Što je to i kako djeluje zaštita SPF?

Pretpostavimo da posjedujete već otkupljeni hosting s upravljačkom pločom cPanel

Ako se dvoumite oko provjerenog hostinga, usporedite naše pakete.

Svi opisi iz ovog priručnika nastali su na temelju hostinga Smarthost.hr

Zbog bujice spama koja nas zapljuštava, trenutno praktično svi poslužitelji na internetu koriste mehanizme za autorizaciju e-mailova. Oni počivaju na dokazivanju da je e-mail poslan s adrese contect@customer-domain.eu doista i poslan s poslužitelja koji poslužuje domenu customer-domain.eu, a ne s nekog drugog. Tako smo sigurni da mail ne dolazi od lažnog pošiljatelja.

Naravno, sve se to odvija neprimjetno za običnog korisnika pošte, na razini ispravno konfiguriranog poštanskog servera.

Mehanizam, koji za to može služiti (i postaje sve uobičajeniji) je SPF (Sender Policy Framework). Ovaj mehanizam, najjednostavnije rečeno, počiva na dodavanju konkretne domene (DNS zone) popisa IP adresa, koje su autorizirane za slanje pošte s konkretne domene, u konfiguracijskoj datoteci. U trenutku kad šaljemo poštu (npr. s adrese contact@customer-domain.eu) poslužitelj koji zaprima obavijest provjerava koje su adrese autorizirane za slanje pošte za domenu @customer-domain.eu, i, ako adresa pošiljatelja odgovara IP adresi pošiljatelja – zaprima poštu, a ako je IP adresa različita – pošta se odbija ili označava kao sumnjiva (npr. dobiva tzv. negativne bodove na temelju kojih se mail klasificira kao spam).

Sam SPF mehanizam je jednostavan i djelotvoran. Implementiran je na mnogim poslužiteljima (uključujući, naravno, i naše poslužitelje za sve Klijente smarthost.hr). Ovaj mehanizam je toliko popularan, da su neki portali koji nude besplatne e-mail račune odlučili odbijati poštu s neispravnim SPF zapisima (takvi provideri su npr. gmail.com)

Zašto dolazi do problema s SPF zapisom  za forward?

Ponekad se događa da, osim jednostavnog slanja pošte s poslužitelja A na poslužitelj B želimo da poruka s ciljnog poslužitelja bude poslana dalje, npr. na poslužitelj C. Zbog toga se uspostavlja tzv. forward, odnosno usluga “slanja pošte dalje”. Može se vrlo lako kliknuti na praktički svakoj hosting ploči.

S forwardima nije bilo problema do trenutka kad je započela primjena zaštite SPF.

Zašto? 

Odgovor je relativno jednostavan:

E-mail poslan s poslužitelja A (npr. s adrese contact@customer-domain.eu na poslužitelju A, koji ima ispravno konfigurirane SPF postavke za tu domenu) dolazi na poslužitelj B.

Poslužitelj B provjerava je li poslužitelj B ovlašten za slanje pošte s domene @customer-domain.eu 

Kako je SPF na poslužitelju A ispravno konfiguriran, poslužitelj B dobiva potvrdu da može zaprimiti poštu.

Na poslužitelju B također je uspostavljeno prosljeđivanje na poslužitelj C, stoga poslužitelj B poštu šalje dalje. 

Poslužitelj C pri zaprimanju pošte s adrese contect@customer-domain.eu provjerava je li SPF na poslužitelju B konfiguriran za tu domenu: @customer-domain.eu . I tu se javlja problem, jer poslužitelj B nije ovlašten za slanje pošte s te domene. Ovlašten je poslužitelj A, ali poslužitelj C kontaktira samo s poslužiteljem B, s kojeg preuzima poštu. I stoga poslužitelj C smatro kako se poslužitelj B pretvara da je poslužitelj A (tzv. spoofing) i … odbija poštu. 

Naravno, takvo ponašanje poslužitelja C jest tehnički ispravno (provjerava SPF postavke poslužitelja, s kojeg preuzima poštu), ali je neispravno s točke gledišta korisnika, koji tu e-poštu želi zaprimiti (jer je sam uspostavio prosljeđivanje – forward).

SPF rješenje za forwarde: SRS

Tvorci SPF-a u početku nisu predvidjeli SPF autorizaciju za forwarde. Pojavila se tek dvije godine nakon stvaranja početnih nacrta specifikacija SPF. Mehanizam koji osigurava ispravan odabir e-mailova koji se prosljeđuju (forward) naziva se SRS (Sender Rewriting Scheme). Ovaj mehanizam je trenutno dostupan većini poštanskih poslužitelja, međutim, nije svaki poštanski poslužitelj konfiguriran za korištenje tog mehanizma.

Kako on funkcionira?

SRS mehanizam funkcionira relativno jednostavno: poslužitelj B (koji poruku šalje dalje) modificira zaglavlje pošiljatelja (sender envelope), dodajući u njega informaciju da je adresa originalnog pošiljatelja, odnosno poslužitelja A, provjerena pod uvjetima SPF i da je to legalni pošiljatelj za domenu @customer-domain.eu. 

Stoga će poslužitelj C umjesto pošiljatelja: poslanog kroz poslužitelj B vidjeti pošiljatelja: contact@customer-domain.eu s napomenama. One označavaju:

SRS0 –  prvi poslužitelj, koji mail prosljeđuje dalje (u slučaju daljnjih prosljeđivanja, bili bi to redom SRS1, SRS2 itd).

nLCQK – unikatan niz (svaki put drugačiji), tzv. hash – za izbjegavanje spamera koji se pretvaraju da su forwardirani mailovi

RA – unikatni timestamp (koji je svaki put drugačiji), odnosno vremenska oznaka koja dokazuje da je forwardirana adresa važeća samo u određenom vremenskom periodu.

Zahvaljujući primjeni mehanizma SRS, forwardi maila ne onemogućavaju SPF autorizaciju za domene.

Naravno, sve se to odvija automatski, u pozadini, te korisnik prilikom slanja maila ne treba činiti nikakve specijalne radnje 

Na svim poslužiteljima smarthost.hr SRS za SPF je uključen – da bi provjerio kako radi, najjednostavnije je registrirati besplatan hosting račun i na njega poslati/na njemu uspostaviti preusmjeravanje pošte na drugi poslužitelj.

Registrirajte besplatni probni račun na poslužitelju Smarthost.hr i provjerite kako funkcionira ispravno konfigurirani SRS mehanizam za SPF za forwarde mailova: registrirajte probni račun, paket premium-ssd-www