Defaults.Exposed › Rešenja › SPF (Sender Policy Framework)

Kako popraviti SPF (Sender Policy Framework)

SPF je linija u podešavanjima vašeg domena koja navodi koje imejl servise je dopušteno da šalju poštu u ime vašeg preduzeća. Bez njega, bilo ko na svetu može slati poruke koje izgledaju kao da dolaze od vas — a vaši pravi imejlovi češće završavaju u spamu kod kupaca.

Suština za vaše poslovanje: Bilo ko može slati imejlove lažeći se za vaše preduzeće — vašim kupcima, zaposlenima i dobavljačima — fakture, zahteve za promenu računa i sve ostalo. Istovremeno, vaše prave ponude i fakture češće završavaju u smeću, pa poslovi tiho propadaju.

Šta vam ovo može koštati

Prevarant šalje vašem kupcu fakturu 'od vas' sa sopstvenim bankovnim podacima i biva plaćen. Saznate tek nedeljama kasnije kada kupac pita gde je roba — a sada su na kocki vaš ugled i moguća vaša odgovornost.
Vaše ponude, fakture i odgovori tiho završavaju u spam folderima kupaca jer veliki provajderi ne mogu da potvrde da stvarno dolaze od vas. Poslovi se hlade, a vi nikad ne saznate zašto.
Prevarant se lažno predstavlja kao vlasnik ili finansijska osoba i šalje zaposlenima poruku s urgentnim zahtevom za plaćanje ili poklon karticama — poruka deluje kao da zaista dolazi s vašeg domena, pa neko plati.
IT ili bezbednosni tim većeg potencijalnog klijenta proverava vaš domen, vidi da nema zaštite pošiljaoca i ili odustaje od saradnje ili traži da to ispravite pre potpisivanja — što vam košta posao ili nedeljama odlaže.
Mislite da ste zaštićeni jer postoji SPF zapis — ali postavljen je na 'soft fail' bez ikakve primene, ili je tiho neispravan, pa spoofovana pošta i dalje prolazi.

Zašto je to važno. Lažiranje adrese 'od' na imejlu trivijalno je lako i napadaču ništa ne košta. SPF je najjeftiniji i najbrži način da vaš domen bude teži za lažiranje i da vaša legitimna pošta ne završava u spamu. Google i Yahoo sada aktivno odbijaju poštu s domena koji nisu autentifikovani, pa ovo više nije opcija — to je osnova za isporuku imejlova.

Kratka verzija

Trenutno, ako SPF nije ispravno postavljen, bilo ko na svetu može slati imejlove koji izgledaju kao da dolaze iz vašeg preduzeća. Mogu vašim kupcima slati lažne fakture, zaposlenima lažne zahteve za plaćanje, a dobavljačima pisati kao da ste vi — i poruke će izgledati genuino, jer ništa na vašem domenu ne kaže drugačije.

SPF (Sender Policy Framework) je rešenje. To je jedna linija teksta u DNS podešavanjima vašeg domena koja navodi koje imejl servise je zaista ovlašćeno da šalju poštu u vaše ime. Prijemni imejl provajderi — Gmail, Outlook, svi ostali — proveravaju tu listu pre odluke o autentičnosti poruke. Bez liste, ili s labavom listom, nemaju na šta da se oslone.

Ova stranica pokriva dve stvari koje moraju biti ispravne: da li SPF zapis uopšte postoji i da li je postavljen dovoljno strogo da zaista obavlja svoju ulogu.

Šta vam ovo može koštati

Ovo su svakodnevni, realni načini na koje nedostajući ili slab SPF zapis preraste u gubitak novca i poverenja. Ne navodimo stvarna preduzeća — ovo su obrasci koje viđamo u podacima.

Preusmeravanje fakture. Kriminalac šalje jednom od vaših kupaca imejl koji izgleda tačno kao da dolazi od vas, sa pravom fakturom ali sopstvenim bankovnim računom. Kupac plati. Prva vest je da pita gde je narudžba. Sada imate ljutog kupca, plaćanje koje je otišlo kriminalcu i težak razgovor o tome ko snosi gubitak.
Prevara s CEO-om/finansijama. Neko šalje vašem računovođi poruku ‘od’ vlasnika: “Brza usluga — možeš li obraditi ovo plaćanje pre kraja radnog dana?” Jer poruka zaista izgleda kao da dolazi s vašeg domena, niko ne posumnja. Novac napusti firmu.
Tihi porez na isporuku. Vaše ponude i fakture počinju da pristižu u spam folderima kupaca jer Gmail i Yahoo ne mogu potvrditi da zaista dolaze od vas. Ne dobijate grešku, ne dobijate obaveštenje — poslovi se jednostavno ohlade. Gubite posao i ne možete ni videti šta se dešava.
Izgubljeni ugovor. Veći klijentov nabavni ili bezbednosni tim obavlja osnovu proveru vašeg domena pri onbordovanju. Vide da nema autentifikacije pošiljaoca i označe vas kao rizik. U best case scenariju žurite sa popravkom pod pritiskom roka; u najgorem, gube vas u korist konkurenta koji je prošao proveru.
Val trovanja brenda. Vaš domen se koristi u phishing kampanji usmerenoj na javnost. Ljudi koji su prevareni sada ne veruju svakom imejlu s vašim imenom — pa čak i vaše prave ponude i obnove bivaju ignorirane ili prijavljene.

Nit koja prolazi kroz sve ovo: napadač ne troši ništa, a vaše preduzeće snosi trošak i krivicu.

Šta je to zapravo

Kad stigne imejl, prijemni mejl server želi znati jedno: da li ovo zaista dolazi od onoga koji tvrdi da šalje? SPF odgovara na deo tog pitanja.

Objavljujete kratku liniju teksta u DNS podešavanjima domena — “TXT zapis” — koji imenuje imejl servise ovlašćene da šalju u vaše ime. Nešto poput:

v=spf1 include:_spf.google.com include:sendgrid.net -all

Jednostavno rečeno, to znači: “Prava pošta od nas dolazi s Googleovih i SendGrid servera — odbijte sve ostalo što tvrdi da smo mi.”

Dva dela koja su bitna za vašu ocenu:

Da li zapis postoji? Ovo je glavna stvar (nosi najveću težinu od svih provera e-pošte). Bez zapisa, primaoci nemaju listu za provjeru, pa je lažiranje potpuno otvoreno. Postoji i suptilna greška: ako vaš domen ima dva ili više SPF zapisa, pravila kažu da su svi nevažeći — pa zapravo nemate SPF, iako izgleda kao da ga imate.
Da li je politika dovoljno stroga? Zapis može postojati, a opet biti beskoristan. Kraj — mehanizam “all” — je instrukcija primaocima:
- -all (hard fail) — odbijte sve što nije na listi. Najjača opcija. Pun broj bodova.
- ~all (soft fail) + DMARC postavljen na reject — moderno preporučena postavka. Ekvivalentna zaštiti hard fail, bez rizika odbijanja legitimno prosleđene pošte. Pun broj bodova.
- ~all + DMARC postavljen na quarantine — prihvatljivo, nešto slabije; pomjerite DMARC na reject za potpunu zaštitu.
- ~all sam (bez DMARC prinude) — slabo. Ovo kaže “verovatno lažno, ipak isporuči.” Lažna pošta i dalje prolazi. Ovo je zamka u kojoj mnoga preduzeća misle da su zaštićena.
- ?all (neutralno) — ne pruža nikakvu zaštitu.
- +all — aktivno opasno: govori svetu da bilo ko može slati u vaše ime. Nikad ga ne koristite.

Postoji još jedna nevidljiva greška: SPF-u je dozvoljeno da aktivira samo do 10 DNS pretraga pri procjeni. Nakupite previše include: unosa i zapis prelazi tu granicu, nakon čega ga primaoci tretiraju kao neispravan — i vraćate se na nultu zaštitu. Ovo je čest, tihi problem za preduzeća koja koriste mnogo marketinških i SaaS alata.

Kako izgleda “dobro”: tačno jedan SPF zapis koji navodi sve servise koji legitimno šalju poštu u vaše ime, završen na -all (ili ~all uparen sa DMARC na p=reject), i koji ostaje lagano ispod granice od 10 pretraga.

Kako popraviti (besplatno, ~10 minuta)

Prosledite ovaj odeljak ko god upravlja vašim domenom ili sajtom — i napomenite da je popravka besplatna. To je promena DNS podešavanja, ne proizvod koji kupujete. Naplaćujemo samo praćenje ispravnosti tokom vremena, a ne samu izmenu.

Korak 1 — Navedite svaki servis koji šalje imejl u vaše ime. Ovo je deo koji se najčešće pogreši. Zapišite sve: provajder poštanskog sandučeta (Google Workspace, Microsoft 365, itd.), plus svaki alat za newsletter, CRM, helpdesk, e-commerce platformu, aplikaciju za fakturisanje/računovodstvo i sistem rezervacija. Ako servis šalje poštu s vašim imenom i zaboravite ga, vaš SPF će blokirati njegovu poštu kada zaoštrimo politiku.

Korak 2 — Objavite jedan TXT zapis na vašem root domenu. Kombinujte “include” linije za sve vaše pošiljaoce u jedan zapis. Po popularnoj platformi:

Google Workspace: include:_spf.google.com
Microsoft 365: include:spf.protection.outlook.com
SendGrid: include:sendgrid.net
Mailchimp: include:servers.mcsv.net
Zoho: include:zoho.eu (ili domen koji odgovara regiji)

Kombinovani zapis izgleda ovako:

v=spf1 include:_spf.google.com include:spf.protection.outlook.com include:sendgrid.net -all

Gde ga dodati, po provajderu:

Cloudflare: DNS → Records → Add record → Type TXT, Name @, Content = gore navedena vrednost.
Microsoft 365 / Google admin: oni objavljuju tačan include string u svom čarobnjaku za podešavanje; kopirajte ga u TXT zapis kod vašeg DNS hosta.
GoDaddy / drugi hostovi: DNS management → Add → TXT, Host/Name @, Value = zapis.

Korak 3 — Počnite bezbedno, zatim primenite. Dok potvrđujete da je lista pošiljalaca potpuna, objavite s ~all (soft fail) da ništa legitimno ne bude slučajno blokirano. Kada potvrdite da sva vaša stvarna pošta i dalje stiže, zaoštrite na -all (hard fail) — ili, bolje, zadržite ~all i dodajte DMARC politiku p=reject, što je preporučeni moderni par.

Korak 4 — Pobrinite se da imate tačno JEDAN zapis. Ako stari SPF zapis već postoji, uredite ga umesto da dodajete novi. Dva v=spf1 zapisa poništavaju se međusobno i ostavljaju vas nezaštićenima.

Korak 5 — Pratite broj pretraga. Ako imate mnogo pošiljalaca, možete preći granicu od 10 pretraga. U tom slučaju, konsolidujte — neki provajderi nude “SPF flattening”, ili uklonite pošiljaoce koje više ne koristite.

Korak 6 — Ponovo proverite domen kako biste potvrdili da sada prolazi, s prisutnim zapisom i strogom politikom.

Česte greške

Dva SPF zapisa. Najčešća tiha greška. Dodavanje novog zapisa umesto uređivanja postojećeg poništava oba. Mora postojati tačno jedan.
Zaustavljanje na ~all s pretpostavkom da ste gotovi. Soft fail bez DMARC-a je slaba sredina — izgleda konfigurisano, ali vas jedva štiti. Ili pređite na -all, ili uparite ~all s DMARC p=reject.
Zaboravljanje pošiljaoca. Zaoštravanjem na -all pre nego što navedete aplikaciju za fakturisanje, CRM ili alat za newsletter počećete blokirati vlastitu legitimnu poštu. Prvo navedite sve.
Prekoračenje granice od 10 pretraga. Svaki include: može voditi do više pretraga. Previše i zapis se tretira kao neispravan. Zadržite ga kompaktnim.
Korišćenje +all. Ovo eksplicitno ovlašćuje ceo internet da šalje u vaše ime. Gore je od toga da nemate zapis. Nikad ga ne objavljujte.

Gde ovo staje

SPF je temelj, ali je to jedan od tri sloja. DKIM dodaje kriptografski potpis koji dokazuje da poruka nije promenjena, a DMARC je instrukcija koja vezuje SPF i DKIM zajedno i govori primaocima šta zapravo da rade s poštom koja ne prođe — uključujući blokiranje lažiranja vidljivog “od” imena koje vaši kupci vide. Ispravite SPF prvi (to je najbrži dobitak i nosi najveću težinu), zatim dodajte DKIM i DMARC da potpuno zatvorite vrata. Sve tri popravke su besplatne.

Podesite na svom hostingu

Korak po korak za popularne provajdere:

Često postavljana pitanja

Nisam tehničar — mogu li ovo srediti sam?

Ne morate razumeti detalje. Promena je jedna ili dve linije dodane u podešavanja domena, a radi je ko god upravlja vašim sajtom ili IT provajder. Prosledite im odeljak 'Kako popraviti' ispod — obično traje nekoliko minuta i besplatno je. Mi naplaćujemo samo praćenje ispravnosti tokom vremena, a ne samu izmenu.

Već imamo SPF zapis — znači li to da smo zaštićeni?

Ne nužno. Imanje zapisa je prvi korak; stroga postavka je drugi. Zapis koji se završava na '~all' (soft fail) bez DMARC-a iza njega govori prijemnim serverima 'ovo možda nije legitimno, ali ipak isporuči' — što pruža minimalnu zaštitu. Dva SPF zapisa, ili jedan koji obavlja previše DNS pretraga, tretira se kao neispravan i ne pruža nikakvu zaštitu uprkos tome što izgleda kao da postoji. Oba koraka moraju biti ispravna.

Hoće li popravka slučajno blokirati moje vlastite imejlove?

Može, ako zapis ne uključuje legitimnog pošiljaoca — na primer aplikaciju za fakturisanje ili alat za newsletter koji šalje poštu u vaše ime. Zbog toga je siguran pristup da prvo navedete svaki servis koji šalje poštu u vaše ime, objavite s mekim '~all' dok potvrđujete da ništa nije izostavljeno, a zatim zaoštrite na 'hard fail'. Urađeno tim redosledom, ništa se neće pokvariti.

Koja je razlika između '~all' i '-all', i koje trebamo koristiti?

'-all' (hard fail) nalaže primaocima da odbiju sve što nije na listi — najjača postavka. '~all' (soft fail) kaže 'verovatno nije legitimno, ali ipak prihvati.' Modernom praksom preporučuje se '~all' kombinovano s DMARC politikom 'reject' — taj par pruža isti nivo zaštite kao '-all' bez rizika da prosleđena pošta bude odbijena. Sam '~all', bez DMARC prinude, je slaba konfiguracija koju treba izbegavati.

Hoće li SPF zaustaviti sav email spoofing sam po sebi?

Ne — to je ključni prvi sloj, ne celokupno rešenje. SPF kaže koji serveri mogu slati u vaše ime, ali ne govori primaocima šta da rade kada poruka ne prođe, i ne pokriva vidljivo ime 'od' koje korisnik vidi. Da biste potpuno blokirali lažiranje, potrebni su i DKIM i DMARC. SPF je najbrži i najuticajniji prvi korak, pa počnite ovde, a zatim dodajte ostalo dvoje.

Koliko dugo traje da stupi na snagu i može li nešto koštati?

DNS promene obično stupaju na snagu za nekoliko minuta do nekoliko sati. Sama popravka je uvek besplatna — samo uređivanje podešavanja kod DNS provajdera. Ako vam neko kaže da dodavanje SPF zapisa zahteva plaćeni proizvod, greši.