2018-06-14

Juni 2018 - SPF - Sender Policy Framework

SPF står för Sender Policy Framework. Det är ett sätt för mottagare (egentligen mottagande mailserver) av mail att avgöra om ett meddelande är legitimt eller inte.

När man skickar mail så kan avsändaren själv ange vilken avsändaradress som ska stå i mailet och då uppge vilken adress som helst. Vanliga användare får automatiskt sin egen adress, men en person som vill skicka ut spam eller virus uppger en för mottagaren trovärdig adress så att mottagaren luras till att lita på mailet.

För att komma åt det här problemet så använder man SPF. SPF använder DNS-records (namnservrar). Man specificerar där vilka servrar som får skicka meddeladen för en viss domän.

En mailserver som har SPF aktiverad slår upp eventuellt SPF-record i domänens namnserver och kontrollerar om mail får skickas från den mailserver som den skickades från. Om den är godkänd så händer ingenting. Om den inte är godkänd så markerar mailservern det som spam.

Det här är det SPF-record som används just nu på domänen nettools.se:
v=spf1 include:_spf.nettools.se ~all

Det betyder:
v=spf1 - Versionen på SPF
include:_spf.nettools.se - Inkludera SPF-records som är definerat i _spf.nettools.se
~all - softfail. Om avsändaren inte matchar servrarna så ska mail ändå tillåtas

Tittar man sen på _spf.nettools.se så hittar man:
v=spf1 ip4:46.21.103.22 ip4:46.21.104.117 ip6:2a02:750:9::36e ip6:2a02:750:5::16e ~all

Där står vilka IP-adresser som servrarna måste ha. Både IPv4 och IPv6 är angivna för att stödja båda protokollen.

Eftersom det står ~all så tillåts alla avsändare, men de markeras med softfail. Nästa steg när man sett att man har konfigurerat alla servrar korrekt är att ändra till -all. Det betyder att endast de listade servrarna tillåts.


System och tjänster som uppdaterats sedan förra uppdateringen:
  • s02
    • Resurserna allokerade till servern minskas mer och mer eftersom det är så få konton kvar. De sista bör flyttas innan semestern och då kan servern stängas.
  • s04
    • Majoriteten av alla konton är nu flyttade. Hör av er om ni upptäcker något som inte fungerar som det ska.