Běžíme v testovacím provozu, prosíme o shovívavost a zpětnou vazbu.
Co je SPF záznam a proč ho potřebujete

Co je SPF záznam a proč ho potřebujete

· 6 min čtení · Tomas Hojgr · spf
spf email-authentication dns email-deliverability

Co je SPF

SPF (Sender Policy Framework) je e-mailový autentizační protokol definovaný v RFC 7208. Umožňuje vlastníkovi domény určit, které mailové servery smějí odesílat e-maily jeho jménem.

SPF záznam je řádek textu uložený jako TXT záznam v DNS vaší domény. Když příjemce obdrží e-mail z vaší domény, jeho mailový server se podívá do DNS, přečte SPF záznam a ověří, zda server, který e-mail odeslal, je na seznamu povolených odesílatelů.

Pokud server na seznamu není, e-mail neprošel SPF kontrolou — a příjemce ho může odmítnout nebo přesunout do spamu.

Jak SPF funguje

Celý proces probíhá automaticky při každém doručení e-mailu:

  1. Odešlete e-mail z vaší domény (např. firma.cz).
  2. Přijímající mailový server zjistí IP adresu serveru, který e-mail doručil.
  3. Server se dotáže DNS na TXT záznam domény firma.cz a načte SPF záznam.
  4. Porovná IP adresu odesílajícího serveru se seznamem povolených adres v SPF záznamu.
  5. Výsledek vyhodnotí jako pass (povoleno), fail (zakázáno), softfail (podezřelé) nebo neutral (bez vyjádření).

Celé ověření trvá zlomek sekundy a probíhá na straně příjemce — vy jako odesílatel jen publikujete správný SPF záznam.

Anatomie SPF záznamu

SPF záznam začíná vždy identifikátorem verze v=spf1 a končí mechanismem all, který určuje, co se stane s e-maily od nepovolených serverů.

Mechanismy

Mechanismus Význam
include:domena.cz Povolí servery, které povoluje SPF záznam uvedené domény
ip4:198.51.100.10 Povolí konkrétní IPv4 adresu
ip6:2001:db8::1 Povolí konkrétní IPv6 adresu
a Povolí IP adresu z A záznamu domény
mx Povolí IP adresy z MX záznamů domény
exists Pokročilý mechanismus — povolí na základě existence A záznamu
all Pravidlo pro všechny ostatní (viz kvalifikátory níže)

Mechanismus ptr je v RFC 7208 označen jako nedoporučený a v praxi se nepoužívá.

Kvalifikátory

Každý mechanismus může mít prefix (kvalifikátor), který určuje výsledek:

Kvalifikátor Význam Použití
-all Fail — striktně odmítnout Doporučené nastavení pro produkci
~all Softfail — označit jako podezřelé Vhodné při zavádění SPF
?all Neutral — bez vyjádření Fakticky vypnutý SPF
+all Pass — povolit vše Nikdy nepoužívat (povoluje spoofing)

Jak číst SPF záznam

Příklad záznamu pro doménu používající Google Workspace a vlastní mailový server:

v=spf1 include:_spf.google.com ip4:198.51.100.10 -all
  • v=spf1 — verze protokolu (povinné)
  • include:_spf.google.com — povolí všechny servery Google Workspace
  • ip4:198.51.100.10 — povolí konkrétní IP adresu vlastního serveru
  • -all — vše ostatní odmítnout (fail)

Proč SPF potřebujete

Ochrana proti spoofingu

Bez SPF záznamu může kdokoli odeslat e-mail, který vypadá, že přišel z vaší domény. Útočník nepotřebuje přístup k vašemu serveru — stačí mu nastavit hlavičku "From" na vaši adresu. Tato technika se nazývá e-mailový spoofing a je základem většiny phishingových útoků.

SPF záznam s -all říká příjemcům: "E-maily z mé domény mohou přijít jen z těchto serverů. Cokoli jiného odmítněte."

Doručitelnost e-mailů

Velcí poskytovatelé (Gmail, Outlook, Yahoo) vyžadují SPF jako základní podmínku pro doručení e-mailů do schránek. Od února 2024 Google a Yahoo vyžadují SPF nebo DKIM a záznam DMARC (alespoň p=none) pro všechny odesílatele. Hromadní odesílatelé (nad 5 000 zpráv denně) musí mít SPF i DKIM současně.

Bez SPF záznamu riskujete, že vaše e-maily — včetně faktur, objednávek a důležité komunikace — skončí ve spamu.

Ochrana reputace domény

Každá doména má u mailových providerů reputaci. Pokud někdo zneužije vaši doménu k rozesílání spamu nebo phishingu, reputace klesne a legitimní e-maily přestanou docházet. SPF záznam tomuto scénáři předchází.

Limity SPF

SPF je základ e-mailové autentizace, ale sám o sobě nestačí. Znalost jeho limitů vám pomůže nastavit ochranu správně.

Limit 10 DNS dotazů

Podle RFC 7208 (sekce 4.6.4) smí vyhodnocení SPF záznamu vyvolat maximálně 10 DNS dotazů. Do limitu se počítají mechanismy include, a, mx, ptr, exists a modifikátor redirect. Mechanismy ip4, ip6 a all DNS dotazy nevyvolávají.

Překročení limitu způsobí chybu PermError — SPF kontrola selže bez ohledu na to, zda je odesílající server oprávněný.

U domén s více poštovními službami (Google Workspace, marketing, helpdesk, fakturační systém) se k limitu dostanete rychle. Každý include přitom může vyvolat další vnořené dotazy.

SPF neověřuje hlavičku From

SPF kontroluje adresu v obálce e-mailu (envelope sender, MAIL FROM), nikoli adresu v hlavičce "From", kterou vidí příjemce v e-mailovém klientu. Útočník může projít SPF kontrolou z vlastního serveru a přitom do hlavičky "From" vložit vaši adresu.

Proto je SPF potřeba doplnit o DKIM (ověřuje integritu obsahu) a DMARC (propojuje SPF a DKIM s adresou v hlavičce From).

SPF a přeposílání

Při přeposílání e-mailu se mění odesílající server, ale obálková adresa zůstává původní. Nový server není v SPF záznamu původní domény, takže SPF kontrola selže. Tento problém pomáhá řešit protokol ARC (Authenticated Received Chain), který zachovává výsledky autentizace přes celý řetězec přeposílání.

Jak SPF nastavit

  1. Zmapujte všechny odesílatele — zjistěte, které servery a služby odesílají e-maily z vaší domény (firemní mail, marketing, helpdesk, fakturace).
  2. Sestavte SPF záznam — pomocí mechanismů include a ip4/ip6 povolte všechny oprávněné odesílatele.
  3. Začněte s ~all — při prvním nasazení použijte softfail, abyste neblokovali legitimní e-maily, které jste opomněli.
  4. Publikujte záznam v DNS — přidejte TXT záznam do DNS vaší domény.
  5. Ověřte záznam — zkontrolujte syntaxi a funkčnost SPF záznamu.
  6. Přepněte na -all — po ověření, že všechny legitimní e-maily procházejí, zpřísněte politiku na fail.

SPF je základ, ne celé řešení

SPF záznam je první vrstva ochrany vaší e-mailové komunikace. Říká světu, které servery smějí odesílat e-maily za vaši doménu, a pomáhá chránit vaši reputaci i doručitelnost.

Pro kompletní ochranu ale SPF nestačí. Nastavte i DKIM pro ověření integrity zpráv a DMARC pro propojení obou protokolů s adresou, kterou vidí příjemce.

A hlavně — e-mailová autentizace není jednorázová záležitost. DNS záznamy se mění, přibývají nové odesílací služby, exspirují IP adresy. Pravidelný monitoring zajistí, že vaše ochrana zůstane funkční. Ověřte si svůj SPF záznam a zjistěte, zda je správně nastavený.

Číst v jiném jazyce: English

Související články

Jak ověřit SPF záznam vaší domény
spf

Jak ověřit SPF záznam vaší domény

Jak ověřit SPF záznam domény příkazovou řádkou, online analyzérem i monitoringem. Zjistěte, co hledat a jak interpretovat výsledky.

· 6 min čtení
Jak vytvořit SPF záznam krok za krokem
spf

Jak vytvořit SPF záznam krok za krokem

Praktický návod na vytvoření SPF záznamu pro vaši doménu. Od mapování odesílatelů přes sestavení záznamu až po ověření a hlídání limitu DNS dotazů.

· 6 min čtení
Nastavení SPF, DKIM a DMARC u českých providerů
email-security

Nastavení SPF, DKIM a DMARC u českých providerů

Kompletní návod na nastavení SPF, DKIM a DMARC u WEDOS, Forpsi a Active24. Přesné DNS záznamy, postup aktivace a řešení častých chyb pro každého…

· 9 min čtení