Oikein konfiguroidut SPF-tietueet ja sähköpostin toimitusvarmuus
Olemme huomanneet, että hyvin monella organisaatiolla on käytössä virheellisiä asetuksia domainin SPF-tietueissa (Sender Policy Framework). Usein tämä on seurausta siirtymästä pilvipalveluihin ilman tarkempaa pohdintaa siitä, mitkä järjestelmät oikeasti lähettävät postia organisaation nimissä.
Sallitut postia välittävät järjestelmät määritellään käyttämällä SPF-tietueita. SPF on nimipalveluiden kautta jaettu tieto siitä, mitkä palvelimet saavat välittää postia tietylle domainille. Tieto välitetään TXT-tietueessa. Tietueeseen voidaan määrittää mm. onko sääntö suositus (~all) vai vaade (-all).
Välittävä palvelin tarkoittaa smtp-palvelinta, joka toimittaa postia asiakkaan sähköpostioperaattorin palvelimille. Esimerkiksi Microsoft on sähköpostioperaattori O365-palvelun osalta. Sen palvelinosoitteet ovat yleensä muotoa: *.protection.outlook.com.
Välittäviä palvelimia ovat tyypillisesti Internetoperaattoreiden, markkinointipalveluiden ja pilvipalveluiden postipalvelimet. Esimerkki tällaisesta palvelusta on smtp.tnnet.fi.
Monet käyttäjät ovat siirtyneet käyttämään Microsoftin O365 postipalveluita, ja käyttöönotossa on noudatettu Microsoftin ohjetta: https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/set-up-spf-in-office-365-to-help-prevent-spoofing?view=o365-worldwide
Hyvin usein ohjeesta on napattu vain nopeasti SPF-tietueen sisältö: ”v=spf1 include:spf.protection.outlook.com -all”
Tämä tietue tarkoittaa käytännössä, että postin lähettäminen sallitaan Microsoftin palvelimilta, mutta kaikkialta muualta lähetetty posti on roskapostia. Ohjeessa on kerrottu, että tietueeseen pitäisi huomioida myös muut domainin postia lähettävät järjestelmät. Tämä tahtoo kuitenkin unohtua.
Useimmilla domaineilla on käytössä kotisivuja tai valvontajärjestelmiä Microsoftin ympäristön ulkopuolella. Myös monet loppukäyttäjät käyttävät verkko-operaattorin lähtevän postin palvelimia. Tästä syystä kyseiset järjestelmät pitäisi huomioida SPF-tietueessa.
Virheellinen SPF-konfiguraatio voi estää viestin toimituksen tai aiheuttaa viestin päätymisen roskapostikansioon. Tyypillisiä ongelmakohtia ovat esimerkiksi verkkosivujen palautelomakkeilta yritykselle itselleen tulevat viestit, sekä kolmansien osapuolten toimittamat järjestelmät, jotka lähettävät postia asiakkaan nimissä.
Käytännössä virheellisellä konfiguraatiolla luodaan usein näennäinen ”roskapostitulva” kohti Microsoftin postipalvelimia, jotka päätyvät silloin torjumaan organisaation sisäistä viestintää. Jos esimerkiksi tilauksia käsittelevä järjestelmä lähettää postia sellaisen palvelimen kautta, jota ei ole listattu SPF-tietoihin, tilaukset saattavat jäädä kokonaan matkalle tai viivästyä sen takia, että viestit käsitellään roskapostina.
Jos SPF-tietuetta ei ole käytössä ollenkaan, toimitusongelmaa ei pitäisi esiintyä. Tietuetta käyttämällä voidaan kuitenkin vähentää mahdollisuutta siitä, että ulkopuolinen toimija voisi lähettää onnistuneesti viestejä organisaation nimissä. Koska monilla organisaatioilla on virheellisiä SPF-tietueita, monet vastaanottavat järjestelmät sallivat postin käsittelyn myös SPF-tietueiden vastaisesti. Tärkeää olisi, että tietueiden sisältöä pyritään parantamaan, jotta niitä voidaan tulevaisuudessa noudattaa tarkemmin.
TNNetin tuottamien postijärjestelmien osalta tietueessa pitää olla mukana:
include:spf.tnnet.fi
O365-palveluiden kanssa tietueen sisällön pitäisi olla:
”v=spf1 include:spf.protection.outlook.com include:spf.tnnet.fi -all”
Tietueessa voi olla myös muita tietoja, ja ne tulisi säilyttää. Tosin jos tietueessa on vanhentuneita sallintoja, ne olisi hyvä siivota pois käytöstä. Lisäksi ongelmia voi syntyä siitä, jos include-komentoja on liikaa. Lisää tietoa SPF:stä löytyy esimerkiksi wikipediasta .
Olemme korjanneet SPF-tietueet kuntoon 14.4.2022 sellaisiin TNNetin ylläpitämiin domaineihin, joista on lähetetty postia 1.4.2022 jälkeen käyttäen smtp.tnnet.fi -palvelinta.
Pyrimme ottamaan yhteyttä sellaisiin asiakkaisiimme, jotka ovat lähettäneet postia smtp.tnnet.fi -palvelimen kautta, mutta joiden SPF-tietue ei salli lähettämistä sen kautta.
