Přesměrování zpráv a SPF


Popis situace
Uživatelé často vlastní více emailových adres a pokud se chtějí vyhnout kontrolování každé příslušné schránky, používají přesměrování přijatých zpráv do vybrané schránky. Toto řešení zjednodušuje práci s emaily, má však i svá rizika. Jedním z nich je to, že odesílatel zprávy může mít pro svoji doménu nastavený SPF záznam.

Pokud máte nastavené přesměrování zpráv (ať už ze schránek, nebo naopak na schránky hostované u Forpsi) a zprávy od určitého odesílatele se doručí pouze do první schránky, ze které se přesměrovává (do cílové schránky přesměrování zpráva nedorazí), může se jednat o problém související se zmíněným SPF záznamem.

Odesílateli se pak může vrátit chybové hlášení s následující chybou:
 
Remote host said: 550 5.7.1 Sender Policy Framework of `***' domain denied your IP address.
Systém Sender Policy Framework (SPF) byl navržen za účelem předcházení podvržení emailových adres ve spamech. V praxi to vypadá tak, že majitel domény nastaví pro doménu SPF záznam (TXT záznam), který obsahuje informaci o tom, ze kterých IP mohou být posílány emaily dané domény:
 
cnb.cz.  IN TXT "v=spf1 mx ip4:193.86.31.131 ip4:193.86.31.132 ip4:193.85.3.250 ip4:193.86.31.141 ip4:193.86.31.142 -all"
Poštovní servery, na které jsou zprávy doručovány, mohou kontrolovat, zda IP adresa, ze které přichází email, odpovídá IP adresám určeným SPF záznamem dané domény. Jestliže email přichází z povolené IP adresy, je doručen do schránky příjemce. Např. přichází-li email z adresy admin@cnb.cz ze serveru s IP 193.86.31.131, je v pořádku doručen.
 
Ovšem jestliže je na schránce, kam byl email doručen, nastavené přesměrování, nemusí být zpráva doručena do cílové schránky přesměrování. Zpráva se vezme tak, jak je (adresa odesílatele zůstává stejná) a předá se dalšímu serveru podle nastaveného přesměrování. V tomto okamžiku už však zpráva odchází ze serveru, jehož IP adresa není zahrnuta v příslušném SPF záznamu a zpráva tak může být cílovým serverem odmítnuta.
 
Např. je-li odeslána zpráva z domény cnb.cz na schránku na serveru mxavas.forpsi.com, pak do této schránky je zpráva doručena. Poštovní server mxavas.forpsi.com má ale IP adresu 81.2.195.200, která není povolena SPF záznamem domény cnb.cz, takže při přesměrování na další server může dojít k odmítnutí zprávy a odesílateli se vrátí chybové hlášení o nedoručitelnosti zprávy.
 
To, jestli má určitá doména nastavený SPF záznam, můžete ověřit např. pomocí nástroje nslookup. Práce s ním je popsaná v článku Informace pro veřejnou správu. Je třeba se dotazovat na typ záznamu TXT.

SPF záznamy nastavují majitelé domén z bezpečnostních důvodů. Protože dnes už má většina domén SPF záznam nastavený, je třeba se tomu přizpůsobit.
 
 
Řešení problému
1. Maily z domén s nastaveným SPF záznamem si nechávejte zasílat pouze na adresy, na kterých nemáte nastavené přesměrování.
 
 
2. Aktivujte u přeposílání přepisování obálkové adresy odesílatele
Přihlaste se do rozhraní webmail.forpsi.com jako uživatel (pro nastavení u své schránky) nebo jako postmaster (pro nastavení v Administraci schránek pro více schránek) funkce není dostupná v Administraci schránek) a v horním menu klikněte na záložku Nastavení. 
 

V hlavním levém menu zvolte v sekci Účet položku Přesměrování / Automatická odpověď.
 
U aktuálně nastaveného přesměrování zaškrtněte volbu Změnit obálkovou adresu odesílatele a klikněte na tlačítko OK.
Presmerovani
 
 

 
Poznámky k funkčnosti

Poznámka 1 -  vzhledem k tomu, že náš poštovní server mxavas.forpsi.com kontroluje SPF záznamy, týká se tento článek jak zpráv přesměrovávaných z poštovního serveru mxavas.forpsi.com na jiné servery, tak zpráv přesměrovávaných z jiných serverů na schránky umístěné na mxavas.forpsi.com, nebo i zpráv odesílaných přes smtp server ISP, jehož IP není povolena v SPF záznamu.

Poznámka 2 -  pokud máte nastavené přesměrování zpráv na adresu s některou z těchto domén: seznam.cz, email.cz, post.cz, spoluzaci.cz, stream.cz, firmy.cz, centrum.cz, volny.cz, atlas.cz, gmail.com nemusí toto přesměrování fungovat právě z důvodu nastaveného SPF záznamu pro doménu odesílatele. V tom případě je třeba použít u přesměrování zpráv volbu "Změnit obálkovou adresu odesílatele".