Často se mě lidé ptají na proč někteří lidé nedostávají emaily z jejich, většinou nově a krásně nastaveného, e-mailového systému. Viník je téměř vždy stejný. SPF – nově zapnutá ochrana jejich domény. Obvykle udivenému zájemci pošlu vysvětlení emailem, ale za čas někdo opět zeptá, já to nemůžu najít a vysvětlení píšu znovu. Proto odteď budu posílat jen link na tento článek. 🙂
Co je SPF
SPF tady kupodivu není Sun Protection Factor, ale Sender Policy Framework. Princip SPF ochrany je geniálně jednoduchý. V DNS zóně domény, kterou budeme chránit, uvedeme speciální TXT záznam se seznamem IP adres serverů, které používáme pro odesílání emailů.
Útočník, který chce poslat email s podvrženou adresou odesilatele má poté smůlu, protože pošle zprávu přes server, který v tomto seznamu není. Server adresáta pak má možnost a většinou ji využívá, provést SPF kontrolu. Výsledkem je, že zprávu odmítne.
Proč se nedoručují některé emaily?
Remote host said: 550 5.7.1 Sender Policy Framework of `nejakadomena.org' domain denied your IP address.
Potud to zní báječně. Jenže existují lidé, kteří mají emailovou schránku na místě, které nechtějí nebo nemohou pravidelně kontrolovat a nechávají si zprávy přeposílat na jinou emailovou adresu. Tady nastává problém, protože forwardující server e-mail přepošle tak, jak ho obdržel, tedy s původní adresou odesilatele. Odesilatelova doména je ale chráněna pomocí SPF a existuje seznam povolených odesílacích serverů. Na tom ale forwardující server chybí a email je odmítnut.
Existuje řešení?
Ano a ne.
Odesilatel nemá páky na ovlivnění adresátova systému, proto jediným řešením je vypnout SPF a použít případně alternativu DKIM.
Příjemce by při použití forwardu měl mít na paměti, že mu nemusí všechny zprávy kvůli SPF ochraně odesilatelů dorazit.
Poskytovatel mailových služeb by měl při nabízení forwardu na tento problém myslet a implementovat SRS