Aby wdrożyć zabezpieczenie Sender Policy Framework (SPF), polegające na identyfikacji pochodzenia wiadomości przez DNS, musimy dodać rekord w naszym serwerze nazw.
Ja pokażę to na przykładzie serwera DNS w Windows Server 2016.
Pierwszym krokiem będzie otworzenie Menadżera DNS i przejście do zakładki z nazwą naszej domeny (w moim przypadku będzie to zimbra.lc)
Następnie klikamy prawym przyciskiem myszy na nazwę naszej domeny i wybieramy opcję Inne nowe rekordy
Tam wyszukujemy rekord TXT i wybieramy opcję Utwórz rekord…
Teraz w pole Nazwa rekordu wpisujemy nazwę naszego serwera pocztowego w danej domenie, a w polu tekst:
"v=spf1 a:adres-naszego-serwera-mailowego ip4:adres-ip-serwera-mailowego ~all"Gdzie:
- v: Nazwa technologii której używamy, w przypadku użycia DKIM byłoby to v:DKIM1
- a: Nazwa FQDN naszego serwera mailowego
- ip4: Adres IP naszego serwera mailowego
- ~all – Zezwala na wysyłanie maila w przypadku kiedy wszystko jest w porządku, natomiast gdy coś się nie zgadza, tworzy się komunikat softfail, interpretowany w zależności od ustawień
Opcja all może być także wykorzystana z innymi przełącznikami działającymi w różny sposób:
- ? (neutral) – Działa tak, jakby reguła nie istniała, nie sprawdza pochodzenia ani oryginalności adresu
- – (fail) – W przypadku kiedy wystąpi jakiś błąd podczas sprawdzania pochodzenia, DNS interpretuje to jako błąd i nie przepuszcza wiadmości
- ~ (soft fail) – W zależności od konfiguracji DMARC-a (o którym więcej można poczytać na naszym blogu), produkuje komunikat fail (hard fail) bądź przekierowuje wiadmość do spamu/kwarantanny.
Po wpisaniu danych, zatwierdzamy zmiany przyciskiem OK.
Od teraz nasza domena jest chroniona przed atakami polegającymi na podszywaniu się pod nasz serwer pocztowy. Dzięki temu nie powinniśmy już więcej znaleźć się na czarnej liście. Utrudnimy dzięki temu także rozsyłanie maili zawierających spam w sieci. Warto to rozwiązanie wykorzystać szczególnie gdy przychodzi nam wiele raportów o znalezieniu spamu wysyłanego z naszej domeny.
Jako że to rozwiązanie wykorzystuje serwer nazw (DNS) do swojego działania, nie musimy w tym wypadku niczego więcej konfigurować w naszej poczcie.