SPF ja Gmail. Jälle!

Ehk miks Gmail mu kirjad tagasi lükkab?

Alates 7. juunist on Gmail hakanud tagasi lükkama kõiki e-kirju, mis saabuvad domeenidelt, millel on puudu SPF kirje. Sellest probleemist annab Google märku järgmise veateatega:

550-5.7.1 [217.146.64.162 12] Our system has detected that this message is likely unsolicited mail. 
To reduce the amount of spam sent to Gmail, this message has been blocked. 
Please visit https://support.google.com/mail/?p=UnsolicitedMessageError for more information.

Google “väike” filtrimuudatus joonistub välja ka meie poole saabuvate raportite kasvus:

Kui see teema kõlab tuttavalt, siis ilmselt sinul sellega probleeme ei tohiks esineda. Nimelt kirjutasime juba 2016 aastal sellest, kuidas Gmail hakkas justkui üleöö kõikidelt kirjadelt nõudma SPF kirje olemasolu. Tookord nad küll nimetasid seda tehniliseks veaks, kuid paistab, et seekord pole tegu enam veaga, vaid teadliku otsusega.

SPF ehk Sender Policy Framework

SPF on nimekiri serveritest, millel on lubatud vastava domeeni nimel e-posti saata. Vastuvõttev server – näiteks gmail.com oma, kontrollib iga saabuva kirja puhul, kas saatja IP-aadress on lubatud nimekirjas. Varasemalt on see vaid osa kirja kontrollist ja see mõjutas seda, kas su kiri jõuab rämpsposti või mitte. Nüüd määrab aga ainuüksi SPF kirje olemasolu seda, kas kiri üleüldse kohale toimetatakse.

Zone on lisanud SPF kirje automaatselt kõikidele uutele veebilehemajutuse pakettidele juba alates 2016. aastast. Küll tuleb ette olukordi, kus seda automaatselt ei lisata või pole see lihtsalt võimalik – näiteks juhtudel, kui DNS tsoon asub Zonest väljaspool.

Oma olemuselt on SPF täiendav TXT ehk tekstikirje domeeni nimeserveris. Selle sisu võiks Zone serverite kasutamise puhul olla selline:

v=spf1 a mx include:_spf.zone.eu ~all

Lahtiseletatuna lubab see saata kirju:

  • a – kõigil domeenis A-kirjet omavatel serveritel või arvutitel (nt veebiserver
  • mx – kõigil domeeni postiserveritel
  • include:spf.zone.ee – kõigil Zone võrgus olevatel serveritel (sh kõik veebiserverid, väljuva e-posti ehk SMTP-serverid ja veebimail)
  • ~all – ülejäänud serveritest saatmine ei ole otseselt keelatud (keelamiseks tuleks tilde asemel panna miinus ehk: -all)

Kuidas oma domeenile SPF kirje lisada?

Detalise SPF kirje koostamise ja lisamise juhendi jaoks pöördu meie abikeskkonda . Lühidalt kokkuvõetuna oleks minimaalne Zone teenuste kasutamiseks vajalik SPF-kirje järgmine:

v=spf1 a mx include:_spf.zone.eu ~all

Zones virtuaalserverit ja domeeninime omades piisab sellest, kui lähed halduspaneelis menüüsse E-post -> DKIM / SPF / DMARC ning klõpsad SPF-kirje juures “Aktiveeri“.

Kui sinu domeeni DNS tsoon asub Zonest eemal mõne teise teenusepakkuja juures, siis tuleks TXT kirje lasta lisada selle teenusepakkuja juures.

NB! Pea meeles, et kui saadad kirju välja mujalt, kui ainult Zone teenuste vahendusel, siis tuleks SPF kirjet vastavalt kohandada!

NB! Ära unusta lisada SPF kirje ka oma aliasdomeenidele!

Kui kasutad aliasdomeeni kirjade väljasaatmiseks kas veebiserverist või SMTP serveri abil, siis peab ka sellel olema nõuetekohane SPF kirje.

SPF-kirje hakkab umbes 10 minuti jooksul tööle. Kui jääd hätta SPF kirje seadistamise või koostamisega, siis võta ühendust meie klienditoega!

Ärme piirdu ainult SPF’ga!

Jällegi saame linkida juba 2016. aastal ilmunud blogipostitust , milles räägime täpsemalt ka kahest teisest tehnoloogiast, mille abil saad oma e-kirju veelgi autentsemaks teha.

DKIM

Krüptograafilise kinnituse e-kirja pärituolu kohta annab tehnoloogia nimega DKIM ehk DomainKeys Identified Mail. DKIM põhineb avaliku võtme krüptol. Domeeniomaniku käsutuses on võtmepaar, mille avalik osa avaldatakse DNS kirjena ja privaatse osaga allkirjastatakse kõik domeenist väljuvad e-kirjad.

DKIM annab vastuvõtjale SPF’ist veelgi täielikuma kindluse kirja saatja seose kohta kasutatud domeeniga. Ühtlasi moodustatakse kirja mitmete komponentide alusel digitempel, mille kontrollimine aitab kirja saajal veenduda selles, et saadetud kirja pole teekonnal muudetud.

Mis seejuures kõige meeldivam: kirjade digitaalne signeerimine võib täielikult toimuda serveris. DKIM on seetõttu kasutaja seisukohast lihtsalt kasutusele võetav, sest ei nõua tööjaamas lisatarkvara või erilist e-posti kliendi häälestust.

DKIM kirje paigalduse juhendi leiad meie help-keskkonnast.

DMARC

DMARC ehk Domain-based Message Authentication Reporting and Conformance põimib SPF ja DKIM tehnoloogia ühtseks e-posti aadresside võltsimist välistavaks poliitikaks.

DMARC poliitikaga saab e-posti vastuvõtja serverile teada anda, et SPF ja/või DKIM kontrollide ebaõnnestumisel tuleb valida üks järgmistest tegevustest:

  • e-kiri panna karantiini (rämpsposti postkasti);
  • e-kiri tagasi lükata;
  • e-kiri läbi lasta, kuid saata selliste kirjade kohta domeeni haldajale raport
  • DMARC kirje seadistuse ja paigalduse kohta leiad juhendi meie helpist.