Přesměrování zpráv a SPF

 

Uživatelé často vlastní více emailových adres a pokud se chtějí vyhnout kontrolování každé příslušné schránky, používají přesměrování přijatých zpráv do vybrané schránky. Toto řešení zjednodušuje práci s emaily, má však i svá rizika. Jedním z nich je to, že odesílatel zprávy může mít pro svoji doménu nastavený tzv. SPF záznam.

Pokud máte nastavené přesměrování zpráv (ať už ze schránek, nebo naopak na schránky hostované u GRhostingu) a zprávy od určitého odesílatele se doručí pouze do první schránky, ze které se přesměrovává (do cílové schránky přesměrování zpráva nedorazí), může se jednat o problém související se zmíněným SPF záznamem.

Odesílateli se pak může vrátit chybové hlášení s náledující chybou:
 

Remote host said: 550 5.7.1 Sender Policy Framework of `***' domain denied your IP address.


Systém Sender Policy Framework (SPF) byl navržen za účelem předcházení podvržení adres ve spamech. Proto ho často využívají banky, finační instituce aj.
V praxi to vypadá tak, že majitel domény nastaví pro doménu tzv. SPF záznam (TXT záznam), který obsahuje informaci o tom, ze kterých IP mohou být posílány emaily dané domény, (např. zprávy z domény cnb.cz mohou být odesílány ze všech serverů s IP 193.179.126.192 až 193.179.126.223, 193.85.3.245, 193.85.3.246, 195.70.130.226, 195.70.130.227):

cnb.cz. IN TXT "v=spf1 mx ip4:193.179.126.192/27 ip4:193.85.3.245 ip4:193.85.3.246 ip4:195.70.130.226/31 -all"

Poštovní servery, na které jsou zprávy doručovány, mohou kontrolovat, zda IP adresa, ze které přichází email, odpovídá IP adresám určeným SPF záznamem domény odesílatele zprávy. Jestliže přichází email z povolené IP adresy, je doručen do schránky příjemce. Např. přichází-li email z adresy admin@cnb.cz ze serveru s IP 193.179.126.200, je v pořádku doručen.

Ovšem jestliže je na schránce, kam byl email doručen, nastavené přesměrování, nemusí být zpráva doručena do cílové schránky přesměrování.
Zpráva se vezme tak, jak je (adresa odesílatele zůstává stejná) a předá se dalšímu serveru podle nastaveného přesměrování. V tomto okamžiku už však zpráva odchází ze serveru, jehož IP adresa není zahrnuta v příslušném SPF záznamu a zpráva tak může být cílovým serverem odmítnuta.

Např. je-li odeslána zpráva z domény cnb.cz na schránku na serveru mxavas.forpsi.com, pak do této schránky je zpráva doručena.
Poštovní server mx.grbox.cz má ale IP adresu 81.2.195.200, která není povolena SPF záznamem domény cnb.cz, takže při přesměrování na další server může dojít k odmítnutí zprávy a odesílateli se vrátí chybové hlášení o nedoručitelnosti zprávy.

To, jestli má určitá doména nastavený SPF záznam, můžete ověřit např. pomocí nástroje nslookup.


SPF záznamy nastavují majitelé domén z bezpečnostních důvodů (banky apod.). Pokud víte, že u určitých mailů by mohlo docházet k problémům s přesměrováním, je třeba se tomu přizpůsobit. To lze několika způsoby:
 
  • maily z domén s nastaveným SPF záznamem (od banky, institucí apod.) si nechávejte zasílat pouze na adresy, na kterých nemáte nastavené přesměrování
  • zrušte přesměrování a namísto něho použijte filtrování příchozích zpráv (pro přeposlání bez ponechání kopie na serveru lze použít filtr uvedený v následujícím obrázku)  - po přihlášení do schránky na www.grbox.cz vyberte v menu vlevo Volby - Filtry;

 

Poznámka: Vzhledem k tomu, že náš poštovní server mx.grbox.cz kontroluje SPF záznamy, týká se tento článek jak zpráv přesměrovávaných z poštovního serveru mx.grbox.cz na jiné servery, tak zpráv přesměrovávaných z jiných serverů na schránky umístěné na mx.grbox.cz, nebo i zpráv odesílaných přes smtp server ISP, jehož IP není povolena v SPF záznamu.

Poznámka: Pokud máte nastavené přesměrování zpráv na adresu s některou z těchto domén: seznam.cz, email.cz, post.cz, spoluzaci.cz, stream.cz, firmy.cz, centrum.cz, volny.cz, atlas.cz, nemusí toto přesměrování fungovat právě z důvodu nastaveného SPF záznamu pro doménu odesílatele.