-all
Twarde odrzucenie dla źródeł spoza SPF. To mocna polityka, dobra po upewnieniu się, że wszystkie legalne systemy wysyłki są już wpisane w rekordzie.
Narzędzie
SPF: rekord DNS dla poczty
Praktyczny opis rekordu SPF: dozwolone serwery wysyłki, mechanizmy include, ip4, mx, all i wpływ na dostarczalność e-mail.
SPF, czyli Sender Policy Framework, to rekord DNS typu TXT, który mówi serwerom odbiorców, które adresy IP i usługi mogą wysyłać pocztę w imieniu domeny. Poprawny SPF pomaga ograniczyć spoofing domeny i jest jednym z fundamentów dostarczalności poczty firmowej.
Tester poczty
Sprawdź SPF razem z MX i DMARC.
Co to jest MX?
Zobacz, gdzie domena odbiera wiadomości.
Tester DMARC
Zobacz, jak SPF wspiera politykę DMARC.
Co to jest DMARC?
Połącz SPF z DKIM i polityką domeny.
Co to jest DKIM?
Sprawdź podpisywanie wiadomości kluczem domeny.
Rekord TXT
Zobacz, dlaczego SPF jest publikowany jako TXT.
Serwery poczty
Wróć do huba poczty firmowej.
Co to jest rekord SPF?
Rekord SPF publikuje się w DNS domeny jako rekord TXT. Zawiera listę mechanizmów, które opisują legalne źródła wysyłki: adresy IPv4 i IPv6, hosty MX, rekord A domeny albo zewnętrzne systemy wskazane przez include. Odbiorca wiadomości sprawdza, czy serwer wysyłający jest zgodny z tym rekordem.
Przykład rekordu SPF
v=spf1 ip4:192.0.2.10 include:spf.protection.outlook.com include:_spf.google.com -allNajważniejsze mechanizmy SPF
| Mechanizm | Znaczenie |
|---|---|
| v=spf1 | Początek rekordu SPF. Domena powinna mieć jeden taki rekord TXT. |
| ip4 / ip6 | Adresy IP serwerów uprawnionych do wysyłki poczty. |
| a | Pozwala wysyłać z adresów IP wynikających z rekordu A domeny. |
| mx | Pozwala wysyłać z serwerów wskazanych w rekordach MX domeny. |
| include | Dołącza politykę SPF zewnętrznego operatora poczty lub systemu mailingowego. |
| redirect | Przenosi ocenę SPF do innej domeny i zastępuje lokalną listę mechanizmów. |
| all | Mechanizm końcowy, zwykle z kwalifikatorem -all, ~all albo ?all. |
~all
Softfail. Odbiorca widzi, że źródło nie pasuje do SPF, ale zwykle nie musi odrzucać wiadomości. To częsty etap przejściowy.
?all
Neutral. Rekord nie daje odbiorcy silnej decyzji. Taka polityka rzadko pomaga realnie chronić domenę.
include
Przydatny dla usług takich jak systemy mailingowe, helpdesk, CRM czy poczta zewnętrzna. Trzeba uważać na limit zapytań DNS w SPF.
Najczęstsze błędy SPF
- Kilka rekordów SPF dla tej samej domeny zamiast jednego połączonego rekordu.
- Brak zewnętrznego systemu wysyłkowego w SPF po wdrożeniu CRM lub newslettera.
- Zbyt łagodna końcówka ?all albo tymczasowe ~all pozostawione na stałe.
- Przekroczenie limitu zapytań DNS przez zbyt wiele mechanizmów include.
- Stare adresy IP lub wpisy po migracji poczty do nowego operatora.
FAQ: SPF
Czy domena może mieć kilka rekordów SPF?
Nie. Domena powinna mieć jeden rekord SPF. Kilka rekordów TXT zaczynających się od v=spf1 często powoduje błąd permerror i utrudnia weryfikację nadawcy.
Co oznacza końcówka -all w SPF?
-all oznacza twardą politykę: źródła niewymienione w SPF nie są uprawnione do wysyłki poczty z domeny. Warto jej używać dopiero po sprawdzeniu wszystkich legalnych nadawców.
Czy SPF wystarczy do ochrony domeny?
Nie. SPF jest ważny, ale pełniejszą ochronę daje dopiero połączenie SPF, DKIM i DMARC, bo DMARC wiąże wynik uwierzytelniania z domeną widoczną dla odbiorcy.
Kiedy trzeba zmienić SPF?
SPF trzeba aktualizować po dodaniu nowego operatora poczty, systemu mailingowego, CRM, helpdesku, serwera aplikacyjnego albo po migracji infrastruktury pocztowej.