SPF kirje nüüd kõigil Zone postiservereid kasutavatel domeenidel

Tegime teoks ühe ammuse plaani ja lisasime kõigi Zone postiservereid kasutavate domeenide nimeserveritesse SPF-kirje, mis aitab e-postiteenustel kirju paremini spämmist eristada ja vähendab võimalust, et keegi kolmas saab domeeni aadresse kasutavaid kirju saata.

Kõigi muudatusest puudutatud domeenide omanikud said e-posti teel eelnevalt teavitatud, kirjed lisasime 23.08.2017 hommikul.

Tehniline kokkuvõte: vältimaks probleeme klientidele, kes võivad kasutada oma SMTP-servereid või e-posti saatvaid rakendusi, on lisatud kirje võimalikult leebe ehk v=spf1 a mx include:_spf.zone.eu ~all . Muudest allikatest saadetud kirjad saavad olekuks SoftFail. Soovitame kõigil see ise rangemaks muuta välistades võõraste serverite kasutamise täielikult, selleks peab kirje lõpus olema -all. Kõigile uutele virtuaalserveritele lisame automaatselt range ehk -all SPFi.

Miks me sellise muudatuse tegime?
Põhjuseid on kaks.

Esiteks on viimasel ajal lisaks võõralt aadressilt spämmi saatmisele sagenenud juhtumid, kus kurjategijad võltsivad e-kirjade päiseid ning sisu jätmaks vastuvõtjale mulje, et kiri on igati legitiimne ning saadetud teie ettevõtte töötaja poolt. Reeglina palutakse sellistes kirjades, mis jõuavad teie kolleegide postkastidesse, teha rahaülekanne mõnele välismaisele pangakontole. Kirjutasin ühest sellisest kelmusest Zone blogipostituses “Kas saaksid kiiresti ühe maksekorralduse teha?”.

NB! Juhul, kui olete ise sarnase sisuga kirju saanud, siis kindlasti suhtuge neisse äärmiselt kriitiliselt ning vajadusel täpsustage muid kanaleid pidi saatjalt üle, kas saabunud kiri on ikka tema saadetud!

Teiseks on postiteenused nagu Gmail hakanud järjest enam kontrollima, et e-kirjad saabuksid vastava domeeni omaniku poolt heaks kiidetud serveri vahendusel.

Milles muudatus seisneb?

Me lisame spetsiaalse SPF (Sender Policy Framework) kirje domeeni teenindavasse nimeserverisse. Tänu sellele veenduvad kirju vastuvõtvad e-posti serverid, et saabunud e-kiri on saadetud justnimelt selle domeeninimega seotud e-postkastist ning kiri toimetatakse süsteemi poolt edasi õige saajani. SPF-kirjete lisamine aitab vältida domeeni kasutajate nimel saadetavate võltskirjade ja spämmi jõudmise adressaatideni ning tagab kirjade jõudmise nt Gmail’i kasutajateni.

Tehnilisem selgitus: kirjes on viide kõigile kasutusel olevatele Zone e-posti ja veebiserveritele: kui saadate kirju Outlook’ist vms e-postikliendist, kasutades selleks SMTP protokolli; Zone veebimeilist või kui panete kirjad teele Zones majutatud veebiserveri abil.

Lisatav kirje ei välista täielikult teistest serveritest saadetava e-posti kohalejõudmist. Kui soovite turvalisust suurendada ja e-posti kohalejõudmist veelgi paremini tagada, siis tuleb sätteid veelgi rangemaks muuta.

Päris tehniline selgitus: lisame TXT-kirje mille sisuks on:

v=spf1 a mx include:_spf.zone.eu ~all

Antud juhul me kasutame vaikimisi leebemat ~all parameetrit, mis tähendab, et loetlemata serverid saavad tulemuseks SoftFail. Meie tungiv soovitus on kindlasti tuvastada ja lisada kõik legitiimsed e-posti saatmise kanalid (MailChimp, raamatupidamis- või kliendisuhtehaldustarkvara) ning minna üle parameetri -all peale.

Kas sellest saab loobuda?

Ei, sest puudub mistahes mõistlik põhjus. Küll aga võib soovi korral ise endale meelepärase SPF-kirje seada, selle olemasolul me midagi ei muuda. SPF-kirje aktiveerimiseks talitage nii:

  • logige https://www.zone.ee lehel oma kasutajakontoga Minu Zone’sse
  • menüüvalikus “Teenuste ülevaade” klõpsake asjakohase serveri järel lingile „Halda”
  • järgmisel lehel valige “E-post” ning selle alammenüüst valik “DKIM / SPF / DMARC”
  • avanenud valikutes on tõenäoliselt näha, et SPF kirje on juba aktiveeritud – soovi korral saab klõpsata “Muuda” ning kirje sisu kohandada

Täpsema selgituse ja leiab mullusest blogipostist “3 tehnoloogiat, mis aitavad kirjad kindlalt kohale toimetada”.

Kas midagi võib katki minna?

Ei. Meie lisatav kirje on piisavalt leebe, sest see loetleb lubatud serverid, aga ei keela mujalt saatmist.

Aga kui soovite oma e-posti veel turvalisemaks muuta ning mujalt e-posti saatmine täielikult välistada, kasutades SPF-kirjes -all parameetrit, siis võib juhtuda, et oma e-postitarkvaras mõne mitte-Zone SMTP serveri seadistanud kasutajate kirjad ei jõua kohale või satuvad spämmifiltrisse. Sama lugu võib juhtuda ka MailChimpist või mõnest teisest e-postiturunduslahendusest saadetud kirjadega, raamatupidamisprogrammist saadetavate arvetega jne.

Sellisel puhul on vaja SPF-kirjet vastavalt kohandada, lisades MailChimpi puhul kirjesse include:servers.mcsv.net, Outlook.com postiteenuse kasutamisel include:spf.protection.outlook.com või mõne konkreetse arvuti IP-aadressi. See ei ole keeruline, aga meie seda omal algatusel teha ei saa.

Kuidas kontrollida, et kõik toimib?

Selleks on üks mugav teenus, mis asub aadressil https://www.mail-tester.com , mis sai mullu ka eestikeelse tõlke. Saates teenuse poolt genereeritud test-aadressile oma postkastist kirja, saab mõne minuti pärast tulemust näha. Lähemalt saab sellest lugeda blogipostitusest “Kuidas kontrollida väljuva e-posti SPF+DKIM+DMARC toimimist?“.

Kas saaksid kiiresti ühe maksekorralduse teha?

Umbes sellise küsimusega hakkab pihta enamus CEO-kelmuse kirjavahetustest – ja viimastel päevadel on nende hulk järsult kasvanud. Suvi, firmades on osa inimesi puhkamas ning suhtlevad teistega äärmise vajaduse korral lühikeste, mobla-ekraanilt tipitud sõnumitega.

Kontorisse jäänutel on aga puhkajate asendamistega käed-jalad tööd täis ning olukord natuke uus ja ilma sisse harjunud käitumisreegliteta.

Näiteks võiks reedel, napilt enne lõunapausi, assistent Anne postkasti saabuda selline kiri tegevjuht Tiiult:

Ääremärkus: see ja järgmised kirjad on pärit ühe meie turvateadliku kliendi suhtlusest päris kelmidega. Nimed ja aadressid muudetud, fiktiivse firma nimi pärit ühest sotsmeedia-eksperimendist. Igaks juhuks ka tavakohane hoiatus “don’t try that at home work” – vaevalt, et neil sind maksma petta õnnestub… aga äkki võtab keegi trollimist südamesse ja leiab mõne turvaprobleemi mille ärakasutamise-katseks sa veel valmis pole.

Raamatupidaja on puhkusel, aga lõunalt naasnud Anne ülesandeks on kontor iga ilmaga toimivana hoida ja Tiiu saab peagi täpsustava küsimuse:

Viis minutit hiljem tuleb talt vastus:

Samuel on ilmselt rahamuul, kes on “töökuulutuse” peale olnud nõus oma kontole saabuvast rahast 90% sulas välja võtma ja Western Union’i kaudu edasi saatma.

Anne jääb hetkeks kirja uurima – aga peagi on postkastis järgmine kiri Tiiult, kellel ilmselt on maksega kiire:

Mistahes kelmuse puhul on oluline sundida ohver enne tegutsema ja alles siis mõtlema. “Ja-jaa, juba jooksen,” ohkab Anne – aga ta ei saa ju niisama maksta, sest raamatupidaja peaks selle kuidagi algdokumendiga kokku viima:

Ja saab vastuseks:

Nagu näha, sai Google Translate jälle natuke tööd teha ning kellegi nobedad näpud kopeerisid vastused Outlook’i.

Järgmine kord ei pruugi aga pettus nii kergesti märgatav olla, sest suhtluse kulg on üsnagi etteaimatav ja pole keeruline paarkümmend tüüpvastust inimtõlgilt tellida. Tegemist on ikkagi levinud kelmuseliigiga ja küllap leiab selle läbiviimiseks asjakohastest veebidest nii õpetusi kui ka tekstinäiteid. Brian Krebs’il on hea lugu veidi erinevast pettuseliigi ehk “vene kohtinguteenusest” toimimisest.

Jätame aga Tiiu ja Anne omavahel suhtlema ning vaatame…

Kuidas selline kelmus töötab?

Keerulisemate CEO-kelmuste puhul on tegemist ühe osapoole e-postikonto ülevõtmise ning päris arve võltsimisega. Sellist näidet kirjeldab Andris postituses Tõestisündinud lugu e-posti võltsimise tõttu kaotatud rahast ja ühte banaalselt lihtsat postikontosse sissemurdmist lahkas Ardi loos “Paha Panda” varastab postkaste.

Sedapuhku pole aga tegemist konkreetse firma vastu suunatud kuluka harpuunimisega ning Tiiu ja Anne kontaktid leiti pigem firma kodulehelt:

Veebifragment kelmidega kirjavahetust arendanud firma kodulehelt, pildid “Anna Malvara” loo juurest. Olgu lisatud, et mõlemad on 100% sünteetilised ehk 3D-renderdatud – Tiiu on pärit Renderpeople galeriist ja Anne leidsin üles ühest 3ds Max’i õpetusest.

Robotid skannivad tuhandete firmade veebe, korjates kokku e-posti-aadressid ning nendega seotud nimed ja rollid. Keegi hoolas inimene puhastab andmed ja müüb need kena Exceli-tabelina ahela järgmisele lülile maha – hinnajärk ilmselt sent per firma.

Ja see järgmine lüli saadab laiali spämmi, kus saatja real on kenasti From: Tiiu Kask <tiiu@malvara.ee>, kiri on saadetud mõne pahaaimamatu firma serverist (Return-Path: <vd@somehackedwebsite.com>) ja Outlook’i vms e-postikliendi puhul vastamisel kasutatav Reply-To aadress viitab kolmandale, samuti kelmi kontrolli all olevale serverile, kus kasutajanimest sõltumatult jõuavad kõik kirjad “operaatori” postkasti (Reply-To: "Tiiu Kask" <tiiu@vd-scammersdomain.org>):

Anne saab kogu suhtluse käigus kirju, kus saatjaks oleks justnagu õige Tiiu – aga tehes Reply läheb vastus vale-Tiiule.

Kuidas ennast selliste pettuste eest kaitsta?

Ma heameelega räägiks siinkohal vajadusest lisada oma domeenile SPF-kirje, mis võimaldab postiserveritel kontrollida, et malvara.ee kirju tohib saata ainult see üks ja õige server (loe: 3 tehnoloogiat, mis aitavad kirjad kindlalt kohale toimetada ja Kuidas kontrollida väljuva e-posti SPF+DKIM+DMARC toimimist?)… aga kuigi see on 100% mõistlik liigutus, peitub tegelik võti ikka meie endi peas – valmisolekus kelmust ära tunda ja kokkulepitud käitumisreeglites:

  • tea, et kiirusele rõhumine on sageli märk soovist sind tavapärasest erinevalt käituma panna ja e-posti on lihtne võltsida
  • vähimagi kahtluse korral kontrolli saatja tegelik soov üle, kasutades selleks alternatiivset sideviisi (loe: helista sulle teadaolevale, mitte kirjas toodud numbrile) või kasuta vastamise (Reply-To) asemel edastamist (Forward) sisestades teise osapoole aadress ise To-lahtrisse
  • sellise kelmuse ohvriks sattujad ei ole rumalad või hooletud – teine pool on suhtluse üles ehitanud lähtudes väga heast inimpsühholoogia tundmisest ning iga sammu läbi mõelnud, praktiseerides sellist tegevust “üheksast viieni” ehk põhitööna

Tänud kõigile, kes on võtnud vaevaks meile kirjanäidiseid saata ning eriti uudishimulikule “Annele”, kes tahtis teada mis toimub peeglitaguses maailmas 🙂

Kuidas kontrollida väljuva e-posti SPF+DKIM+DMARC toimimist?

E-posti saatja tuvastamine muutub spämmiga võitlemise tõttu üha olulisemaks ning tehniline lahendus on “paneme domeenile ranged SPF+DKIM+DMARC reeglid peale, välistame võõrastel meie nimel kirjade saatmise ja kõik on jälle hästi”.

Kuidas aga kontrollida, et lisatu tõesti toimib ning kõik saadetud kirjad kohale jõuavad?

Hästi lühidalt: kõik kolm on DNSi ehk domeeni nimeserverisse lisatavad kirjed. SPF on nimekiri serveritest, mis tohivad sinu domeeninimega e-posti saata. DKIM lisab väljuvale e-postile digitempli, mis võimaldab vastuvõtjal kontrollida saatja õigust domeeni nimel posti saata. DMARC kinnitab, et SPF ja/või DKIM on kasutusel ning võimaldab tellida raporteid väärkasutuse või reeglitele mitte vastavate kirjade kohta.

Üsna lihtne on mõni e-posti saatmise kanal ära unustada ja tekitada olukord, kus osa varem saadetud kirjadest spämmiks loetakse. Sageli on korraga kasutusel veebimeil, e-postiprogrammid arvutis ja mobiilseadmes – aga kirju võivad meie nimel saata veel ka:

  • automaatvastajad, kirjade edastajad, myyk@ või info@ postigrupid
  • e-posti-turunduse lahendus (nt Mailchimp, Mailbow, Sendsmaily)
  • majandustarkvara pilves (nt Erply, Directo) või kasutaja arvutis
  • kliendisuhtlusega seotud tarkvara (nt Pipedrive, Kayako, Zendesk, Intercom)
  • veebiserver (nt kontaktivorm või e-poe ostukinnitused)
  • tootmislahendused, kliimaseadme monitooring jne

Väga mugav lahendus testimiseks on mail-tester.com – lehe külastamisel kuvatakse sulle unikaalne aadress, saates sinna test-kirja saad tulemuseks hinde ja selgitused:

perfektne-skoor

Kui midagi 10/10 tulemusest puudu jääb, kuvatakse selgitust ja soovitusi.

Nii näeb näiteks välja tulemus, kui saatja tuvastamist võimaldavad kirjed on seadistamata ning skoor 7/10:

mailtester-soovitused

Aga proovime teistpidi, lisame domeenile soovitatud SPFi ja saadame kirja välja ühest mujal asuvast arvutist – näiteks on raamatupidaja “palgaprogramm” või Outlook seadistatud kasutama internetiühenduse pakkuja postiserverit, müügimehed saadavad pakkumisi välja läbi teenusepakkuja serveris töötava veebipõhise CRM-tarkvara vms:

bad-mail-go-home

Nagu näha, on olukord muutunud raamatupidaja või müügimehe jaoks hullemaks ja see on ka põhjus, miks me ei saa, taha ega tohi “jõuga” kõigile klientidele SPF’i lisada – küll aga tegime selle ise lisamise võimalikult lihtsaks ning aitasime mail-tester.com eestindada.

Tegevusplaan võiks olla selline:
  1. tee nimekiri kõigist lahendustest, mis võivad sinu domeeni nimel posti saata – milline SMTP-server on kasutajate arvutites-telefonides seadistatud, millist tarkvara nad veel kasutavad (küsi kõigil, ka laomehelt), kontaktivormid veebis, uudiskiri, e-pood jne
  2. kui tundub, et kõik kasutavad Zone servereid – siis võid SPF+DKIM+DMARC toed sisse lülitada ja asuda umbes veerand tunni pärast testima (selle aja peale peaksid kõik Zone nimeserverid andma sama tulemust)
  3. kui kasutad ka muid teenuseid, siis uuri nende käest järgi soovituslik SPF kirjele lisatav IP-aadress või “include:” ning kohanda SPF-kirjet vastavalt, DKIM lubamisel arvesta, et see puudutab ainult Zone serverite kaudu saadetavaid kirju
  4. TESTI – võta mail-tester.com pealt test-aadress ning saada sinna kiri oma Outlook’ist või Mail’ist. Kontrolli tulemust. Saada mobiilist (võid kasutada sama aadressi või genereerida uue – lehte värksendades näed alati viimati saadetud kirja tulemust). Tee oma e-poest proovitellimus registreerides kliendi test-eposti aadressiga. Lase laomehel saata üks saateleht, test-aadressile mõistagi. Jne.

Kui mõni saatja ei sobi, siis kohenda SPF-kirjet. Selle sisu formaat on väga lihtne, näiteks lisades MailChimpi serverid ja ühe konkreetse IP:

v=spf1 a mx include:_spf.zone.eu include:servers.mcsv.net ip4:xxx.xxx.xxx.xxx ~all
  • v=spf1 – SPF-kirje tunnus
  • a – saatmine lubatud kõigilt domeenis A-kirjet omavatelt IP-aadressidelt
  • mx – saatmine lubatud kõigist domeeni posti-serveritest
  • include:_spf.zone.eu – saatmine lubatud kõigist Zone Media serveritest
  • include:servers.mcsv.net – saatmine lubatud MailChimpi serveritest
  • ip4:xxx.xxx.xxx.xxx – saatmine lubatud IP-aadressilt xxx.xxx.xxx.xxx
  • ~all – kõik ülejäänud aadressid ei ole otseselt keelatud

Kui oled täiesti kindel, et kogu väljuv post kasutab ainult SPF-kirjes olevaid aadresse, võid ~all asemele panna ka -all – see ütleb üheselt, et nimekirjas mitte olevatest serveritest tulev post tuleks spämmiks lugeda. Enne SPF (ja DMARC) kirjete rangemaks keeramist tuleks aga ette võtta DMARC pakutav võimalus koguda raporteid domeeni nimel saadetava ja reeglitele mittevastava posti kohta ning siis liikuda edasi samm-haaval.

Zone serverite jaoks on SPF+DKIM+DMARC lisamine ja kohandamine lihtne, sisuliselt kolm klikki:

Olgu lisatud, et seadistused jõustuvad ca 15 minuti jooksul ning DKIM digitempel lisatakse veebimeilist ja Zone SMTP kaudu saadetavatele kirjadele, Pakett II ja III puhul ka veebiserverist saadetavatele. Teiste teenuste DKIM-kirjed saab lisada tavapärasel viisil ehk nimeserverite alt.

 

3 tehnoloogiat, mis aitavad kirjad kindlalt kohale toimetada

tookindel_epost_wHiljuti karmistas Google kogemata paariks tunniks oma e-posti teenuse GMail reegleid ja näitas maailmale, kuidas e-posti legitiimsuse kontrolli tõsiselt suhtutakse. Tulemuseks oli kuni 50% sisenevate kirjade blokeerimine väikettevõtetelt, kuna nende kirjade autentsuses ei olnud võimalik veenduda.

Väljakutse vastu võetud! Täna lihtsustasime kolme tehnoloogia kasutuselevõttu, mis aitavad e-posti juhuslikku rämpspostiks märkimist vältida.

Võitlus müra- ja rämpspostivabama interneti nimel nõuab aina enam ohvreid ausate infoedastajate hulgast. Mida tihedamaks muutuvad rämpsposti püüdmisel võrgusilmad, seda rohkem jääb nendesse kinni olulisi kirju, ausaid pakkumisi ja väärtuslikke uudiskirju. Võin vaid oletada, kui palju jääb tänu e-kirjade väärklassifitseerimisele ettevõtetel tulu saamata.

TL;DR – selleks, et e-kirjad prügikasti ei potsataks, tuleb vajutada kolme nuppu, video postituse lõpus. Kui nupud vajutatud, siis loe edasi: Kuidas kontrollida väljuva e-posti SPF+DKIM+DMARC toimimist?

SPF

SPF ehk Sender Policy Framework pakub domeeni omanikule võimalust spetsiaalselt vormindatud DNS kirje abil seadistada milliste serverite või andmesidevõrkude kaudu tema domeenist kirju välja saadetakse. Ühtlasi laseb see määrata, kuidas kirju käitlevad serverid peaks suhtuma tundmatust allikast pärit kirjadesse.

DKIM

Krüptograafilise kinnituse e-kirja pärituolu kohta annab tehnoloogia nimega DKIM ehk DomainKeys Identified Mail. DKIM põhineb avaliku võtme krüptol. Domeeni omaniku käsutuses on võtmepaar, mille avalik osa avaldatakse DNS kirjena ja privaatse osaga allkirjastatakse kõik domeenist väljuvad e-kirjad.

DKIM annab vastuvõtjale SPF-ist veelgi täielikuma kindluse kirja saatja seose kohta kasutatud domeeniga. Ühtlasi moodustatakse kirja mitmete komponentide alusel digitempel, mille kontrollimine aitab kirja saajal veenduda selles, et saadetud kirja pole teekonnal muudetud.

Mis seejuures kõige meeldivam, kirjade digitaalne signeerimine võib täielikult toimuda serveris. DKIM on seetõttu kasutaja seisukohast lihtsalt kasutusele võetav, kuna ei nõua tööjaamas lisatarkvara või erilist e-posti kliendi häälestust.

DMARC

DMARC ehk Domain-based Message Authentication Reporting and Conformance põimib SPF ja DKIM tehnoloogia ühtseks e-posti aadresside võltsimist välistavaks poliitikaks.

DMARC poliitikaga saab e-posti vastuvõtja serverile teada anda, et SPF ja/või DKIM kontrollide ebaõnnestumisel tuleb valida üks järgmistest tegevustest:

  • e-kiri panna karantiini (rämpsposti postkasti);
  • e-kiri tagasi lükata;
  • e-kiri läbi lasta, kuid saata selliste kirjade kohta domeeni haldajale raport.

SPF + DKIM + DMARC ja Zone.ee

Ülalnimetatud tehnoloogiate juurutamine on varasemalt nii meil kui ka mujal olnud eelkõige edasijõudnu tasandil tehniliste oskustega inimeste või organisatsioonide päralt.

Nüüd oleme Zones toonud nende kasutuselevõtu tavakasutaja käeulatuses. Valmistasime “Minu Zone” keskkonda loonud lihtsa kasutajaliidese, mis võimaldab Zone serveriteenuse kasutajal efektiivse e-posti turvapoliitika jõustada vaid kolme klikiga.

Eelpoolmainitud tehnoloogiate aktiveerimisel lisatakse kliendi DNS tsooni SPF kirjed, mis teatavad maailmale, et Zone võrgust tulnud kirju võib usaldada rohkem, kui mujalt saabunuid. Ühtlasi luuakse kliendile krüptograafiline DKIM võti, millega allkirjastatakse kõik Zone serveritest lähtuvad kirjad.

Kui nii SPF kui ka DKIM on aktiveeritud, siis jõustatakse ka DMARC poliitika, mis teatab maailmale, et kirjad mis ei vasta SPF-is ja DKIM-is kirjeldatule, tuleks panna karantiini, ehk rämpsposti hulka.

Kui SPF ja DKIM on sisse lülitatud, siis loe edasi: Kuidas kontrollida väljuva e-posti SPF+DKIM+DMARC toimimist?

Ainus mille eest klient peab hoolt kandma, on see et ta tulevikus saadakski reaalselt oma kirjad välja just Zone serverite kaudu.

Loodan väga, et loodud võimalus aitab meie klientidel oluliselt maandada legitiimsete kirjade rämpsuks klassifitseerimise riski ja aitab neil nii konkurentsivõimelisemaks ja edukamaks saada.

P.S. See launch oli meil plaanitud järgmisesse nädalasse, aga seoses teema aktuaalsusega (eilne Gmaili intsident), kulutasime hilisõhtuseid töötunde, et asi kiiremini üles saaks.

Mida teha, kui GMail nõuab SPF-i?

Täiendus kell 23: tundub, et tegemist on Google tehnilise apsuga – aga SPF lisamine, DKIM ja DMARC tuleks kasutusele võtta nii ehk naa. Sellest kõigest lähemalt – hommikul!

Täiendus hommikul kell 15: Done! … Kuidas oma domeenile kolme klikiga SPF, DKIM ja DMARC lisada?

Täna õhtul muutusid oluliselt rangemaks GMail’i aadressidele saadetavale e-postile esitatavad nõudmised – nii sotsiaalmeedias näha oleva kui Zone serverite logide põhjal on SPF või DKIM kasutamine nüüd de facto kohustuslik ja kirja saatjale tuleb ca 50% tõenäosusega selline vastus:

<[kasutajanimi]@gmail.com>: host
gmail-smtp-in.l.google.com[2a00:1450:4010:c04::1b] said: 550-5.7.1 This message does not have authentication information or fails to pass authentication checks. To best protect our users from spam, the message has been blocked. Please visit https://support.google.com/mail/answer/81126#authentication for more information. k123si4130632lfg.60 - gsmtp (in reply to end of DATA command)

Mida sellises olukorras teha? Lihtsaim lahendus on lisada domeenile SPF kirje.

SPF ehk Sender Policy Framework

SPF on nimekiri serveritest, millel on lubatud vastava domeeni nimel e-posti saata. Vastuvõttev server – näiteks gmail.com oma – kontrollib iga saabuva kirja puhul, kas saatja IP on lubatute hulgas. Seni sõltus sellest spämmifiltri läbimine, nüüd aga kirja kohaletoimetamine.

Oma olemuselt on SPF üks TXT ehk tekstikirje domeeni nimeserveris, selle sisu võiks Zone serverite kasutamise puhul olla selline:

v=spf1 a mx include:_spf.zone.eu ~all

Lahtiseletatuna lubab see saata:

  • a – kõigil domeenis A kirjet omavatel serveritel või arvutitel (nt veebiserver)
  • mx – kõigil domeeni postiserveritel
  • include:spf.zone.ee – kõigil Zone võrgus olevatel serveritel, sh kõik veebiserverid, väljuva e-posti ehk SMTP-serverid ja veebimail
  • ~all – ülejäänud serveritest saatmine ei ole otseselt keelatud (keelamiseks tuleks tilde asemel panna miinus ehk: -all)
Kuidas oma domeenile SPF kirje lisada?

Järgnev õpetus käib käsitsi kirjete lisamise kohta – Zone klientidel on nüüd kasutada mugav ühe-kliki-lahendus. Loe lähemalt:

3 tehnoloogiat, mis aitavad kirjad kindlalt kohale toimetada

Kuidas kontrollida väljuva e-posti SPF+DKIM+DMARC toimimist?

Kui domeeni nimeserverid on Zones on see lihtne: MinuZone esilehel leiad domeeni juurest nupu DNS serverid:

nimeserverid

Seejärel avanevas aknas tuleb valida Muuda DNS kirjeid ning minna TXT kirjeteni. Kui seal v=spf1 algusega kirjet veel pole, tuleks see luua kopeerides (Zone serverite kasutamise puhul) sisu ülalolevast näitest, seejärel klõpsata Muuda:

spg-eu

Umbes 10 minutiga peaks see kajastuma kõigis Zone nimeserverites ja võib proovida veebimailist kirja saatmist. Meie testide kohaselt on tulemuseks kenasti kohale toimetatud epost.