vás. Je to horšie ako nemať žiadny záznam. Nikdy to nezverejňujte.

Kde to zapadá

SPF je základ, ale je to jedna z troch vrstiev. DKIM pridáva kryptografický podpis dokazujúci, že správa nebola pozmenená, a DMARC je inštrukcia, ktorá spája SPF a DKIM a hovorí prijímateľom, čo skutočne robiť s poštou, ktorá zlyhá — vrátane blokovania vydávania sa za viditeľné meno ‘od’, ktoré vaši zákazníci vidia. Najprv správne nastavte SPF (je to najrýchlejší výsledok s najväčšou váhou), potom pridajte DKIM a DMARC, aby ste úplne zavreli dvere. Všetky tri opravy sú zadarmo.

Nastavte to u svojho hostiteľa

Krok za krokom pre populárnych poskytovateľov:

FAQ

Nie som technicky zdatný — môžem to vyriešiť sám?

Nemusíte rozumieť detailom. Zmena pozostáva z jedného alebo dvoch riadkov pridaných do nastavení vašej domény, ktoré urobí ten, kto spravuje váš web alebo IT. Odovzdajte mu sekciu 'Ako to opraviť' nižšie — zvyčajne to trvá niekoľko minút a je to zadarmo. Účtujeme len za priebežné sledovanie správnosti nastavenia.

Už máme SPF záznam — neznamená to, že sme chránení?

Nie nevyhnutne. Mať záznam je prvá polovica; mať ho nastavený striktne je druhá. Záznam končiaci '~all' (soft fail) bez DMARC za ním hovorí prijímajúcim serverom 'toto môže byť falošné, ale doručte to aj tak' — čo poskytuje minimálnu ochranu. Dva SPF záznamy alebo jeden s príliš mnohými vyhľadávaniami sa považujú za nefunkčné a neposkytujú žiadnu ochranu napriek tomu, že vyzerajú, akoby existovali. Obe časti musia byť správne.

Nepokazí oprava môj vlastný e-mail?

Môže, ak záznam vynecháva legitímneho odosielateľa — napríklad vašu fakturačnú aplikáciu alebo nástroj na odosielanie newsletterov. Preto je bezpečný postup najprv vymenovať každú službu, ktorá odosiela poštu vo vašom mene, zverejniť so soft '~all' kým overíte, že nič nechýba, a potom sprísniť na hard fail. V tomto poradí nič nepokazíte.

Aký je rozdiel medzi '~all' a '-all' a ktoré by sme mali používať?

'-all' (hard fail) hovorí prijímateľom, aby odmietli všetko, čo nie je na vašom zozname — najsilnejšie nastavenie. '~all' (soft fail) hovorí 'pravdepodobne nelegitímne, ale prijmite to aj tak.' Moderné odporúčanie je '~all' kombinované s DMARC politikou 'reject' — tento pár poskytuje rovnakú ochranu ako '-all' bez rizika odmietnutia preposlanej pošty. '~all' samotné bez DMARC je slabá konfigurácia, ktorej sa treba vyhnúť.

Zastaví SPF samo o sebe všetky spoofing útoky?

Nie — je to nevyhnutná prvá vrstva, nie celá odpoveď. SPF hovorí, ktoré servery môžu za vás odosielať, ale nehovorí prijímateľom, čo robiť, keď správa zlyhá, a nepokrýva viditeľné meno 'od' ktoré používateľ vidí. Na úplné zablokovanie vydávania sa za vás potrebujete aj DKIM a DMARC. SPF je najrýchlejší prvý krok s najväčším dopadom.

Ako dlho to potrvá, kým sa to prejaví, a môže to niečo stáť?

Zmeny DNS sa zvyčajne prejavia do niekoľkých minút až hodín. Samotná oprava je vždy zadarmo — ide len o úpravu nastavenia u vášho DNS poskytovateľa. Ktokoľvek, kto vám hovorí, že pridanie SPF záznamu vyžaduje platený produkt, sa mýli.