SPF ja Gmail. Jälle!

Ehk miks Gmail mu kirjad tagasi lükkab?

Alates 7. juunist on Gmail hakanud tagasi lükkama kõiki e-kirju, mis saabuvad domeenidelt, millel on puudu SPF kirje. Sellest probleemist annab Google märku järgmise veateatega:

550-5.7.1 [217.146.64.162 12] Our system has detected that this message is likely unsolicited mail. 
To reduce the amount of spam sent to Gmail, this message has been blocked. 
Please visit https://support.google.com/mail/?p=UnsolicitedMessageError for more information.

Google “väike” filtrimuudatus joonistub välja ka meie poole saabuvate raportite kasvus:

Kui see teema kõlab tuttavalt, siis ilmselt sinul sellega probleeme ei tohiks esineda. Nimelt kirjutasime juba 2016 aastal sellest, kuidas Gmail hakkas justkui üleöö kõikidelt kirjadelt nõudma SPF kirje olemasolu. Tookord nad küll nimetasid seda tehniliseks veaks, kuid paistab, et seekord pole tegu enam veaga, vaid teadliku otsusega.

SPF ehk Sender Policy Framework

SPF on nimekiri serveritest, millel on lubatud vastava domeeni nimel e-posti saata. Vastuvõttev server – näiteks gmail.com oma, kontrollib iga saabuva kirja puhul, kas saatja IP-aadress on lubatud nimekirjas. Varasemalt on see vaid osa kirja kontrollist ja see mõjutas seda, kas su kiri jõuab rämpsposti või mitte. Nüüd määrab aga ainuüksi SPF kirje olemasolu seda, kas kiri üleüldse kohale toimetatakse.

Zone on lisanud SPF kirje automaatselt kõikidele uutele veebilehemajutuse pakettidele juba alates 2016. aastast. Küll tuleb ette olukordi, kus seda automaatselt ei lisata või pole see lihtsalt võimalik – näiteks juhtudel, kui DNS tsoon asub Zonest väljaspool.

Oma olemuselt on SPF täiendav TXT ehk tekstikirje domeeni nimeserveris. Selle sisu võiks Zone serverite kasutamise puhul olla selline:

v=spf1 a mx include:_spf.zone.eu ~all

Lahtiseletatuna lubab see saata kirju:

  • a – kõigil domeenis A-kirjet omavatel serveritel või arvutitel (nt veebiserver
  • mx – kõigil domeeni postiserveritel
  • include:spf.zone.ee – kõigil Zone võrgus olevatel serveritel (sh kõik veebiserverid, väljuva e-posti ehk SMTP-serverid ja veebimail)
  • ~all – ülejäänud serveritest saatmine ei ole otseselt keelatud (keelamiseks tuleks tilde asemel panna miinus ehk: -all)

Kuidas oma domeenile SPF kirje lisada?

Detalise SPF kirje koostamise ja lisamise juhendi jaoks pöördu meie abikeskkonda . Lühidalt kokkuvõetuna oleks minimaalne Zone teenuste kasutamiseks vajalik SPF-kirje järgmine:

v=spf1 a mx include:_spf.zone.eu ~all

Zones virtuaalserverit ja domeeninime omades piisab sellest, kui lähed halduspaneelis menüüsse E-post -> DKIM / SPF / DMARC ning klõpsad SPF-kirje juures “Aktiveeri“.

Kui sinu domeeni DNS tsoon asub Zonest eemal mõne teise teenusepakkuja juures, siis tuleks TXT kirje lasta lisada selle teenusepakkuja juures.

NB! Pea meeles, et kui saadad kirju välja mujalt, kui ainult Zone teenuste vahendusel, siis tuleks SPF kirjet vastavalt kohandada!

NB! Ära unusta lisada SPF kirje ka oma aliasdomeenidele!

Kui kasutad aliasdomeeni kirjade väljasaatmiseks kas veebiserverist või SMTP serveri abil, siis peab ka sellel olema nõuetekohane SPF kirje.

SPF-kirje hakkab umbes 10 minuti jooksul tööle. Kui jääd hätta SPF kirje seadistamise või koostamisega, siis võta ühendust meie klienditoega!

Ärme piirdu ainult SPF’ga!

Jällegi saame linkida juba 2016. aastal ilmunud blogipostitust , milles räägime täpsemalt ka kahest teisest tehnoloogiast, mille abil saad oma e-kirju veelgi autentsemaks teha.

DKIM

Krüptograafilise kinnituse e-kirja pärituolu kohta annab tehnoloogia nimega DKIM ehk DomainKeys Identified Mail. DKIM põhineb avaliku võtme krüptol. Domeeniomaniku käsutuses on võtmepaar, mille avalik osa avaldatakse DNS kirjena ja privaatse osaga allkirjastatakse kõik domeenist väljuvad e-kirjad.

DKIM annab vastuvõtjale SPF’ist veelgi täielikuma kindluse kirja saatja seose kohta kasutatud domeeniga. Ühtlasi moodustatakse kirja mitmete komponentide alusel digitempel, mille kontrollimine aitab kirja saajal veenduda selles, et saadetud kirja pole teekonnal muudetud.

Mis seejuures kõige meeldivam: kirjade digitaalne signeerimine võib täielikult toimuda serveris. DKIM on seetõttu kasutaja seisukohast lihtsalt kasutusele võetav, sest ei nõua tööjaamas lisatarkvara või erilist e-posti kliendi häälestust.

DKIM kirje paigalduse juhendi leiad meie help-keskkonnast.

DMARC

DMARC ehk Domain-based Message Authentication Reporting and Conformance põimib SPF ja DKIM tehnoloogia ühtseks e-posti aadresside võltsimist välistavaks poliitikaks.

DMARC poliitikaga saab e-posti vastuvõtja serverile teada anda, et SPF ja/või DKIM kontrollide ebaõnnestumisel tuleb valida üks järgmistest tegevustest:

  • e-kiri panna karantiini (rämpsposti postkasti);
  • e-kiri tagasi lükata;
  • e-kiri läbi lasta, kuid saata selliste kirjade kohta domeeni haldajale raport
  • DMARC kirje seadistuse ja paigalduse kohta leiad juhendi meie helpist.

SPF kirje nüüd kõigil Zone postiservereid kasutavatel domeenidel

Tegime teoks ühe ammuse plaani ja lisasime kõigi Zone postiservereid kasutavate domeenide nimeserveritesse SPF-kirje, mis aitab e-postiteenustel kirju paremini spämmist eristada ja vähendab võimalust, et keegi kolmas saab domeeni aadresse kasutavaid kirju saata.

Kõigi muudatusest puudutatud domeenide omanikud said e-posti teel eelnevalt teavitatud, kirjed lisasime 23.08.2017 hommikul.

Tehniline kokkuvõte: vältimaks probleeme klientidele, kes võivad kasutada oma SMTP-servereid või e-posti saatvaid rakendusi, on lisatud kirje võimalikult leebe ehk v=spf1 a mx include:_spf.zone.eu ~all . Muudest allikatest saadetud kirjad saavad olekuks SoftFail. Soovitame kõigil see ise rangemaks muuta välistades võõraste serverite kasutamise täielikult, selleks peab kirje lõpus olema -all. Kõigile uutele virtuaalserveritele lisame automaatselt range ehk -all SPFi.

Miks me sellise muudatuse tegime?
Põhjuseid on kaks.

Esiteks on viimasel ajal lisaks võõralt aadressilt spämmi saatmisele sagenenud juhtumid, kus kurjategijad võltsivad e-kirjade päiseid ning sisu jätmaks vastuvõtjale mulje, et kiri on igati legitiimne ning saadetud teie ettevõtte töötaja poolt. Reeglina palutakse sellistes kirjades, mis jõuavad teie kolleegide postkastidesse, teha rahaülekanne mõnele välismaisele pangakontole. Kirjutasin ühest sellisest kelmusest Zone blogipostituses “Kas saaksid kiiresti ühe maksekorralduse teha?”.

NB! Juhul, kui olete ise sarnase sisuga kirju saanud, siis kindlasti suhtuge neisse äärmiselt kriitiliselt ning vajadusel täpsustage muid kanaleid pidi saatjalt üle, kas saabunud kiri on ikka tema saadetud!

Teiseks on postiteenused nagu Gmail hakanud järjest enam kontrollima, et e-kirjad saabuksid vastava domeeni omaniku poolt heaks kiidetud serveri vahendusel.

Milles muudatus seisneb?

Me lisame spetsiaalse SPF (Sender Policy Framework) kirje domeeni teenindavasse nimeserverisse. Tänu sellele veenduvad kirju vastuvõtvad e-posti serverid, et saabunud e-kiri on saadetud justnimelt selle domeeninimega seotud e-postkastist ning kiri toimetatakse süsteemi poolt edasi õige saajani. SPF-kirjete lisamine aitab vältida domeeni kasutajate nimel saadetavate võltskirjade ja spämmi jõudmise adressaatideni ning tagab kirjade jõudmise nt Gmail’i kasutajateni.

Tehnilisem selgitus: kirjes on viide kõigile kasutusel olevatele Zone e-posti ja veebiserveritele: kui saadate kirju Outlook’ist vms e-postikliendist, kasutades selleks SMTP protokolli; Zone veebimeilist või kui panete kirjad teele Zones majutatud veebiserveri abil.

Lisatav kirje ei välista täielikult teistest serveritest saadetava e-posti kohalejõudmist. Kui soovite turvalisust suurendada ja e-posti kohalejõudmist veelgi paremini tagada, siis tuleb sätteid veelgi rangemaks muuta.

Päris tehniline selgitus: lisame TXT-kirje mille sisuks on:

v=spf1 a mx include:_spf.zone.eu ~all

Antud juhul me kasutame vaikimisi leebemat ~all parameetrit, mis tähendab, et loetlemata serverid saavad tulemuseks SoftFail. Meie tungiv soovitus on kindlasti tuvastada ja lisada kõik legitiimsed e-posti saatmise kanalid (MailChimp, raamatupidamis- või kliendisuhtehaldustarkvara) ning minna üle parameetri -all peale.

Kas sellest saab loobuda?

Ei, sest puudub mistahes mõistlik põhjus. Küll aga võib soovi korral ise endale meelepärase SPF-kirje seada, selle olemasolul me midagi ei muuda. SPF-kirje aktiveerimiseks talitage nii:

  • logige https://www.zone.ee lehel oma kasutajakontoga Minu Zone’sse
  • menüüvalikus “Teenuste ülevaade” klõpsake asjakohase serveri järel lingile „Halda”
  • järgmisel lehel valige “E-post” ning selle alammenüüst valik “DKIM / SPF / DMARC”
  • avanenud valikutes on tõenäoliselt näha, et SPF kirje on juba aktiveeritud – soovi korral saab klõpsata “Muuda” ning kirje sisu kohandada

Täpsema selgituse ja leiab mullusest blogipostist “3 tehnoloogiat, mis aitavad kirjad kindlalt kohale toimetada”.

Kas midagi võib katki minna?

Ei. Meie lisatav kirje on piisavalt leebe, sest see loetleb lubatud serverid, aga ei keela mujalt saatmist.

Aga kui soovite oma e-posti veel turvalisemaks muuta ning mujalt e-posti saatmine täielikult välistada, kasutades SPF-kirjes -all parameetrit, siis võib juhtuda, et oma e-postitarkvaras mõne mitte-Zone SMTP serveri seadistanud kasutajate kirjad ei jõua kohale või satuvad spämmifiltrisse. Sama lugu võib juhtuda ka MailChimpist või mõnest teisest e-postiturunduslahendusest saadetud kirjadega, raamatupidamisprogrammist saadetavate arvetega jne.

Sellisel puhul on vaja SPF-kirjet vastavalt kohandada, lisades MailChimpi puhul kirjesse include:servers.mcsv.net, Outlook.com postiteenuse kasutamisel include:spf.protection.outlook.com või mõne konkreetse arvuti IP-aadressi. See ei ole keeruline, aga meie seda omal algatusel teha ei saa.

Kuidas kontrollida, et kõik toimib?

Selleks on üks mugav teenus, mis asub aadressil https://www.mail-tester.com , mis sai mullu ka eestikeelse tõlke. Saates teenuse poolt genereeritud test-aadressile oma postkastist kirja, saab mõne minuti pärast tulemust näha. Lähemalt saab sellest lugeda blogipostitusest “Kuidas kontrollida väljuva e-posti SPF+DKIM+DMARC toimimist?“.

E-kirjade suunamine serverite vahel võib olla üllatavalt keeruline. Seletame, kuidas seda viisakalt teha.

Zone.ee IT arhitekt Andris Reinman seletab lahti üllatavad kitsaskohad, mis võivad tekkida sellise lihtsa toimingu juures nagu e-kirjade suunamine ühest serverist teise. Milline on taust, mida suunamisel arvestada ja kuidas meie oma suunamisprobleemid lahendasime.

 

Hiljuti tekkis meil probleem e-kirjade ümbersuunamisega, kus klient on teinud endale ümbersuunamisaadressi, näiteks minu-pere@minudomeen.ee ja iga sellele aadressile saadetud kiri edastatakse siis kliendi poolt määratud sihtkoha aadressidele. Aga enne, kui vaadata mis probleem see täpselt oli ja mis oli lahenduseks, vaataksime kõigepealt üldse kirjade liikumise ja ümbersuunamise tausta.

Loe edasi “E-kirjade suunamine serverite vahel võib olla üllatavalt keeruline. Seletame, kuidas seda viisakalt teha.”

Ära mine õnge – petukirjad õngitsevad Zone e-posti kasutajatunnuseid

Täna on hakanud levima õngitsemis-kirjad, mille “postkasti suurendamise” link viib Zone veebimeili sisselogimise lehega sarnasele lehele – sinna kasutajatunnuse ja parooli sisestamise järel lähevad need mõistagi joonelt kurikaelte kasutusse.

Käitumisjuhised nagu ikka:

  • ära logi mistahes teenusesse sisse e-postile tulnud lingi kaudu – turvalisem on teadaolev aadress ise brauserisse tippida, nt www.zone.ee või webmail.zone.ee
  • ära kliki kahtlastes kirjades olevatel linkidel ja ära ava saadetud faile, kui pole saatjas 100% kindel – arvuti nakatamiseks piisab ka “korraks vaatamisest”
  • kui sulle tundub, et oled oma kasutajatunnused kahtlasse kohta sisestanud – siis muuda koheselt parool; kõhkluse korral võid alati võtta ühendust ka meie klienditoega info@zone.ee.

Kiri ise näeb välja näiteks selline:

Dear Valued Subscribers

The size limit of 20 MB for your mailbox has been exceeded. Incoming mail is currently being rejected. You are required to upgrade your mailbox size to 2GB within 24 hours or your account will be suspended.

Upgrade Mailbox

Note that mailbox upgrade is free.

Sincerely yours,
Customer Service

Klikkides kirjas oleval lingil satud lehele, mis on 1:1 kopeeritud meie veebimeili esilehelt – aga nagu näha, on samas serveris ka teiste teenusepakkujate lehtede koopiad:

Sisestades lehele kasutajatunnused suunatakse sind edasi päris-Zone lehele, aga mõistagi ilma mingi sisselogimiseta.

Täiendatud: “tehnikahuvilistele noortele” on vahest hea teada, et õngitsemislehed on laetud üles ühte Magento veebipoodi, milles on kasutusel toote-info importimise laiendus nimega Magmi – paraku võimaldavad selle vanemad versioonid pluginatena üles laadida mistahes koodi (CVE-2014-8770), probleem on kõrvaldatud versioonis 0.7.20 (2014.a oktoobris).

Huvitava seigana võib esile tuua aga seda, et õngitsejate poolt üle võetud veebipood asub Austraalias ehk ajatsoonis, kus probleemi avastamise ajal on sügav talve-öö.

Mida selle teadmisega pihta hakata?

  • kui sul on veebileht, siis vastutad ka selle uuendamise ja turvamise eest – sageli on mõistlik selleks sõlmida veebilehe tegijaga pikemaajaline hooldusleping ning jälgida selle täitmist
  • kui oled veebilehe tegija, siis anna oma töö kliendile üle piinlikult puhtaks tehtuna – ei ühtki üleliigset pluginat, ajutist test-versiooni või vana veebi juppe vedelemas; ligipääsu-õigused minimaalsele tööd võimaldavale tasemele, paroolid tugevaks

Kuidas kontrollida väljuva e-posti SPF+DKIM+DMARC toimimist?

E-posti saatja tuvastamine muutub spämmiga võitlemise tõttu üha olulisemaks ning tehniline lahendus on “paneme domeenile ranged SPF+DKIM+DMARC reeglid peale, välistame võõrastel meie nimel kirjade saatmise ja kõik on jälle hästi”.

Kuidas aga kontrollida, et lisatu tõesti toimib ning kõik saadetud kirjad kohale jõuavad?

Hästi lühidalt: kõik kolm on DNSi ehk domeeni nimeserverisse lisatavad kirjed. SPF on nimekiri serveritest, mis tohivad sinu domeeninimega e-posti saata. DKIM lisab väljuvale e-postile digitempli, mis võimaldab vastuvõtjal kontrollida saatja õigust domeeni nimel posti saata. DMARC kinnitab, et SPF ja/või DKIM on kasutusel ning võimaldab tellida raporteid väärkasutuse või reeglitele mitte vastavate kirjade kohta.

Üsna lihtne on mõni e-posti saatmise kanal ära unustada ja tekitada olukord, kus osa varem saadetud kirjadest spämmiks loetakse. Sageli on korraga kasutusel veebimeil, e-postiprogrammid arvutis ja mobiilseadmes – aga kirju võivad meie nimel saata veel ka:

  • automaatvastajad, kirjade edastajad, myyk@ või info@ postigrupid
  • e-posti-turunduse lahendus (nt Mailchimp, Mailbow, Sendsmaily)
  • majandustarkvara pilves (nt Erply, Directo) või kasutaja arvutis
  • kliendisuhtlusega seotud tarkvara (nt Pipedrive, Kayako, Zendesk, Intercom)
  • veebiserver (nt kontaktivorm või e-poe ostukinnitused)
  • tootmislahendused, kliimaseadme monitooring jne

Väga mugav lahendus testimiseks on mail-tester.com – lehe külastamisel kuvatakse sulle unikaalne aadress, saates sinna test-kirja saad tulemuseks hinde ja selgitused:

perfektne-skoor

Kui midagi 10/10 tulemusest puudu jääb, kuvatakse selgitust ja soovitusi.

Nii näeb näiteks välja tulemus, kui saatja tuvastamist võimaldavad kirjed on seadistamata ning skoor 7/10:

mailtester-soovitused

Aga proovime teistpidi, lisame domeenile soovitatud SPFi ja saadame kirja välja ühest mujal asuvast arvutist – näiteks on raamatupidaja “palgaprogramm” või Outlook seadistatud kasutama internetiühenduse pakkuja postiserverit, müügimehed saadavad pakkumisi välja läbi teenusepakkuja serveris töötava veebipõhise CRM-tarkvara vms:

bad-mail-go-home

Nagu näha, on olukord muutunud raamatupidaja või müügimehe jaoks hullemaks ja see on ka põhjus, miks me ei saa, taha ega tohi “jõuga” kõigile klientidele SPF’i lisada – küll aga tegime selle ise lisamise võimalikult lihtsaks ning aitasime mail-tester.com eestindada.

Tegevusplaan võiks olla selline:
  1. tee nimekiri kõigist lahendustest, mis võivad sinu domeeni nimel posti saata – milline SMTP-server on kasutajate arvutites-telefonides seadistatud, millist tarkvara nad veel kasutavad (küsi kõigil, ka laomehelt), kontaktivormid veebis, uudiskiri, e-pood jne
  2. kui tundub, et kõik kasutavad Zone servereid – siis võid SPF+DKIM+DMARC toed sisse lülitada ja asuda umbes veerand tunni pärast testima (selle aja peale peaksid kõik Zone nimeserverid andma sama tulemust)
  3. kui kasutad ka muid teenuseid, siis uuri nende käest järgi soovituslik SPF kirjele lisatav IP-aadress või “include:” ning kohanda SPF-kirjet vastavalt, DKIM lubamisel arvesta, et see puudutab ainult Zone serverite kaudu saadetavaid kirju
  4. TESTI – võta mail-tester.com pealt test-aadress ning saada sinna kiri oma Outlook’ist või Mail’ist. Kontrolli tulemust. Saada mobiilist (võid kasutada sama aadressi või genereerida uue – lehte värksendades näed alati viimati saadetud kirja tulemust). Tee oma e-poest proovitellimus registreerides kliendi test-eposti aadressiga. Lase laomehel saata üks saateleht, test-aadressile mõistagi. Jne.

Kui mõni saatja ei sobi, siis kohenda SPF-kirjet. Selle sisu formaat on väga lihtne, näiteks lisades MailChimpi serverid ja ühe konkreetse IP:

v=spf1 a mx include:_spf.zone.eu include:servers.mcsv.net ip4:xxx.xxx.xxx.xxx ~all
  • v=spf1 – SPF-kirje tunnus
  • a – saatmine lubatud kõigilt domeenis A-kirjet omavatelt IP-aadressidelt
  • mx – saatmine lubatud kõigist domeeni posti-serveritest
  • include:_spf.zone.eu – saatmine lubatud kõigist Zone Media serveritest
  • include:servers.mcsv.net – saatmine lubatud MailChimpi serveritest
  • ip4:xxx.xxx.xxx.xxx – saatmine lubatud IP-aadressilt xxx.xxx.xxx.xxx
  • ~all – kõik ülejäänud aadressid ei ole otseselt keelatud

Kui oled täiesti kindel, et kogu väljuv post kasutab ainult SPF-kirjes olevaid aadresse, võid ~all asemele panna ka -all – see ütleb üheselt, et nimekirjas mitte olevatest serveritest tulev post tuleks spämmiks lugeda. Enne SPF (ja DMARC) kirjete rangemaks keeramist tuleks aga ette võtta DMARC pakutav võimalus koguda raporteid domeeni nimel saadetava ja reeglitele mittevastava posti kohta ning siis liikuda edasi samm-haaval.

Zone serverite jaoks on SPF+DKIM+DMARC lisamine ja kohandamine lihtne, sisuliselt kolm klikki:

Olgu lisatud, et seadistused jõustuvad ca 15 minuti jooksul ning DKIM digitempel lisatakse veebimeilist ja Zone SMTP kaudu saadetavatele kirjadele, Pakett II ja III puhul ka veebiserverist saadetavatele. Teiste teenuste DKIM-kirjed saab lisada tavapärasel viisil ehk nimeserverite alt.