Sisällysluettelo

Iki ja SPF

SPF-sähköpostin suodatusviritys ja sen aiheuttamat ongelmat.

Jos viesti ei tule perille ja mahdollisessa virheilmoituksessa viitataan SPF:ään

SPF on sähköpostistandardien kanssa epäyhteensopiva viritys missä sähköpostin lähettäjä kertoo mistä palvelimista heidän viestit lähtevät, ja sen lisäksi saako viesti kiertää muuta kautta (SPF ~all tai +all) vai vaaditaanko että viesti menee suoraan perille (SPF -all).

Voit katsoa sähköpostin lähettäjän domainin SPF-asetuksia esim. https://mxtoolbox.com/spf.aspx palvelusta tai dig lahettajandomain.com txt komentorivikomennolla.

Hyvin monen käyttäjän sähköpostit kiertävät eri reittejä (esim. iki:n kautta, erilaisten alumni- tai yhdistys-osoitteiden kautta, sähköpostilistan kautta, ohjattuna kännykän osoitteeseen, automaattisen käsittelyn kautta, ym).

Jos sekä viestin lähettäjällä on liian tiukka SPF-asetus ja kohdesähköpostipalvelussa suodatetaan liian tiukasti SPF:n perusteella, viestit eivät välttämättä tule perille.

Tällöin viestin lähettäjä ei ymmärrä miten sähköposti toimii ja on laittanut väärän, liian tiukan SPF-asetuksen, jolla he käytännössä kertovat muille teknisesti että he eivät halua heidän lähettämien sähköpostien menevän luotettavasti perille kaikille heidän asiakkaille tms. Kannattaa vaihtaan (jos mahdollista) toiseen tarjoajaan joka haluaa kommunikoida kanssasi.

Samoin jos sähköpostipalvelun ylläpitäjä suodattaa kokonaan viestin pois pelkän SPF:n perusteella, jää tällöin monien heidän käyttäjien oikeita sähköposteja tulematta perille. Käyttämällä tuollaista liian tiukkaa suodatusta, heitä ei kiinnosta toimiiko heidän asiakkaiden/käyttäjien viestintä luotettavasti. Jos mahdollista, kannattaa vaihtaa toiseen palveluntarjoajaan joka tarjoaa toimivaa palvelua.

Mitä voit itse yrittää tehdä kiertääksesi ongelman

Iki ja SPF

Koska iki välittää sähköpostin kohdeosoitteeseen (kuten monet vastaavat paikat ja esim. yhdistys- tai alumni sähköpostiosoitteet) se ei ole yhteensopiva SPF:n kanssa, varsinkaan jos lähettäjä tai kohdepaikka tulkitsevat SPF:ää väärin liian tiukasti.

Olemme IKI:ssä seuranneet SPF:ää ja SPF:ää käyttävää DMARC:ia yms ja niiden tulemista ja menemistä jo pitkän aikaa.

IKI:ssä asiaa toki seurataan ja jos kuitenkin SPF:ää liian tiukkapipoisesti käyttäviä paikkoja tulee enemmän (eli he eivät välitä luomistaan ongelmista) joutuu iki sitten myös huomioimaan asian, vaikka ongelma johtuukin muista.

Erilaisia korjausyrityksiä on SPF:ään ehdotettu useitakin, seuraamme niitäkin, mutta toistaiseksi ei ole kunnolla toimivaa yleistä ratkaisua kiertää alunperin rikkinäisen SPF-järjestelyn ongelmia, jotka eivät aiheuttaisi muita ongelmia (esim. SPF SRS rikkoo DKIM-allekirjoitetut viestit).

Lisätietoa eri ongelmista sähköpostin kanssa löytyy IKI FAQ:sta mm. roskapostin osalta.

SPF ei estä roskapostia tai huijausviestejä

SPF on poistuva viritys joka on korvautumassa paremmilla DKIM/DMARC/ARC ratkaisuilla.

SPF on yleisesti ottaen huono viritys siksi, että se ei auta lainkaan esim. roskapostiongelmaan mutta aiheuttaa paljon muita ongelmia, esimerkiksi postin edelleenohjauksen, sähköpostilistojen ja liikkuvien sähköpostin käyttäjien tapauksessa.

Tämän vuoksi SPF-ihmsten ehdottamia joidenkin ongelmien ”kiertovirityksiä” ei monessakaan paikassa (kuten IKI) ole haluttu ottaa liian nopeasti käyttöön koska se johtaisi muiden ongelmien ”hiljaiseen hyväksymiseen”.

Sähköpostin eri ongelmiin (roskaposti, phishing, jne) ehdotetaan ajoittain erilaisia teknisiä virityksiä ratkaisuiksi. Yleensä ehdotetut viritykset eivät auta ratkaisemaan oikeita ongelmia mutta aiheuttavat samalla paljonkin haittaa perinteisesti toimiville ja hyviksi havaituille sähköposti käyttötavoille. Sähköpostin suuri suosio perustuu juuri sen joustavuuteen ja toimivuuteen.

Joiden domainin omistajan (tai heidän käyttämänsä Internet-palvelun tarjoajien) käyttämä -all määritys on liian tiukka nykyisessä tilanteessa missä SPF (eikä sen vaatimat käyttäjätunnistusta käyttävät sähköpostin lähetyspalvelimet) ei ole kovin yleisesti käytössä. Esim microsoft (ja skype) käyttävät tällaista asetusta ja sen takia esim niiden lähettämät palvelunpalautussähköpostit jäävät helposti matkalle. Lisätietoja Iki, skype ja SPF sivulta.

SPF-ohjeiden mukaan suodatusta ei kannata käyttää suoraan liikenteen esteenä (mitä on havaittu joissakin tapauksissa) vaan yhtenä osana esim. roskapostin suodatuksen pisteiden laskemisessa tms.

Asiasta on jo SPF:n omissakin ohjeissa (mm. white paper) ohjeistusta: If you are very concerned about phishing, publish a –all right away and accept that there may be some false positives […] Otherwise, use a ~all..

Ongelma on sama kuin roskapostin suodatuksessa, jos sitä tekee liian tiukasti tai huonoilla perusteilla menee myös suuri määrä oikeaa postia hukkaan.

Koska koko maailma ei kuitenkaan koskaan tule vaihtamaan johonkin SPF:ään tai muuhun viritykseen, se joka sitä käyttää tiukkapipoisesti joutuu sitten itse selvittämään esille tulleet ongelmatilanteetkin.

SPF:ään liittyy myös poliittisia taustavoimia koska sen tiukka käyttöönotto lukitsee käyttäjät tiukemmin nykyisen sähköpostiosoitteensa käyttäjiksi mikä hankaloittaa ISP:n vaihtamista ja siten huonontaa kilpailua internet-palveluissa. Samoin SPF haittaa sähköpostilistojen ja muiden perinteisten sähköpostipohjaisten ryhmätyötapojen käyttöä, ehkä käyttäjiä halutaan ajaa avoimista palveluista tietoturvattomiin sosiaalisen median palveluihin.

Jos havaitset SPF:ään liittyviä ongelmia, niin joko lähettäjän tai vastaanottajan internet-palvelun tarjoaja on varmasti lähettänyt selkeän ohjeen käyttäjilleen mistä pitäisi löytyä tietoja siitä miten he auttavat asiakkaitaan virityksiensä luomissa ongelmatilanteissa — jos et ole saanut tällaista, kysy sitä sähköpostipalvelun tarjoajaltasi, esim. ”Minulla on ongelma jonka aiheuttaa teidän liian tiukka SPF-viritys, miten voin saada viestintäni toimimaan? Vai joudunko vaihtamaan kilpailijalle?”.

SPF mainostusta löytyy osoitteesta http://www.open-spf.org/

Ohjeita sähköpostipalvelimien ylläpitäjille

Lähtevä posti: Älä käytä -all SPF-asetusta

Käyttäjäsi törmäävät moniin ongelmiin monissa tilanteissa postia lähettäessään jos käytätte -all SPF-asetusta domainissanne. Tämä saattaa estää käyttäjienne viestin perillemenon monissa ihan tavallisissa sähköpostin käyttötilanteissa, johtuen joko vastaanottajan tai matkalla olevien palvelimien asetuksista ja toiminnasta tai vaikkapa vastaanottajan organisaation sisäisistä postin ohjauksista. Jos päätät käyttää SPF:ää, älä siis käytä -all asetusta, vaan korkeintaan ~all asetusta. Joidenkin huonojen kokemusten perusteella emme voi suositella ?all asetusta.

Monet tunnetut yritykset käyttävät ~all asetusta koska -all aiheuttaa liian paljon ongelmia sähköpostin toimittamisessa perille. Esimerkkejä (haettu 2020-11-18):

nokia.com. 3600 IN TXT ”v=spf1 include:spf.protection.outlook.com include:_spf1.nokia.com include:_spf.nsn.com include:_spf.acquia.com ~all

apple.com. 3600 IN TXT ”v=spf1 include:_spf.apple.com include:_spf-txn.apple.com ~all

Saapuva posti ja spämmisuodatus: Älä suodata vain yhdellä perusteella

Kannattaa tunnistaa SPF:n ongelmat ja sen miten se rikkoo monia perinteisiä sähköpostin käyttötapoja.

Älä myöskään suodata postia pois pelkän SPF:n perusteella, koska tällöin oikeaakin postia jää käyttäjiltäsi saamatta. SPF:ää voi käyttää osana spämmisuodatusta esim. antamalla siitä SpamAssassinissa jonkin määrän pisteitä joka ei yksinään riitä merkitsemään viestin spämmiksi.

Noin yleensäkään kannattaa käyttää spämmitunnistusta joka käyttää useita mittareita eikä merkitse viestejä spämmiksi tai blokkaa niitä minkään yksittäisen detaljin perusteella.

Älä usko SPF-palveluiden mainoksia

SPF-palveluita myyvät monet yritykset maksullisina palveluina, joiden mainosteksteissä luvataan kaikenlaista hyvää eikä ongelmista muisteta kertoa. Älä siis usko mainoksia jotka lupaavat jotain liian hyvää, kuin muunkin mainonnan kanssa.

Vaadi sopimukseen sakkopykälä, jos teidän asiakkailta tulee valituksia siitä että sähköpostiviritys ei toimi.

Kokemuksien mukaan kun viestit eivät tule perille tällaisen virityksen vuoksi, asiakas kokee että teidän yritys ei halua kommunikoida asiakkaidensa kanssa.

Käytännön vinkkejä sähköpostiylläpitäjille

Jos käytössäsi on… … niin voit tehdä näin
SPF-asetus -all Muuta SPF-asetus ~all muotoon
SPF (tai estolista) voi yksinään blokata viestejä Laita asetukset niin että yksittäinen asia (SPF, estolista) ei yksinään blokkaa viestejä
vain SPF Ota käyttöön DKIM lähetyspäässä ja DMARC vastaanottopäässä