Käyttäjän työkalut

Sivuston työkalut


faq:spf

Tämä on vanha versio dokumentista!


Iki ja SPF

SPF-sähköpostin suodatusviritys ja sen aiheuttamat ongelmat.

Olemme IKI:ssä seuranneet SPF:ää ja sen tulemista ja menemistä jo pitkä aikaa.

SPF on yleisesti ottaen huono viritys siksi, että se ei auta lainkaan esim. roskapostiongelmaan mutta aiheuttaa paljon muita ongelmia, esimerkiksi postin edelleenohjauksen, sähköpostilistojen ja liikkuvien sähköpostin käyttäjien tapauksessa.

Tämän vuoksi SPF-ihmsten ehdottamia joidenkin ongelmien ”kiertovirityksiä” ei monessakaan paikassa (kuten IKI) ole haluttu ottaa liian nopeasti käyttöön koska se johtaisi muiden ongelmien ”hiljaiseen hyväksymiseen”.

Sähköpostin eri ongelmiin (roskaposti, phishing, jne) ehdotetaan ajoittain erilaisia teknisiä virityksiä ratkaisuiksi. Yleensä ehdotetut viritykset eivät auta ratkaisemaan oikeita ongelmia mutta aiheuttavat samalla paljonkin haittaa perinteisesti toimiville ja hyviksi havaituille sähköposti käyttötavoille. Sähköpostin suuri suosio perustuu juuri sen joustavuuteen ja toimivuuteen.

IKI:ssä asiaa toki seurataan ja jos kuitenkin SPF:ää liian tiukkapipoisesti käyttäviä paikkoja tulee enemmän (eli he eivät välitä luomistaan ongelmista) joutuu iki sitten myös huomioimaan asian, vaikka ongelma johtuukin muista.

Joiden domainin omistajan (tai heidän käyttämänsä Internet-palvelun tarjoajien) käyttämä -all määritys on liian tiukka nykyisessä tilanteessa missä SPF (eikä sen vaatimat käyttäjätunnistusta käyttävät sähköpostin lähetyspalvelimet) ei ole kovin yleisesti käytössä. Esim microsoft (ja skype) käyttävät tällaista asetusta ja sen takia esim niiden lähettämät palvelunpalautussähköpostit jäävät helposti matkalle. Lisätietoja Iki, skype ja SPF sivulta.

SPF-ohjeiden mukaan suodatusta ei kannata käyttää suoraan liikenteen esteenä (mitä on havaittu joissakin tapauksissa) vaan yhtenä osana esim. roskapostin suodatuksen pisteiden laskemisessa tms.

Asiasta on jo SPF:n omissakin ohjeissa (mm. white paper) ohjeistusta: If you are very concerned about phishing, publish a –all right away and accept that there may be some false positives […] Otherwise, use a ~all..

Ongelma on sama kuin roskapostin suodatuksessa, jos sitä tekee liian tiukasti tai huonoilla perusteilla menee myös suuri määrä oikeaa postia hukkaan.

Koska koko maailma ei kuitenkaan koskaan tule vaihtamaan johonkin SPF:ään tai muuhun viritykseen, se joka sitä käyttää tiukkapipoisesti joutuu sitten itse selvittämään esille tulleet ongelmatilanteetkin.

SPF:ään liittyy myös poliittisia taustavoimia koska sen tiukka käyttöönotto lukitsee käyttäjät tiukemmin nykyisen sähköpostiosoitteensa käyttäjiksi mikä hankaloittaa ISP:n vaihtamista ja siten huonontaa kilpailua alalla. Samoin SPF haittaa sähköpostilistojen ja muiden perinteisten sähköpostipohjaisten ryhmätyötapojen käyttöä.

Jos havaitset SPF:ään liittyviä ongelmia, niin joko lähettäjän tai vastaanottajan internet-palvelun tarjoaja on varmaan lähettänyt selkeän ohjeen käyttäjilleen mistä pitäisi löytyä tietoja siitä miten he auttavat asiakkaitaan virityksiensä luomissa ongelmatilanteissa.

Lisätietoa eri ongelmista sähköpostin kanssa löytyy IKI FAQ:sta mm. roskapostin osalta.

SPF:stä lisätietoja ja mainostusta löytyy osoitteesta http://www.openspf.org/

Ohjeita sähköpostipalvelimien ylläpitäjille: Älä käytä -all SPF-asetusta

Lähtevä posti

Käyttäjäsi törmäävät moniin ongelmiin monissa tilanteissa postia lähettäessään jos käytätte -all SPF-asetusta domainissanne. Tämä saattaa estää käyttäjienne viestin perillemenon monissa ihan tavallisissa sähköpostin käyttötilanteissa, johtuen joko vastaanottajan tai matkalla olevien palvelimien asetuksista ja toiminnasta tai vaikkapa vastaanottajan organisaation sisäisistä postin ohjauksista. Jos päätät käyttää SPF:ää, älä siis käytä -all asetusta, vaan korkeintaan ~all tai ?all asetusta.

Saapuva posti ja spämmisuodatus

Kannattaa tunnistaa SPF:n ongelmat ja sen miten se rikkoo monia perinteisiä sähköpostin käyttötapoja.

Älä myöskään suodata postia pois pelkän SPF:n perusteella, koska tällöin oikeaakin postia jää käyttäjiltäsi saamatta. SPF:ää voi käyttää osana spämmisuodatusta esim. antamalla siitä SpamAssassinissa jonkin määrän pisteitä joka ei yksinään riitä merkitsemään viestin spämmiksi.

Noin yleensäkään kannattaa käyttää spämmitunnistusta joka käyttää useita mittareita eikä merkitse viestejä spämmiksi tai blokkaa niitä minkään yksittäisen detaljin perusteella.

Käytännön vinkkejä sähköpostiylläpitäjille

Jos käytössäsi on… … niin voit tehdä näin
SPF-asetus -all Muuta SPF-asetus ~all muotoon
SPF (tai estolista) voi yksinään blokkaa viestejä Laita asetukset niin että yksittäinen asia (SPF, estolista) ei yksinään blokkaa viestejä

Yksittäisiin palveluntarjoajiin liittyviä SPF-sidonnaisia tietoja

Kapsi ry

Tiedoksi niille, jotka käyttävät Kapsi ry:n sähköpostipalveluita yhdessä iki-osoitteen kanssa:

Kapsin ylläpito ilmoitti 7.5. 2017 konfiguroineensa Kapsin SMTP-palvelimen siten, että lähtevän postin envelope sender -otsikkotieto on kapsin käyttäjätunnuksen mukainen.

Kapsin SMTP-palvelinta käyttäen etenkin Gmailiin lähetetyt viestit ovat menneet herkästi roskapostiin koska Googlen suodatus on tiukempi silloin kun posti lähetetään ipv6-protokollaa käyttäen, kuten Kapsi tekee.

SPF on suunniteltu suojaamaan envelope sender -tiedon väärentämiseltä. Envelope sender kertoo vastaanottavalle sähköpostipalvelimelle, mihin postin saa palauttaa, jos sitä ei pystytty jostain syystä toimittamaan. Tämä lähettäjätieto näkyy vastaanottajalle otsikkokentässä Return-Path, ja eroaa näin From-lähettäjästä. Envelope senderin tulisi siis olla lähettämiseen käytetyn palvelimen tuntema. From-kentään kuuluvaan iki-osoitteeseen SPF:n ei pitäisi puuttua. Openspf.org:in kuvaus asiasta

faq/spf.1494223861.txt · Viimeksi muutettu: 2017-05-08 06:11 / elias.aarnio