Dyrektywa SPF jest niezwykle ważnym wpisem dodawanym pod postacią rekordu TXT domeny.
1. Działanie i zasady
Dyrektywa SPF dodawana pod daną domeną w formie rekordu TXT odpowiada za autoryzację które serwery/adresy IP są uprawnione bądź nieuprawnione do wysyłki wiadomości e-mail pod daną domeną.
Wartość wpisu zawsze zaczyna się od frazy “v=spf1” (bez cudzysłowów) po czym następują oddzielone spacjami wartości mechanizmów o których informacje znajdują się w dalszej części instrukcji.
Ważne! Aby dyrektywa SPF działała poprawnie domena może mieć tylko i wyłącznie jeden wpis TXT zawierający dyrektywę SPF.
2. Kwalifikatory i mechanizmy.
Kwalifikatory:
Każdy mechanizm dyrektywy SPF podlega kwalifikatorom, które mówią jakie działanie ma zostać podjęte przez serwer odbiorczy w przypadku otrzymania wiadomości z adresu wskazanego w mechanizmie.
Kwalifikatory są następujące:
“+” czyli tzw. “Pass”, mówi on iż wiadomości z adresu zawartego w mechanizmie maja zostać zaakceptowane przez serwer odbiorczy.
“–” czyli tzw. “Fail”, mówi on iż wiadomości z adresu zawartego w mechanizmie maja zostać odrzucone przez serwer odbiorczy.
“~” czyli tzw. “SoftFail”, mówi on iż wiadomości z adresu zawartego w mechanizmie maja zostać przyjęte, natomiast oznaczone jako spam przez serwer odbiorczy.
“?” czyli tzw. “Neutral”, jest to wartość neutralna, symbol “?” może zostać pominięty przed mechanizmem gdyż jest to wartość domyślna.
Mechanizmy:
“all” jest to jeden z najważniejszych mechanizmów, dodawany jest on zawsze na końcu wartości dyrektywy gdyż dotyczy on wszystkich adresów nadawczych nie wymienionych w mechanizmach umieszczonych wcześniej.
“ip4” ten mechanizm wskazuje jakie działanie ma zostać podjęte w przypadku otrzymania wiadomości z konkretnego adresu IPv4 lub grupy adresów IPv4.
Jego składnia jest następująca:
ip4:<adres-IPv4>
ip4:<sieć-IPv4>/<długość prefiksu>
“ip6” ten mechanizm wskazuje jakie działanie ma zostać podjęte w przypadku otrzymania wiadomości z konkretnego adresu IPv6 lub grupy adresów IPv6.
Jego składnia jest następująca:
ip6:<adres-IPv6>
ip6:<sieć-IPv6>/<długość prefiksu>
“a” ten mechanizm wskazuje jakie działanie ma zostać podjęte w przypadku otrzymania wiadomości z adresu na który wskazuje rekord A tej samej domeny.
“mx” ten mechanizm wskazuje jakie działanie ma zostać podjęte w przypadku otrzymania wiadomości z adresu na który wskazuje rekord MX tej samej domeny.
“include” ten mechanizm nakazuje aby dodatkowo zostały wykorzystane takie same mechanizmy jakie posiada podana w nim domena.
Jego składnia jest następująca:
include:<nazwa domeny>
3. Przykłady.
“all”
wartość rekordu TXT “v=spf1 +all” – akceptuj wiadomości pod daną domeną od każdego nadawcy. (wysoce niebezpieczne, zaleca się nie ustawiać mechanizmu all o kwalifikatorze +)
wartość rekordu TXT “v=spf1 –all” – odrzucaj wiadomości pod daną domeną od każdego nadawcy.
wartość rekordu TXT “v=spf1 ~all” – oznaczaj wiadomości pod daną domeną od każdego nadawcy jako spam.
wartość rekordu TXT “v=spf1 ?all” lub “v=spf1 all” – wykonuj neutralne działanie dla wiadomości pod daną domeną od każdego nadawcy.
“ip4”
wartość rekordu TXT “v=spf1 ip4:192.168.5.7 –all” lub “v=spf1 +ip4:192.168.5.7 –all” – akceptuj wiadomości pod daną domeną, które przychodzą z adresu IPv4 192.168.5.7 i odrzucaj od każdego innego nadawcy.
wartość rekordu TXT “v=spf1 ip4:192.168.0.1/16 –all” lub “v=spf1 +ip4:192.168.0.1/16 –all” – akceptuj wiadomości pod daną domeną, które przychodzą z adresów IPv4 między 192.168.0.1 a 192.168.255.255 i odrzucaj od każdego innego nadawcy.
“ip6”
wartość rekordu TXT “v=spf1 ip6:1080::8:800:0000:0000 –all” lub “v=spf1 +ip6:1080::8:800:0000:0000 –all” – akceptuj wiadomości pod daną domeną, które przychodzą z adresu IPv6 1080::8:800:0000:0000 i odrzucaj od każdego innego nadawcy.
wartość rekordu TXT “v=spf1 ip6:1080::8:800:68.0.3.1/96 –all” lub “v=spf1 +ip6:1080::8:800:68.0.3.1/96 –all” – akceptuj wiadomości pod daną domeną, które przychodzą z adresów IP między 1080::8:800:0000:0000 a 1080::8:800:FFFF:FFFF i odrzucaj od każdego innego nadawcy.
“a”
wartość rekordu TXT “v=spf1 a –all” lub “v=spf1 +a –all” – akceptuj wiadomości pod daną domeną, które przychodzą z adresu IP na który domena jest skierowana rekordem A i odrzucaj od każdego innego nadawcy.
“mx”
wartość rekordu TXT “v=spf1 mx –all” lub “v=spf1 +mx –all” – akceptuj wiadomości pod daną domeną, które przychodzą z adresu IP na który domena jest skierowana rekordem MX i odrzucaj od każdego innego nadawcy.
“include”
wartość rekordu TXT “v=spf1 include:uti.pl –all” lub “v=spf1 +include:uti.pl –all” – wykonaj te same mechanizmy SPF jakie ma domena uti.pl po czym odrzucaj od każdego innego nadawcy nie zawartego w mechanizmach.
