SPF kirje nüüd kõigil Zone postiservereid kasutavatel domeenidel

Kõigi muudatusest puudutatud domeenide omanikud said e-posti teel eelnevalt teavitatud, kirjed lisasime 23.08.2017 hommikul.

Tehniline kokkuvõte: vältimaks probleeme klientidele, kes võivad kasutada oma SMTP-servereid või e-posti saatvaid rakendusi, on lisatud kirje võimalikult leebe ehk v=spf1 a mx include:_spf.zone.eu ~all . Muudest allikatest saadetud kirjad saavad olekuks SoftFail. Soovitame kõigil see ise rangemaks muuta välistades võõraste serverite kasutamise täielikult, selleks peab kirje lõpus olema -all. Kõigile uutele virtuaalserveritele lisame automaatselt range ehk -all SPFi.

Miks me sellise muudatuse tegime?
Põhjuseid on kaks.

Esiteks on viimasel ajal lisaks võõralt aadressilt spämmi saatmisele sagenenud juhtumid, kus kurjategijad võltsivad e-kirjade päiseid ning sisu jätmaks vastuvõtjale mulje, et kiri on igati legitiimne ning saadetud teie ettevõtte töötaja poolt. Reeglina palutakse sellistes kirjades, mis jõuavad teie kolleegide postkastidesse, teha rahaülekanne mõnele välismaisele pangakontole. Kirjutasin ühest sellisest kelmusest Zone blogipostituses “Kas saaksid kiiresti ühe maksekorralduse teha?”.

NB! Juhul, kui olete ise sarnase sisuga kirju saanud, siis kindlasti suhtuge neisse äärmiselt kriitiliselt ning vajadusel täpsustage muid kanaleid pidi saatjalt üle, kas saabunud kiri on ikka tema saadetud!

Teiseks on postiteenused nagu Gmail hakanud järjest enam kontrollima, et e-kirjad saabuksid vastava domeeni omaniku poolt heaks kiidetud serveri vahendusel.

Milles muudatus seisneb?

Me lisame spetsiaalse SPF (Sender Policy Framework) kirje domeeni teenindavasse nimeserverisse. Tänu sellele veenduvad kirju vastuvõtvad e-posti serverid, et saabunud e-kiri on saadetud justnimelt selle domeeninimega seotud e-postkastist ning kiri toimetatakse süsteemi poolt edasi õige saajani. SPF-kirjete lisamine aitab vältida domeeni kasutajate nimel saadetavate võltskirjade ja spämmi jõudmise adressaatideni ning tagab kirjade jõudmise nt Gmail’i kasutajateni.

Tehnilisem selgitus: kirjes on viide kõigile kasutusel olevatele Zone e-posti ja veebiserveritele: kui saadate kirju Outlook’ist vms e-postikliendist, kasutades selleks SMTP protokolli; Zone veebimeilist või kui panete kirjad teele Zones majutatud veebiserveri abil.

Lisatav kirje ei välista täielikult teistest serveritest saadetava e-posti kohalejõudmist. Kui soovite turvalisust suurendada ja e-posti kohalejõudmist veelgi paremini tagada, siis tuleb sätteid veelgi rangemaks muuta.

Päris tehniline selgitus: lisame TXT-kirje mille sisuks on:

v=spf1 a mx include:_spf.zone.eu ~all

Antud juhul me kasutame vaikimisi leebemat ~all parameetrit, mis tähendab, et loetlemata serverid saavad tulemuseks SoftFail. Meie tungiv soovitus on kindlasti tuvastada ja lisada kõik legitiimsed e-posti saatmise kanalid (MailChimp, raamatupidamis- või kliendisuhtehaldustarkvara) ning minna üle parameetri -all peale.

Kas sellest saab loobuda?

Ei, sest puudub mistahes mõistlik põhjus. Küll aga võib soovi korral ise endale meelepärase SPF-kirje seada, selle olemasolul me midagi ei muuda. SPF-kirje aktiveerimiseks talitage nii:

• logige https://www.zone.ee lehel oma kasutajakontoga Minu Zone’sse
• menüüvalikus “Teenuste ülevaade” klõpsake asjakohase serveri järel lingile „Halda”
• järgmisel lehel valige “E-post” ning selle alammenüüst valik “DKIM / SPF / DMARC”
• avanenud valikutes on tõenäoliselt näha, et SPF kirje on juba aktiveeritud – soovi korral saab klõpsata “Muuda” ning kirje sisu kohandada

Täpsema selgituse ja leiab mullusest blogipostist “3 tehnoloogiat, mis aitavad kirjad kindlalt kohale toimetada”.

Kas midagi võib katki minna?

Ei. Meie lisatav kirje on piisavalt leebe, sest see loetleb lubatud serverid, aga ei keela mujalt saatmist.

Aga kui soovite oma e-posti veel turvalisemaks muuta ning mujalt e-posti saatmine täielikult välistada, kasutades SPF-kirjes -all parameetrit, siis võib juhtuda, et oma e-postitarkvaras mõne mitte-Zone SMTP serveri seadistanud kasutajate kirjad ei jõua kohale või satuvad spämmifiltrisse. Sama lugu võib juhtuda ka MailChimpist või mõnest teisest e-postiturunduslahendusest saadetud kirjadega, raamatupidamisprogrammist saadetavate arvetega jne.

Sellisel puhul on vaja SPF-kirjet vastavalt kohandada, lisades MailChimpi puhul kirjesse include:servers.mcsv.net, Outlook.com postiteenuse kasutamisel include:spf.protection.outlook.com või mõne konkreetse arvuti IP-aadressi. See ei ole keeruline, aga meie seda omal algatusel teha ei saa.

Kuidas kontrollida, et kõik toimib?

Selleks on üks mugav teenus, mis asub aadressil https://www.mail-tester.com , mis sai mullu ka eestikeelse tõlke. Saates teenuse poolt genereeritud test-aadressile oma postkastist kirja, saab mõne minuti pärast tulemust näha. Lähemalt saab sellest lugeda blogipostitusest “Kuidas kontrollida väljuva e-posti SPF+DKIM+DMARC toimimist?“.