Käyttäjän työkalut

Sivuston työkalut


faq:skype-spf

Iki Skype ja SPF

Skype on microsoftin palvelu ja tämän takia käyttää microsoftin salasanan palautuspalvelua. Microsoft taas on yksi SPF:ää käyttäviä tahoja, joten he julkistavat hyvin tiukat SPF määritykset, jotka kieltävät näiden sähköpostien kiertämisen minkään muun koneen kautta. Eli jos olet määritellyt salasana palautusosoitteeksi skypeen (tai microsoftin palveluihin yleensäkin) iki-osoitteen, on mahdollista että viesti ei tule perille jos se taho minne sähköpostisi ohjaat uskoo microsoftin julkaisemia SPF-tietueita.

Yleisin ongelma tulee siinä jos olet määritellyt skypeen iki-osoitteesi ja iki:stä postisi lähetetään eteenpäin gmail:iin. Gmail uskoo microsoftin SPF-tietueita ja hylkää sähköpostin eikä koskaan välitä sitä eteenpäin.

Asian korjaamiseksi voit joko vaihtaa skypeen suoraan gmail-osoitteen tai sitten voit vaihtaa sähköpostipalvelusi sellaiseen paikkaan joka ei välitä SPF:stä.

Mikäli ongelma on jo esillä ja et voi vaihtaa skypen sähköpostiosoitetta, koska sitä varten pitää saada tuollainen palautus sähköposti niin voit käyttää verkosta löytyviä väliaikaisia sähköpostiosoitteita hetkellisesti niin että saat palautuspostit itsellesi.

Noiden palvelujen tietoturvasta ei ole välttämättä tietoa, joten kannattaa mielummin käyttää jotain tunnettua palvelua jos vain mahdollista. Lisäksi kun olet saanut salasanan vaihdettua ja sähköpostiosoitteen käännettyä niin kannattaa sen jälkeen vielä kerran vaihtaa erikseen salasana niin että se ei vain mitenkään ole jäänyt noihin väliaikaispalvelujen tiedostoihin. Tämä tietysti sen jälkeen kun olet ensin poistanut nuo väliaikaisosoitteet iki:n asetuksista.

Ongelmaa hankaloittaa se että iki:n jäsenrekisterintiedot päivitetään voimaan vain tasatunnein ja osa noista osoitteista on voimassa pitkään, mutta postit säilytetään vain tunnin verran (guerrillamail.com).

Eli toimi seuraavasti:

  1. Mene vähän ennen tasatuntia ja hae väliaikainen osoite
  2. Muuta ennen tasatuntia iki:n jäsenrekisterin asetuksia niin että siellä on sekä normaali edelleenohjausosoitteesi että tämä väliaikainen osoite pilkulla erotettuna. Nyt sinulle tulevat sähköpostit menevät molempiin osoitteisiin.
  3. Huolehdi että väliaikainen osoite pysyy voimassa ja noin viittä yli tasan voit laittaa testiviestin iki-osoitteeseesi ja katsoa että se tulee sinne väliaikaiseen palveluun, eli että muutos on tullut voimaan.
  4. Tilaa nyt se palvelun palautuslinkki tms palvelusta ja pidä huolta että väliaikainen osoite pysyy voimassa kunnes linkki on tullut.
  5. Toimi linkin ohjeiden mukaisesti.
  6. Poista väliaikaisosoite iki:n jäsenrekisteristä ja pidä se voimassa vielä seuravaan tasatuntiin niin että se toimii vielä siihen asti kunnes jäsenrekisterin tiedot on taas päivietty.

Huomaa, että tämä pitää tehdä vain jos et saa noita palautusposteja normaaliin sähköpostiisi. Voit myös kokeilla laittaa tuonne pilkulla erotettuna muitakin osoitteita ja testat toimivatko ne eritavalla kuin gmail.

Miten tarkistan käyttääkö joku palvelu SPF:ää

Ei ole mitään helppoa tapaa tarkistaa mitä oma sähköpostitarjoajasi tekee SPF:lle. Sen sijaan voit helposti katsoa mitä lähettäjän SPF tietueissa on, eli tarkistaa nimipalvelusta TXT tietueet. Unixeissa tms tuon tarkistamisen voi tehdä esim sanomalla

prompt> dig +short -t txt example.com
"$Id: example.com 4415 2015-08-24 20:12:23Z davids $"
"v=spf1 -all"

tai

prompt> nslookup -type=txt example.com  
Server:         172.30.4.241
Address:        172.30.4.241#53

Non-authoritative answer:
example.com     text = "v=spf1 -all"
example.com     text = "$Id: example.com 4415 2015

Tuolla oleva ”v=spf1 -all” on se rivi joka kertoo mitä lähettävä pää haluaa postilleen sanoa. Eli esim example.com sanoo että kaikkien sähköpostien pitää tulla vain nimestyistä koneista (”-all”), mutta se ei nimeä yhtään erillistä ip-numeroa.

Vastaavasti esim microsoftin SPF sanoo seuraavaa:

prompt> dig +short -t txt accountprotection.microsoft.com
mail.msa.msidentity.com.
"v=spf1 include:spf-a.hotmail-int.com include:spf-a.hotmail.com include:spf-b.hotmail.com include:spf-c.hotmail.com include:spf-d.hotmail.com include:spf.protection.outlook.com -all"

prompt> dig +short -t txt spf-a.hotmail.com              
"v=spf1 ip4:157.55.0.192/26 ip4:157.55.1.128/26 ip4:157.55.2.0/25 ip4:65.54.190.0/24 ip4:65.54.51.64/26 ip4:65.54.61.64/26 ip4:65.55.111.0/24 ip4:65.55.116.0/25 ip4:65.55.34.0/24 ip4:65.55.90.0/24 ip4:65.54.241.0/24 ip4:207.46.117.0/24 ~all"

prompt> dig +short -t txt spf-b.hotmail.com
"v=spf1 ip4:40.92.0.0/14 ip6:2a01:111:f400::/48 ~all"

prompt> dig +short -t txt spf-c.hotmail.com
"v=spf1 ~all"

prompt> dig +short -t txt spf-d.hotmail.com
"v=spf1 ~all"

prompt> dig +short -t txt spf.protection.outlook.com
"v=spf1 ip4:207.46.101.128/26 ip4:207.46.100.0/24 ip4:207.46.163.0/24 ip4:65.55.169.0/24 ip4:157.56.110.0/23 ip4:157.55.234.0/24 ip4:213.199.154.0/24 ip4:213.199.180.0/24 include:spfa.protection.outlook.com -all"

prompt> dig +short -t txt spfa.protection.outlook.com
"v=spf1 ip4:157.56.112.0/24 ip4:207.46.51.64/26 ip4:157.55.158.0/23 ip4:64.4.22.64/26 ip4:40.92.0.0/14 ip4:40.107.0.0/17 ip4:40.107.128.0/17 ip4:134.170.140.0/24 include:spfb.protection.outlook.com -all"

prompt> dig +short -t txt spfb.protection.outlook.com
"v=spf1 ip6:2a01:111:f400::/48 ip4:23.103.128.0/19 ip4:23.103.198.0/23 ip4:65.55.88.0/24 ip4:104.47.0.0/17 ip4:23.103.200.0/21 ip4:23.103.208.0/21 ip4:23.103.191.0/24 ip4:216.32.180.0/23 ip4:94.245.120.64/26 -all"

Joka siis myös sanoo että vain nimetyt koneet kelpaavat (”-all”) ja tuolla on sitten iso lista include komentoja, joista tuo lista ip-osoitteita haetaan.

Mutta nuo komennot siis kertovat vain mitä lähettäjä sanoo SPF:stä. Sen lisäksi enemmän vaikuttaa miten vastaanottaja uskoo noita SPF tietueita ja sitä ei löydy muualta kuin kyseisen sähköpostitoimittajan ohjeteksteistä tai vastaavista.

Esim googlen SPF sanoo seuraavaa:

prompt> dig +short -t txt gmail.com                  
"v=spf1 redirect=_spf.google.com"

prompt> dig +short -t txt _spf.google.com
"v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all"

prompt> dig +short -t txt _netblocks.google.com 
"v=spf1 ip4:64.18.0.0/20 ip4:64.233.160.0/19 ip4:66.102.0.0/20 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16 ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:207.126.144.0/20 ip4:209.85.128.0/17 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"

prompt> dig +short -t txt _netblocks2.google.com
"v=spf1 ip6:2001:4860:4000::/36 ip6:2404:6800:4000::/36 ip6:2607:f8b0:4000::/36 ip6:2800:3f0:4000::/36 ip6:2a00:1450:4000::/36 ip6:2c0f:fb50:4000::/36 ~all"

prompt> dig +short -t txt _netblocks3.google.com
"v=spf1 ip4:172.217.0.0/19 ip4:108.177.96.0/19 ~all"

Eli tuolla sanotaan ”~all”, mutta silti gmail kyllä katsoo noita ja selvästi uskoo noita SPF tietueita esim microsoftilta tulevista posteista. Googlen supportsivut massapostittajille (https://support.google.com/mail/answer/81126) muistaa mainita että yksi keino jolla lailliset massapostitukset saadaan menemään läpi googlen palvelimille on se että lähettävään päähän laitetaan SPF-tietueet, mutta tämäkään ei vielä kerro mitä tapahtuu viesteille joiden SPF-tarkistus epäonnistuu. Tuota tietoa en googlen tukisivuilta ole vielä löytänyt.

faq/skype-spf.txt · Viimeksi muutettu: 2017-05-02 11:54 / kivinen