Jak ověřit SPF záznam vaší domény
Proč nestačí SPF záznam jen nastavit
SPF záznam chrání vaši doménu před zneužitím k rozesílání podvodných e-mailů. Jenže samotné nastavení je jen polovina práce. DNS záznamy se mění, služby přibývají, poskytovatelé mění IP adresy. Pokud SPF záznam neověříte po každé změně — a pravidelně i bez ní — můžete zjistit, že vaše e-maily padají do spamu nebo jsou odmítány, aniž byste o tom věděli.
Tento článek vám ukáže tři způsoby, jak SPF záznam vaší domény ověřit: online analyzérem, příkazovou řádkou a automatickým monitoringem. U každé metody se dozvíte, co přesně hledat a jak výsledky interpretovat.
Ověření online analyzérem
Nejrychlejší a nejkompletnější způsob ověření SPF záznamu. Online analyzér parsuje SPF záznam, rekurzivně rozbalí všechny include záznamy, spočítá DNS dotazy a upozorní na syntaktické i logické chyby.
Co analyzér kontroluje
| Kontrola | Co hledá |
|---|---|
| Syntaxe | Správný formát v=spf1, platné mechanismy a kvalifikátory |
| Počet DNS dotazů | Nepřekročení limitu 10 DNS lookupů (RFC 7208, sekce 4.6.4) |
| Duplicitní záznamy | Více TXT záznamů začínajících v=spf1 na jedné doméně |
| Vnořené include | Rekurzivní rozbalení a kontrola platnosti vnořených SPF záznamů |
| Neplatné mechanismy | Použití zastaralého ptr nebo neexistujících domén v include |
| Kvalifikátor all | Varování při použití +all nebo chybějícím all |
Ověřte si svůj SPF záznam analyzérem SPF Monitoru — zobrazí kompletní strom include záznamů, spočítá DNS dotazy a upozorní na všechny nalezené problémy.
Ověření přes příkazovou řádku
Pokud preferujete terminál, můžete se na SPF záznam dotázat přímo přes DNS.
Linux a macOS: příkaz dig
dig example.com TXT +short
Výstup obsahuje všechny TXT záznamy domény. SPF záznam poznáte podle prefixu v=spf1:
"v=spf1 include:_spf.google.com ip4:198.51.100.10 -all"
Pro přehlednější výstup můžete filtrovat jen SPF záznamy:
dig example.com TXT +short | grep spf
Windows: příkaz nslookup
nslookup -q=txt example.com
SPF záznam se zobrazí v sekci „Non-authoritative answer". Na doménách s mnoha TXT záznamy může nslookup některé vynechat — v takovém případě použijte dig (dostupný přes WSL nebo nástroje jako BIND).
Windows: PowerShell
Resolve-DnsName -Name example.com -Type TXT | Where-Object { $_.Strings -match "spf" }
PowerShell vrací strukturovaný výstup, kde vlastnost Strings obsahuje text TXT záznamu.
Na co se zaměřit ve výstupu
Při kontrole příkazovou řádkou ověřte tři věci:
- Existuje SPF záznam? Pokud příkaz nevrátí žádný řádek začínající
v=spf1, doména nemá SPF záznam — a e-maily z ní mohou být označeny jako podezřelé. - Existuje jen jeden? Doména smí mít podle RFC 7208 (sekce 4.5) pouze jeden SPF záznam. Dva a více způsobí chybu PermError.
- Končí záznamu správným all? Doporučené zakončení je
-all(hard fail). Hodnota~all(soft fail) je přijatelná při zavádění. Hodnota+allfakticky vypíná ochranu.
Příkazová řádka ukáže aktuální stav záznamu, ale nevaliduje syntaxi, nepočítá DNS dotazy a neodhalí vnořené problémy. K tomu slouží analyzéry.
Nejčastější problémy odhalené při ověřování
Překročení limitu 10 DNS dotazů
Každý mechanismus include, a, mx, ptr, exists a modifikátor redirect vyvolá DNS dotaz. Vnořené include záznamy se počítají taky — každý include může obsahovat další vnořené záznamy, které spotřebovávají další dotazy z limitu.
S přibývajícími službami (e-mail, marketing, helpdesk, fakturace) se k limitu dostanete rychle. Překročení způsobí PermError — SPF kontrola selže pro všechny e-maily z vaší domény, včetně oprávněných.
Řešení:
- Odstraňte
includepro služby, které již nepoužíváte - Nahraďte
includezaip4/ip6, pokud služba používá stabilní IP adresy - Zvažte SPF flattening — automatizovanou techniku, která nahradí vnořené include za IP adresy
Více SPF záznamů na doméně
Běžná chyba: při přidávání nové služby administrátor vytvoří nový TXT záznam místo úpravy existujícího. Výsledkem jsou dva záznamy začínající v=spf1 a PermError.
# Špatně — dva SPF záznamy
v=spf1 include:_spf.google.com -all
v=spf1 include:sendgrid.net -all
# Správně — jeden sloučený
v=spf1 include:_spf.google.com include:sendgrid.net -all
Chybějící odesílatel
SPF kontrola projde jen pro servery uvedené v záznamu. Pokud přidáte novou službu (např. fakturační systém) a nezahrnete ji do SPF, její e-maily budou při -all odmítány. Příznaky: zákazníci nedostávají faktury, notifikace z nového systému končí ve spamu.
Řešení: po každém zavedení nové e-mailové služby aktualizujte SPF záznam a ověřte ho.
Použití zastaralého mechanismu ptr
Mechanismus ptr je v RFC 7208 (sekce 5.5) výslovně označen jako nedoporučený. Je pomalý, nespolehlivý a zatěžuje DNS. Některé přijímající servery ho ignorují. Pokud ho váš záznam obsahuje, nahraďte ho za include, ip4 nebo ip6.
Kdy SPF záznam ověřovat
Jednorázová kontrola nestačí. SPF záznam ověřujte:
- Po každé změně DNS — přidání nebo odebrání TXT záznamu
- Po zavedení nové e-mailové služby — marketing, helpdesk, CRM, fakturace
- Po migraci domény nebo DNS — změna registrátora, přesun DNS hostingu
- Pravidelně — minimálně jednou měsíčně, ideálně automatizovaně
Služby třetích stran mohou změnit své IP adresy nebo SPF záznamy bez upozornění. Váš include:sluzba.com může dnes fungovat a zítra překročit limit DNS dotazů, protože poskytovatel přidal další vnořený include.
Automatický monitoring vaší domény tyto změny zachytí a upozorní vás dřív, než se projeví na doručitelnosti e-mailů.
SPF kontrola je jen začátek
Ověření SPF záznamu je nezbytný krok, ale kompletní e-mailová autentizace vyžaduje i DKIM (ověření integrity zprávy) a DMARC (propojení SPF a DKIM s adresou v hlavičce From). Bez DMARC může útočník projít SPF kontrolou z vlastního serveru a přitom do hlavičky From vložit vaši adresu — příjemce rozdíl nepozná.
Pokud jste SPF záznam právě ověřili a je v pořádku, pokračujte nastavením DKIM a DMARC. Pokud analyzér odhalil problémy, vraťte se k článku Jak vytvořit SPF záznam krok za krokem a záznam opravte.
