Teknisk notat: SPF-oppføring for UiO

Gruppe for drift av meldingstjenester publiserer i tiden framover SPF-oppføringer for domenene som UiO håndterer e-post for.

Endringen skal ikke være merkbar for UiOs e-postbrukere, men vi ønsker med dette blogg-innlegget å gjøre tilgjengelig utfyllende informasjon til IT-ansvarlige, e-postadministratorer og andre interesserte.

Sender Policy Framework (SPF) er en metode for å redusere mengden e-post hvor avsenderadressen er forfalsket. Det er fordeler og ulemper knyttet til SPF, og det er viktig å presisere at det er forfalskning av konvoluttavsender og ikke avsenderfeltet i selve e-posten som berøres. Konvoluttavsender, «envelope from», brukes under transport av e-postmeldinger mellom systemer, mens avsenderfeltet, «From», er en del av selve e-postmeldingen og er det som normalt vises av programmet man bruker for å lese e-post i. 

Teknisk blir SPF aktivert for et domene ved at det publiseres en tekstoppføring i DNS som angir hvilke tjenere/IP-er som brukes for å sende ut e-post hvor konvoluttavsenderadressen er i det aktuelle domenet. I tillegg angis det hva mottakers e-postsystem skal gjøre med e-post som ikke kommer fra en «godkjent» tjener:

  • «Neutral/None» - Motta e-posten som normalt.
  • «SoftFail» - Ta i mot, men marker (f.eks. legg inn informasjon eller gi spampoeng).
  • «Fail» - Avvis e-posten.

SPF baserer seg derfor på at både eier av domenet har aktivert SPF og at mottakers e-postsystem sjekker SPF. UiO har i mange år sjekket innkommende e-post for SPF, og respektert de valgene eier av domenet eventuelt har satt for SPF (dvs. ta i mot eller avvise).

Den største ulempen ved SPF er at videresending ikke vil fungere om man setter «SoftFail» eller «Fail» (med mindre e-postsystemet som utfører videresendingen omskriver konvoluttavsender) og at man må ha full kontroll på hvor all legitim e-post fra domenene man eier sendes fra (og følge opp endringer). 

Fram til nå har vi vurdert ulempene ved å vedlikeholde SPF-oppføringer for alle UiOs domener som større enn fordelene. Den siste tiden har det derimot vært et skifte blant de største e-postaktørene hvor SPF vektlegges mer enn tidligere. Vi vil derfor gradvis rulle ut SPF-oppføringer i DNS for alle UiOs e-postdomener. For å minimere konsekvensene for utgående e-post som videresendes eller ikke går via UiOs sentrale e-postsystem, så vil SPF-oppføringen settes til nøytral.

For spørsmål eller kommentarer, vennligst send en henvendelse til postmaster-kontakt@usit.uio.no.

Publisert 13. jan. 2017 13:55 - Sist endret 13. jan. 2017 14:21