Miałem zacząć pisać inny artykuł, ale na jedną z moich testowych skrzynek wpadł właśnie SPAM, a konkretnie to nawet SCAM, z próbą oszustwa. Niby od „WP Wsparcie”, o temacie „Otrzymałem płatność w Twoim Compte. Czy zweryfikuj”, ale wysłany z adresu w domenie, która raczej nie wyglądała na „klasyczny wałek”. I faktycznie, pod domeną, z której przyszła wiadomość z próbą oszustwa znajduje się… działający sklep internetowy (sic!). Tak więc zaciekawiło mnie, czy przypadkiem, pomimo 2024 trafił się zepsuty rodzynek, np. bez poprawnie skonfigurowanego choćby rekordu SPF, że filtry antyspamowe przepuściły taką wiadomość?

Pozorny rekord SPF, czyli ochrona, której faktycznie nie ma

Na początek jednak zerknąłem do źródła wiadomości, by sprawdzić, z jakiego serwera wiadomość została wysłana, bo nie można było wykluczyć, że gdzieś na tym odcinku nastąpiło przełamanie zabezpieczeń, o czym niedawno mogli się przekonać odbiorcy newslettera Pulsu Biznesu.

Po sprawdzeniu serwera, z którego przyszła wiadomość, zweryfikowałem, czy jest on na liście dopuszczonych  dla tej domeny nadawców, bo jak się okazało, dla domeny był ustawiony rekord SPF, ale… Wrócimy do tego za chwilę. W każdym razie serwer, z którego przyszedł SPAM z próbą oszustwa (SCAM) nie znajdował się na liście dozwolonych serwerów.

Ale też nie musiał, bo choć dla domeny był ustawiony rekord SPF, to zostało to zrobione tak, że właściwie równie dobrze mogłoby go nie być, a efekt byłby pewnie podobny:

domena txt "v=spf1 mx a ... ?all"

Bo na samym końcu mamy magiczne „?all”, co właściwie oznacza tyle, że jak jakiegoś serwera nie ma na liście, to w sumie… nie szkodzi, niech śle. A jednak mamy tu do czynienia ze sklepem internetowym, gdzie wysyłka wiadomości powinna być dość ważna, a tak, szybko może się okazać, że domena – w pewnym sensie słusznie – trafi na czarne listy…

Dlatego zdecydowanie lepiej – zwłaszcza, by miało to faktycznie sens – użyć wartości „-all” lub ewentualnie „~all”. A po więcej szczegółów, odsyłam do artykułu „Poczta e-mail we własnej domenie to również (a może i przede wszystkim) poprawna konfiguracja rekordów DNS”.

(!) Zgłoś błąd na stronie
Pomogłem? To może postawisz mi wirtualną kawę?
LUTy dla D-Cinelike (DJI Mini 3 Pro, DJI Avata, OSMO Pocket) od MiniFly
Wdrożenie Omnibusa w sklepie na WooCommerce
Jak (legalnie) latać dronem w Kategorii Otwartej
Patryk