Rekordy SPF i przekazywane wiadomości .

Opis hipotetycznej sytuacji. 

 
Gdy wiadomość e-mail zostanie dostarczona do skrzynki pocztowej, w której ustawione jest przekazywanie wiadomości przychodzących, a domena nadawcy ma ustawiony rekord     SPF, przekazana wiadomość może zostać odrzucona ze względu na politykę SPF (hardfail). 

Nadawca może otrzymać taki komunikat o błędzie :
 Remote host said: 550 5.7.1 Sender Policy Framework of `***' domain denied your IP address.

System Sender Policy Framework (SPF) został zaprojektowany do wykrywania fałszywego nadawcy (fałszowania wiadomości e-mail) w wiadomościach typu spam lub phishing. Rekordy SPF są zazwyczaj ustawiane przez banki, instytucje rządowe..., itp. Rekordy SPF dostarczają listę hostów i adresów IP uprawnionych do wysyłania wiadomości dla danej domeny (np. wiadomości z domeny cnb.cz mogą być wysyłane z IP od 193.179.126.192 do 193.179.126.223, 193.85.3.245, 193.85.3.246, 195.70.130.226 i 195.70.130.227): 

cnb.cz.   IN   TXT   "v=spf1 mx ip4:193.179.126.192/27 ip4:193.85.3.245 ip4:193.85.3.246 ip4:195.70.130.226/31 -all"

Odbiorca (docelowy serwer pocztowy) może sprawdzić, czy wychodzący adres IP jest dozwolony przez rekord SPF domeny nadawcy. Wiadomość jest akceptowana, jeśli jest wysyłana z dozwolonego adresu IP, w przeciwnym razie jest odrzucana. Na przykład e-mail z nadawcą admin@cnb.cz otrzymany z adresu IP 193.179.126.200 zostanie zaakceptowany przez serwer pocztowy odbiorcy. 

Rekordy SPF zwykłe zapobiegają przekazywania wiadomości. Przekazana wiadomość zmieniła adresata wiadomości, ale nadawca pozostaje niezmieniony. Ponieważ wiadomość zawiera oryginalny adres nadawcy w kopercie (MAIL FROM), wiadomość e-mail pochodzi z tego samego adresu e-mail, ale serwer ma inny adres IP. Teraz adres IP przekierowującego serwera poczty e-mail nie jest uwzględniany w rekordzie SPF. Z tego powodu wiadomość może zostać odrzucona przez docelowy serwer pocztowy. 

Przykładowo wiadomość e-mail wysłana z adresu e-mail admin@cnb.cz przez serwer o adresie IP 193.179.126.200 zostanie dostarczona do skrzynki pocztowej na serwerze mxavas.forpsi.com. Jeśli serwer pocztowy mxavas.forpsi.com przekazuje wiadomość e-mail do skrzynki pocztowej na serwerze pocztowym seznam.cz, nadawcą pozostaje admin@cnb.cz, ale wiadomość jest wysyłana z adresu IP 81.2.195.200. Ten adres IP nie jest dozwolony przez rekord SPF domeny cnb.cz. Z tego powodu przekazana wiadomość jest odrzucana. Wiadomość o błędzie jest dostarczana do pierwotnego nadawcy - admin@cnb.cz. 

Rekord SPF domeny można sprawdzić poleceniem nslookup. Po prostu ustaw zapytanie na TXT. 
nslookup -q=txt forpsi.com

forpsi.com      text =
        "v=spf1 mx ip4:81.2.193.0/24 ip4:................................................."


Jak zatem rozwiązać problem przekazywania wiadomości?

  •  Używaj adresów e-mail, na których nie ma ustawionego przekierowania, jako odbiorców e-maili wysyłanych z domen z SPF (banki, instytucje rządowe...) 
  •  Aktywuj zmianę/podmianę nadawcy wiadomości dla skrzynki pocztowej Zaloguj się do poczty internetowej jako zwykły użytkownik (funkcja niedostępna w Administracji). 
Zaloguj się do poczty internetowej jako zwykły użytkownik (funkcja niedostępna w Administracji).  Przejdź do zakałdki ustawienia wybierz z listy "Przekazywanie i Auto-odpowiedź" , aktywuj "Przekierowanie" oraz co ważne  zaznacz dodatkowa opcje " Zmiana Envelope-Sender". Poniżej na ilustracja został przedstawiona dokładna  lokalizacja opisanej funkcji podmiany nadawcy wiadomości.


  •  Anuluj przekierowanie i zamiast tego użyj filtrowania wiadomości przychodzących: Zaloguj się do interfejsu webmail.forpsi.pl analogicznie jak w poprzednim punkcie, przejdź do sekcji Konto i wybierz Przekierowanie / Odpowiedź automatyczna. Następnie przejdź do Wiadomości i kliknij "Reguły" menu. 
Wprowadź regułę, jak pokazano na poniższym obrazku i zapisz. dla przekierowania z pozostawieniem kopii w skrzynce pocztowej na serwerze można skorzystać z filtra widocznego na  obrazku.

(opcja Zapisz kopię jest zaznaczona), jeśli nie chcesz przechowywać kopii wiadomości na serwerze, nie zaznaczaj opcji Zapisz kopię. W przypadku przekierowania na wiele adresów oddzielnie utwórz odpowiedni filtr dla każdego adresu.