SPF – Sender Policy Framework

Hvad er SPF, hvem skal bruge det og hvad gør det godt for?

Den ganske korte version er: Du kan sammenligne SPF med en fuldmagt. Det er en fuldmagt du giver diverse servere, hvor du siger "denne her server må godt sende mails fra mig".

Men hvorfor og hvordan?

Sådan ganske kort så foregår afsendelse af emails ved, at en server skriver en modtager og en afsender. Desværre er det ikke alle, der har helt rent mel i posen, så folk med mere lyssky dagsordener har fundet på, at de kan sende mails fra f.eks. din email adresse eller fra Jyske Bank eller fra Nets. Det er ret simpelt, for man skal egentligt bare ændre afsender-adressen.

For at filtrere sådanne falske mails fra blev SPF opfundet. SPF er en slags fuldmagt. Et typisk scenarie for en dansk webshop er følgende:

For at få hjulene til at gå rundt, skal der sendes nogle mails. Der er forskellige typer mails:

  • Kundeservice, handel m.m. – det er de mails, som du som webshop ejer sidder og skriver til kunderne, leverandørerne eller dine samarbejdspartnere. Det kan foregå fra Outlook eller du kan bruge en webbaseret tjeneste som Google Apps.
  • Nyhedsbreve – du sender også nyhedsbreve ud. Men det gør du ikke fra din Outlook mail. Det gør du typisk fra et program som MailChimp eller Ubivox. Her er det så Ubivox' servere, der sender en mail ud til dine potentielle kunder.
  • Transaktionelle mails – de transaktionelle mails er mails, der ryger ud, når der sker en transaktion. Det er ordrebekræftelsen, når folk har gennemført en ordre. Og den mail, der ryger afsted, når du som shop-ejer har sendt ordren. De mails bliver sendt fra Shoporamas server.
  • Support henvendelser – større webshops har typisk et særligt software til at håndtere kundesupport. Det kan være sådan noget som Zendesk. Det betyder, at når dine brugere får svar i Zendesk, så er det Zendesks servere, der sender mails i dit navn.

Som du kan se herover, er der andre end dig, der sender mails i dit navn. Men hvordan skal email-systemerne rundt omkring vide, at lige præcis Ubivox og Shoporama må sende mails i dit navn? Det har de som sådan ikke en jordisk chance for at vide medmindre man har opsat SPF.

Uden at gå ind i det tekniske i SPF (det kan du læse om på vores blog her), så er SPF en tekstfil som siger "Denne liste af servere må sende mails i mit navn". Den liste ligger på dit domæne, så andre kan ikke bare lave sådan en liste. Derfor er det en ret sikker måde at autorisere disse emails.

Kort fortalt er det bare en fil, der siger disse servere må godt sende mails fra info@dinwebshop.dk. Når Gmail eller Hotmail så modtager en mail, der kommer fra info@dinwebshop.dk, så går de lige op på dinwebshop.dk og tjekker "er denne server blåstemplet til at sende mails herfra?". Hvis den er blåstemplet til det, så er der ingen ko på isen. Hvis den ikke er blåstemplet, så er der større risiko for, at den ender i spam.

Derfor...

Og derfor er det en rigtig god idé at bruge et par timer på at få sat sine SPF records rigtigt op. Desværre skifter man jo udbydere og software, så når man gør det, så skal man lige huske at opdatere sine SPF records.

Du kan læse mere om SPF på dansk ved Ubivox.