Defaults.Exposed › Popravki › SPF (Sender Policy Framework)

Kako popraviti SPF (Sender Policy Framework)

SPF je vrstica v nastavitvah vaše domene, ki določa, katere poštne storitve smejo pošiljati e-pošto v imenu vašega podjetja. Brez nje lahko kdorkoli na svetu pošilja e-pošto, ki izgleda, kot da prihaja od vas — vaša prava e-pošta pa se znajde v mapi z neželeno pošto.

Bistvo za vaše podjetje: Kdorkoli se lahko pretvarja, da je vaše podjetje — strankam, zaposlenim in dobaviteljem pošilja račune, zahteve za spremembo plačilnih podatkov in podobno. Hkrati so vaši pravi ponudbi in računi bolj verjetno obravnavani kot neželena pošta, kar pomeni, da posli tiho zamrejo.

Kaj vas to lahko stane

• Prevarant pošlje vaši stranki račun 'od vas' s svojimi bančnimi podatki in prejme plačilo. Izveste šele tedne pozneje, ko stranka sprašuje po naročenem blagu — in zdaj trpita vaš ugled in morda vaša odgovornost.
• Vaše ponudbe, računi in odgovori tiho pristanejo v mapah z neželeno pošto strank, ker jih Gmail in Yahoo ne moreta preveriti. Posli se ohladijo, vi pa sploh ne veste zakaj.
• Prevarant se izdaja za vašega lastnika ali finančnega direktorja in zaposlenim pošlje e-pošto z zahtevo po nujnem plačilu ali darilnih karticah — sporočilo dejansko izgleda, kot da prihaja z vaše domene.
• Potencialni večji partner preveri vašo domeno med varnostnim pregledom in ker ne najde zaščite pošiljatelja, vas postavi pred tveganje ali zahteva odpravo napake pred podpisom pogodbe — kar vas stane posel ali tedne zamude.
• Mislite, da ste zaščiteni, ker SPF zapis obstaja — a je nastavljen na 'mehko zavrnitev' brez uveljavljanja, ali pa je tiho pokvarjen, zato lažna pošta še vedno prehaja.

Zakaj je to pomembno. Ponarejanje naslova 'od' v e-pošti je trivialno enostavno in napadalca ne stane nič. SPF je najcenejši in najhitrejši način, da svojo domeno otežite posnemanju in da vaša legitimna pošta ne konča v neželeni. Google in Yahoo zdaj aktivno zavračata pošto iz domen brez overitve, zato to ni več izbirno — je osnova za dostavo vaše e-pošte.

Na kratko

Prav zdaj, če nimate pravilno nastavljenega SPF, lahko kdorkoli na svetu pošilja e-pošto, ki izgleda, kot da prihaja od vašega podjetja. Strankam pošiljajo lažne račune, zaposlenim lažne zahteve za plačilo in dobaviteljem sporočila, kot da ste vi — in sporočila izgledajo pristno, ker vaša domena tega ne preprečuje.

SPF (Sender Policy Framework) je rešitev. Je ena vrstica besedila v nastavitvah DNS vaše domene, ki navaja, katere poštne storitve dejansko smejo pošiljati e-pošto v vašem imenu. Ponudniki poštnih predalov — Gmail, Outlook, vsi ostali — preverijo ta seznam, preden odločijo, ali je sporočilo pristno. Brez seznama ali s šibkim seznamom nimajo osnove za odločitev.

Ta stran zajema dve stvari, ki morata biti obe pravilni: ali SPF zapis sploh obstaja in ali je nastavljen dovolj strogo, da dejansko opravi svoje delo.

Kaj vas to lahko stane

To so vsakodnevni, realni načini, kako manjkajoč ali šibek SPF zapis privede do izgube denarja in zaupanja. Nikoli ne omenjamo resničnih podjetij — to so vzorci, ki jih vidimo v podatkih.

• Preusmeritev računa. Kriminalec pošlje vaši stranki e-pošto, ki izgleda natanko tako, kot da prihaja od vas, z lažnim računom in svojimi bančnimi podatki. Stranka plača. Prvič slišite za to, ko pride ponoven poziv, kje je naročilo. Zdaj imate jezno stranko, plačilo pri kriminalcu in težek pogovor o tem, kdo nosi izgubo.
• Prevara CEO/finance. Nekdo pošlje vašemu računovodji e-pošto ‘od’ lastnika: “Hitro — ali lahko do konca dneva izvedete to plačilo?” Ker sporočilo dejansko izgleda, kot da prihaja z vaše domene, nihče ne posumi. Denar zapusti podjetje.
• Tihi davek na dostavljivost. Vaše ponudbe in računi se začnejo pojavljati v mapah z neželeno pošto strank, ker Gmail in Yahoo ne moreta preveriti, da dejansko prihajajo od vas. Ne dobite povratnih sporočil, ne vidite napak — posli se preprosto utišajo. Izgubljate posel, ne da bi to sploh opazili.
• Izgubljena pogodba. Nabavna ali varnostna ekipa večjega naročnika med vključitvijo opravi osnovno preverjanje vaše domene. Ne vidijo overitve pošiljatelja in vas označijo za tveganje. V najboljšem primeru se borite s popravki pod pritiskom roka; v najslabšem gre pogodba k konkurenci, ki je prestala preverjanje.
• Epidemija škodovanja blagovni znamki. Vaša domena se uporabi v phishing kampanji, usmerjeni na javnost. Ljudje, ki so bili prevarani, zdaj ne zaupajo nobeni e-pošti z vašim imenom — zato so vaše pristne ponudbe in obvestila o obnovitvi ignorirana ali prijavljene kot neželena pošta.

Skupna nit: napadalec ne porabi ničesar, vaše podjetje pa nosi stroške in krivdo.

Kaj to dejansko je

Ko prispe e-pošta, strežnik za prejemanje želi vedeti eno stvar: ali to dejansko prihaja od tistega, za kogar se trdi? SPF odgovori na del tega vprašanja.

V nastavitve DNS vaše domene objavite kratko besedilno vrstico — “TXT zapis” — ki imenuje poštne storitve, ki smejo pošiljati v vašem imenu. Na primer:

v=spf1 include:_spf.google.com include:sendgrid.net -all

V preprostem jeziku: “Pristna pošta od nas prihaja s strežnikov Google in SendGrid — zavrnite vse ostalo, kar trdi, da smo mi.”

Dve stvari, ki sta pomembni za vašo oceno:

1. Ali zapis obstaja? To je ključno (nosi največjo težo pri vseh preverjanjih e-pošte). Brez zapisa nimajo prejemniki seznama za preverjanje, zato je lažno predstavljanje povsem odprto. Obstaja tudi subtilna napaka: če ima vaša domena dva ali več SPF zapisov, pravila pravijo, da so vsi neveljavni — tako da dejansko nimate nobenega SPF, čeprav izgleda, kot da ga imate.

2. Ali je pravilnik dovolj strog? Zapis lahko obstaja in je vseeno neučinkovit. Zaključek — mehanizem “all” — je navodilo za prejemnike:

   • -all (trda zavrnitev) — zavrni vse, kar ni na seznamu. Najmočnejša nastavitev. Polna ocena.
   • ~all (mehka zavrnitev) + DMARC nastavljen na reject — sodobna priporočena nastavitev. Enakovredna zaščiti trde zavrnitve. Polna ocena.
   • ~all + DMARC nastavljen na quarantine — sprejemljivo, nekoliko šibkejše; za popolno zaščito premaknite DMARC na reject.
   • ~all brez DMARC — šibko. Lažna pošta še vedno prehaja. To je past, v katero pade veliko podjetij, misleč, da so zaščitena.
   • ?all (nevtralno) — ne zagotavlja zaščite.
   • +all — aktivno nevarno: pove svetu, da kdorkoli sme pošiljati v vašem imenu. Tega nikoli ne uporabite.

Obstaja še ena nevidna napaka: SPF sme pri vrednotenju sprožiti do 10 poizvedb DNS. Preveč vnosov include: in zapis preseže to omejitev, kar povzroči, da ga prejemniki obravnavajo kot pokvarjenega — in ostanete brez zaščite. To je pogosta, tiha težava pri podjetjih, ki uporabljajo veliko marketinških in SaaS orodij.

Kako izgleda “dobro”: natanko en SPF zapis, ki vsebuje vse storitve, ki zakonito pošiljajo e-pošto v vašem imenu, se konča z -all (ali ~all v paru z DMARC na p=reject) in ostane varno pod mejo 10 poizvedb.

Kako to popraviti (brezplačno, ~10 minut)

Posredujte ta razdelek tistemu, ki upravlja vašo domeno ali spletno stran — in upoštevajte, da je popravek brezplačen. Gre za spremembo nastavitve DNS, ne za nakup izdelka. Zaračunavamo le spremljanje, da ostane pravilno nastavljeno, ne pa samo spremembe.

1. korak — Navedite vsako storitev, ki pošilja e-pošto v vašem imenu. To je del, ki ga ljudje naredijo narobe. Zapišite jih vse: vašega ponudnika poštnega predala (Google Workspace, Microsoft 365 itd.) ter vsa orodja za glasila, CRM, helpdesk, e-commerce platformo, aplikacijo za fakturiranje/računovodstvo in sistem za rezervacije.

2. korak — Objavite en TXT zapis pri vaši korenski domeni. Združite vrstice “include” za vse vaše pošiljatelje v en zapis. Po platformi:

• Google Workspace: include:_spf.google.com
• Microsoft 365: include:spf.protection.outlook.com
• SendGrid: include:sendgrid.net
• Mailchimp: include:servers.mcsv.net
• Zoho: include:zoho.eu (ali ustrezna regionalna domena)

Kombinirani zapis izgleda tako:

v=spf1 include:_spf.google.com include:spf.protection.outlook.com include:sendgrid.net -all

Kje ga dodati, glede na ponudnika:

• Cloudflare: DNS → Zapisi → Dodaj zapis → Vrsta TXT, Ime @, Vsebina = zgornja vrednost.
• Microsoft 365 / Google admin: objavijo natančen niz include za uporabo v svojem čarovniku za nastavitev; kopirajte ga v TXT zapis pri vašem gostitelju DNS.
• GoDaddy / večina gostiteljev: upravljanje DNS → Dodaj → TXT, Gostitelj/Ime @, Vrednost = zapis.

3. korak — Začnite varno, nato uveljavljajte. Dokler ne potrdite, da je vaš seznam pošiljateljev popoln, objavite z ~all (mehka zavrnitev), da nič legitimnega ne bo po nesreči blokirano. Ko potrdite, da prava pošta še vedno teče, zaostrите na -all (trda zavrnitev) — ali boljše, ohranite ~all in dodajte pravilnik DMARC z p=reject.

4. korak — Prepričajte se, da imate natanko EN zapis. Če stari SPF zapis že obstaja, uredite tega namesto dodajanja drugega. Dva zapisa v=spf1 se medsebojno izničita.

5. korak — Pazite na število poizvedb. Če imate veliko pošiljateljev, lahko preseţete mejo 10 poizvedb. Če se to zgodi, konsolidirajte — nekateri ponudniki ponujajo “SPF splošćanje”.

6. korak — Ponovno preverite svojo domeno, da potrdite, da zdaj prestane preverjanje z veljavnim zapisom in strogim pravilnikom.

Pogoste napake

• Dva SPF zapisa. Najpogostejša tiha napaka. Dodajanje novega zapisa namesto urejanja obstoječega razveljavi oba. Obstajati mora natanko en.
• Zaustaviti pri ~all in domnevati, da ste zaščiteni. Mehka zavrnitev brez DMARC je šibko sredino — izgleda nastavljeno, a komajda ščiti. Pojdite na -all ali kombinirajte ~all z DMARC p=reject.
• Pozabiti pošiljatelja. Zaostritev na -all, preden navedete svojo aplikacijo za fakturiranje, CRM ali orodje za glasila, bo začela blokirati vašo lastno legitimno pošto.
• Prekoračitev meje 10 poizvedb. Vsak include: lahko veriga na več poizvedb. Preveč in zapis je obravnavan kot pokvarjen.
• Uporaba +all. To izrecno pooblašča celoten internet, da pošilja v vašem imenu. Je slabše kot nimeti nobenega zapisa. Tega nikoli ne objavite.

Kje se to uvršča

SPF je temelj, a je ena od treh plasti. DKIM doda kriptografski podpis, ki dokazuje, da sporočilo ni bilo spremenjeno, DMARC pa je navodilo, ki poveže SPF in DKIM ter pove prejemnikom, kaj dejansko storiti s pošto, ki ne prestane preveritve — vključno z blokiranjem lažnega predstavljanja vidnega ‘od’ imena, ki ga vidijo vaše stranke. Najprej pravilno nastavite SPF (to je najhitrejša zmaga z največ teže), nato dodajte DKIM in DMARC, da popolnoma zaprete vrata. Vse tri popravke so brezplačni.

Nastavite pri svojem ponudniku

Korak za korakom pri priljubljenih ponudnikih:

• Nastavite SPF pri GoDaddy
• Nastavite SPF pri Namecheap
• Nastavite SPF pri Cloudflare
• Nastavite SPF pri Google Workspace
• Nastavite SPF pri Microsoft 365
• Nastavite SPF pri Squarespace
• Nastavite SPF pri Wix
• Nastavite SPF pri AWS Route 53
• Nastavite SPF pri Hostinger
• Nastavite SPF pri Porkbun
• Nastavite SPF pri IONOS
• Nastavite SPF pri Bluehost

Pogosta vprašanja