Sender Policy Framework je technologie, která na základě adresy odesílatele e-mailu ověřuje, zda je poštovní server autorizovaný pro odesílání e-mailů pro danou doménu. Díky SPF můžete určit, které servery budou autorizovaný. Všechny ostatní budou zakázány. Maily se tak získávají na důvěryhodnosti a je tak menší pravděpodobnost, že skončí ve spamu.

Pro správné fungování SPF záznamu je potřeba v nastavení DNS u dané domény přidat nový TXT záznam.

Jak SPF nastavit?

Je to velice jednoduché a vystačíte si s přístupem ke správě DNS záznamů. Pokud máte DNS u nás, tak se stačí přihlásit do zákaznického centra a jít do správy DNS.

SPF se vytváří přidáním TXT záznamu. Můžete definovat z jakých zdrojů zpráva přijde a také nastavit chování, jak se má zacházet se zprávou, která nevyhoví validaci.

Definice povolených zdrojů:

• a = A nebo AAA záznamy
• mx = MX záznam u dané domény
• ip4 = IPv4 adresa nebo rozsah
• ip6 = IPv6 adresa nebo rozsah
• ptr = reverzní záznam domény
• include = převezme jiný SPF záznam

Definice chování, pokud zpráva neprojde validací

• + = (pass) zpráva projde
• – =  (fail) zpráva neprojde
• ~ = (softail) zpráva neprošla testem, ale výsledek není definitivní
• ? = (neutral) zprávu půjde poslat

Po propsání záznamů, můžete aktuální stav otestovat pomocí online nástrojů mxtoolbox nebo vamsoft.

Příklady SPF záznamu.

v=spf1 mx -all

Tento záznam zaručí, že všechny servery, které jsou uvedeny v MX záznamech budou považovány za důvěryhodné.

Pomocí následujícího příkladu přidáme důvěryhodné poštovní servery z IP rozsahu 192.10.0.1 – 192.110.255.255.

v=spf1 ip4:192.10.0.1/16 -all

Pokud chcete povolit pouze jednu IP adresu vašeho mailserveru, zadejte:

v=spf1 ip4:10.20.30.40 ?all

Můžeme samozřejmě nastavit i IPv6 adresu viz.

v=spf1 ip6:2606:2800:220:1:248:1893:25c8:1946 a -all

Tímto záznamem povolíte IPv6 adresu a pak A a AAAA záznamy dané domény.

Jak otestovat SPF záznam?

Pamatujte, že jakmile provedete změnu v DNS, tak chvíli trvá než se propíše do celého internetu. Pokud tedy budete testovat z nástroje, který se ptá DNS po různém světě, tak výsledky mohou být zavádějící. Na českých DNS serverech se změna propíše do pár hodin, ale do celého světa to může trvat i 24 hodin.

Nástrojů existuje více, ale my často používáme MXtoolbox, protože kontroluje i další nastavení vč. blacklistů. Tak doporučujeme používat právě tento. 🙂

SPF Checker na MXtoolbox stačí zadat název domény či IP adresu a uvidíte, jak dopadnete. Po chvilce zjistíte, jestli jste testem prošel nebo je třeba něco upravit.

Nejčastější chyby naleznete na stránkách projektu OPENSPF.