tisdag 22 december 2015

Det du måste veta om SPF

SPF står för Sender Policy Framework och är ett regelverk för den som vill skicka e-post på Internet. Med hjälp av SPF kan alla med ett domännamn tala om för omvärlden vilka IP-adresser som ska tillåtas skicka e-post från domänen. Som mottagare av e-post kan man med hjälp av SPF avvisa e-post från bedragare och undvika att ta emot e-post med förfalskade avsändare.

Alla som äger ett domännamn har möjligheten att upprätta ett så kallat SPF-record i sin DNS-konfiguration. Det är en text-sträng som definierar vilka e-postservrar/IP-adresser som ska ha tillåtelse att skicka e-post med domänen som avsändare. Om alla som skickade e-post hade upprättat ett SPF-record hade förfalskad e-post varit betydligt mindre vanligt än vad det är idag.

Varför ska jag ha ett SPF-record?
Många upprättar ett SPF-record för att minska riskerna för att det egna domännamnet anges som avsändare vid e-postbedrägerier. Alla de större e-posttjänsterna (t.ex. Hotmail och Gmail) kontrollerar avsändarens SPF-record för att bekräfta att e-post inte är förfalskad och rensar bort e-post som skickats från otillåtna servrar. Det är därför viktigt att ditt SPF-record är korrekt och stämmer överens med de servrar som används för att skicka ut e-post med ditt domännamn som avsändare.

Två typer av SPF-records
Det finns två typer av SPF-records; hard-fail och soft-fail. När man upprättar sitt SPF-record kan man ange hur man önskar att mottagaren ska behandla e-post som inte matchar de godkända avsändarna i SPF. Genom att ange "Hard-fail" ber man mottagaren att helt blockera e-post från otillåtna avsändare. Om man istället anger "Soft-fail" ber man mottagaren att sätta e-post från otillåtna avsändare i karantän eller märka ämnesraden i e-postmeddelandet.

Så fungerar SPF
För att stoppa e-post från icke-godkända avsändare behöver mottagaren kontrollera avsändarnas SPF-record. De flesta e-postsystem har för detta ändamål möjlighet att aktivera "SPF-kontroll".


Avsändaren skickar ett e-postmeddelande och mottagaren kontrollerar om det existerar något SPF-record. Om avsändaren har ett SPF-record kontrolleras så att det IP-nummer som skickade e-postmeddelandet är angivet som godkänt i avsändardomänens SPF-record.


Om någon försöker förfalska e-post från en domän som har ett SPF-record, eller om avsändarens missat att ange alla sina servrar i SPF-record, kommer mottagaren avvisa meddelandet.

Syntax för SPF-record
SPF är kostnadsfritt och finns i detalj beskrivet på www.openspf.org. Ett SPF-record kan se ut t.ex. så här:

"v=spf1 ip4:192.168.0.1/16 -all"

Ovan SPF-record specifiecerar att e-post från domänen (där SPF-record upprättas)  får skickas från alla IP-adresser mellan 192.168.0.1 och 192.168.255.255. Det avslutande "-all" betyder "Hard Fail" - alltså att e-post som skickas från andra IP-adresser än de som är angivna bör blockeras av mottagren. Önskar man att mottagaren istället att mottagaren ska sätta e-post som inte skickas från godkända avsändare på karantän så anger man ett "~" som betyder "Soft Fail".

SPF-record för domänen wecloud.se ser ut så här:

"v=spf1 a:remote.wecloud.se include:spf.mx-wecloud.net -all"

Ovan SPF-record tillåter vår e-postserver (remote.wecloud.se) och WeCloud's spamfilter-servrar att skicka e-post med vårat domännamn. 

Att tänka på när du upprättar ett SPF-record
Värt att tänka på är att ett SPF-record inte kan innehålla hur många DNS-uppslag som helst. Gränsen är satt till max 10 uppslag, detta för att försäkra sig om att ingen kan skapa gigantiska SPF-records som tvingar mottagaren att göra allt för krävande uppslag.

Notera också att SPF-kontrollen görs mot den server som avlevererar meddelandet. Om din e-postserver använder ett relay eller smarthost för din utgående e-post som sista utpost så är det denna som måste anges i din SPF.

Varför har WeCloud's spamfilter stoppat ett mail p.g.a. SPF-check?
Om du har aktiverat SPF-kontroll i WeCloud's spamfilter så gör systemet en kontroll av avsändarens SPF-record och blockerar e-post som skickas från IP-adresser som inte är angivna som godkända i avsändarens SPF-record med "Hard fail". Om avsändarens SPF-record är satt till "Soft Fail" så sätts e-post från icke godkända IP-adresser i karantän. Om avsändaren helt saknar SPF-record så kan SPF-kontrollen inte utföras och e-posten går vidare till övriga spam-kontroller.

Hur gör jag om legitim e-post blockeras med SPF-kontroll?
Om legitim e-post blockeras med SPF-kontrollen så beror det på att avsändaren inte konfigurerat sin SPF-record korrekt. Avsändaren bör då rätta sitt SPF-record, och ange vilka servrar som ska ha rätt att skicka e-post med deras domännamn. I WeCloud's antispamtjänst finns dock möjlighet att vitlista avsändarens adress och på så sätt frångå SPF-kontrollen för en specifik adress eller domän. 
Det finns också möjlighet att inaktivera SPF-kontrollen helt och hållet, och du kan ha olika inställningar för "Hard-fail" och "Soft Fail". Kom ihåg att du riskerar att få förfalskad e-post om du vitlistar eller inaktiverar SPF.

Läs också:


www.wecloud.se
info@wecloud.se