Co je to SPF záznam a proč jej Google vyžaduje?

SPF znamená “Sender Policy Framework” neboli, volně přeloženo, “Rámec politiky odesílatele”. Technologie ověřuje, zda je server, který odeslal e-mailovou zprávu povolený a legitimní. SPF záznam je součástí DNS záznamů (Domain Name System) a obsahuje informace o oprávněných serverech pro odesílání e-mailů z dané domény.

Jak SPF záznam funguje?

Když server příjemce obdrží e-mailovou zprávu, zkontroluje SPF záznam (který je součástí DNS záznamů) pro doménu odesílatele. SPF záznam obsahuje seznam povolených serverů, které jsou oprávněny odesílat e-maily za danou doménu. Server příjemce porovná IP adresu odesílatele s těmito povolenými servery. Pokud se IP adresa shoduje s jedním z povolených serverů, e-mail je považován za legitimní a bude doručen.

Proč je SPF záznam důležitý?

SPF záznam pomáhá chránit vaši doménu před podvržením, tzv. “spoofingem”. Podvržení je technika, kterou zloději identity využívají k odesílání e-mailů, které vypadají, jako by pocházely od vaší domény, i když ve skutečnosti nejsou. SPF záznam vám umožňuje definovat, které servery jsou oprávněné odesílat e-maily za Vaší doménu, a tím snižuje riziko podvržení.

Pro lepší pochopení uvedu mechanismus SPF na příkladu. Podvodník si zřídí za malý peníz levný server, kde zprovozní SMTP. Zároveň si napíše aplikaci, nebo skript, která přes tento SMTP server začne masově odesílat phishingové maily. A jako odesílatele uvede Vaší doménu. Řekněme např. schránku info@vasedomena.tld. V emailu navíc začne náhodně lidem pod hlavičkou Vaší podvržené mailové adresy odesílat lidem např. faktury za zboží, do kterých uvede své číslo účtu. Někdo takový podvod pozná a nezaplatí, ale někdo bohužel ne a na podvod se chytí. A zde přichází na řadu SPF.

V DNS u domény máte v SPF záznamu jasně definovaný svůj SMTP server, z kterého jako z jediného je e-mail legitimní. Server uživatele, který dostane podvodný e-mail s fakurou se nejprve podívá na Váš SPF záznam u domény a zjistí si, jaký používáte SMTP server. Poté se podívá do hlavičky e-mailu a tam zjistí, že IP adresa nesouhlasí. E-mail byl tedy odeslaný z jiného, než Vámi uváděného serveru. Proto server příjemce takový e-mail označí za spam a zahodí jej. K uživateli se tedy podvodná faktura ve většině případů díky SPF vůbec nedostane.

Proč začal SPF záznam vyžadovat Google a proč nedoručuje e-maily z domény, která SPF nastavené nemá?

Právě z výše uvedeného důvodu. Google přitvrdil v pravidlech, podle kterých hodnotí maily jako spam nebo legitimní zprávu. Pokud u Vaší domény nemáte nastavený SPF záznam, bude Váš byť legitimní mail automaticky hodnotit špatně. Obvykle jej prostě nedoručí a Vám odešle chybovou hlášku, že nemáte nastavený SPF záznam. Google tak bojuje nejen proti spamu, ale také proti phishingu, což je podvodná praktika, která se z lidí snaží dostat buď finanční prostředky, nebo citlivé údaje.

Je tedy ve Vašem Vlastním zájmu SPF záznam v DNS mít. A kdo Vám s jeho nastavením pomůže? Správce serveru. Kontaktujte jej, aby Vám hodnoty SPF záznamu sdělil. Tuto hodnotu pak musíte přidat do DNS své domény jako TXT záznam. Pokud nevíte jak, tak s tím Vám zase pomůže registrátor domény, potažmo správce Vašich DNS serverů, pokud je máte jinde, než u registrátora.

Nastavený SPF se projeví do několika minut, v závislosti na hodnotě TTL v nastavení DNS. Ta je v mnoha případech nastavena na 1800 či 3600, vyjímečně na vyšší hodnotu. Hodnota TTL pouze říká, kolik sekund si bude původní hodnoty DNS pamatovat cache DNS server. Jakmile tedy uběhne 1800 či 3600 vteřin, zahodí cache DNS původní hodnoty a načte si nové. A v tu chvíli začne SPF záznam fungovat.

Co je to SPF záznam a proč jej Google vyžaduje?

Závěr

Doufám, že jste alespoň v základu a relativně rychle pochopili, co je SPF a jak funguje. Pokud se nyní potýká s problémy s nedoručováním e-mailů na adresy @gmail.com kvůli SPF alespoň znáte důvod, proč Google přitvrdil v politice ochrany Gmailu vůči spamu. Nastavení SPF záznamu zvládnete za několik minut, případně Vám s tím zcela určitě pomůže zákaznická podpora webhostingové firmy a registrátora domény. Na nic tedy nečekejte a pokud Vám Google e-maily vrací jako nedoručené, SPF záznam si co nejrychleji nastavte. Jako příjemný bonus budete mít svou doménu zase o něco více chráněnou proti zneužití.