Главная | Контакты | Настройки СМЕНИТЬ ПАЛИТРУ:
Главная > Интернет > Домен

Настройка SPF-записи

SPF (Sender Policy Framework) - это DNS-запись, содержащая список доверенных серверов, с которых может отправляться почта данного домена, и сведения о механизме обработки писем, отправленных с других серверов. Корректная настройка SPF позволит снизить вероятность рассылки спама злоумышленниками от вашего имени.

v=spf1 ip4:176.57.223.0/24 ~all

— принимать почту только из подсети 176.57.223.0/24; письма с других адресов должны быть помечены как спам.

v=spf1 a -all

— принимать почту только с A-записи домена; письма с других адресов должны отвергаться. 

v=spf1 -all

— отвергать все письма с домена. Такую настройку можно использовать для доменов, с которых не должна отправляться вообще никакая почта.

В последующих примерах мы не будем дополнительно комментировать значения параметров ~all и -all в SPF-записях.

ip4 / ip6

Используется для указания конкретных адресов и подсетей, из которых могут отправляться письма. Синтаксис для IPv4 и IPv6 идентичен.

v=spf1 ip4:176.57.223.0/24 ~all

— принимать почту из подсети 176.57.223.0/24.

v=spf1 ip6:2001:db8::10 ~all

— принимать почту с IPv6-адреса 2001:db8::10.

a

IP отправителя проверяется на соответствие A-записи домена. 

v=spf1 a ~all

— принимать почту с A-записи текущего домена.

v=spf1 a:sub.domain.com ~all

— принимать почту с A-записи домена sub.domain.com.

mx

IP отправителя проверяется на соответствие IP-адресам серверов, указанных в MX-записях домена. На текущий день для многих современных сервисов эта директива уже не так важна, так как серверы входящей и исходящей почты зачастую имеют разные IP.

v=spf1 mx mx:sub.domain.com -all

— принимать почту с MX-серверов текущего домена и домена sub.domain.com.

v=spf1 mx/24 -all

— принимать почту из подсети, в которую входят MX-серверы текущего домена.

include

Позволяет учитывать в SPF-записи настройки SPF другого домена. 

v=spf1 a include:other-domain.com -all

— принимать почту с A-записи текущего домена и серверов, указанных в SPF-записи домена other-domain.com.

При такой настройке проверяется SPF домена other-domain.com; если это, допустим, "v=spf1 a -all", то далее IP отправителя проверяется на соответствие A-записи домена other-domain.com.

redirect

Технически, redirect является модификатором, а не механизмом. Он выполняет одну основную функцию: сообщает, что необходимо применять настройки SPF другого домена.

v=spf1 redirect=other-domain.com

— почта должна приниматься или отклоняться согласно настройкам домена other-domain.com.

Прочие механизмы

Здесь мы рассмотрим оставшиеся механизмы, которые используются в настройках значительно реже.

ptr

PTR-запись IP-адреса отправителя проверяется на соответствие указанному домену. Данный механизм требует большого количества DNS-запросов при проверке, поэтому без острой необходимости использовать его в SPF не рекомендуется. 

v=spf1 ptr:other-domain.com -all

— принимать почту со всех адресов, PTR-запись которых направлена на домен other-domain.com

exists

Запрашивается А-запись указанного домена; если она существует, проверка считается пройденной. Другими словами, проверяется, резолвится ли домен на какой-либо (любой) IP-адрес.

v=spf1 exists:mydomain.com -all

— принимать почту, если существует A-запись домена mydomain.com.

exp

Параметр "exp" применяется для отправки сообщения об ошибке отправителю письма. С помощью "exp" в SPF прописывается определенный поддомен, в TXT-записи которого указан текст сообщения об ошибке. Имя поддомена и текст ошибки может быть любым.

Параметр "exp" всегда указывается в конце записи (после all).

Например: 

v=spf1 mx -all exp=error-spf.mydomain.com

При этом TXT-запись домена error-spf.mydomain.com содержит: "Not authorized to send mail for this domain".

Примеры настроек

Настройка SPF для "Почты для доменов" от Mail.Ru

(подробнее о настройке DNS для Мэйла см. здесь)

Если вы отправляете почту только с серверов Mail.Ru:

v=spf1 redirect=_spf.mail.ru

Если вы отправляете почту так же и с других серверов (укажите IP-адреса или подсети вместо IP1, IP2 и т.д.):

v=spf1 ip4:IP1 ip4:IP2 ip4:IP3 include:_spf.mail.ru ~all

Настройка SPF для Яндекс.Почты

(подробнее о настройке DNS для Яндекса см. здесь)

При использовании только серверов Яндекса:

v=spf1 redirect=_spf.yandex.net

При использовании также и других серверов (укажите IP-адреса или подсети вместо IP1, IP2 и т.д.):

v=spf1 ip4:IP1 ip4:IP2 ip4:IP3 include:_spf.yandex.net ~all

Настройка SPF для Google

(подробнее о настройке DNS для Google см. здесь)

При использовании только серверов Google:

v=spf1 include:_spf.google.com ~all

При использовании также и других серверов (укажите IP-адреса или подсети вместо IP1, IP2 и т.д.):

v=spf1 ip4:IP1 ip4:IP2 include:_spf.google.com ~all

Другие примеры

v=spf1 a ip4:176.57.223.12 include:domain2.com -all

— принимать почту с IP-адресов, соответствующих A-записям текущего домена, с IP-адреса 176.57.223.12 и серверов, указанных в SPF-записи domain2.com; прочие письма отклонять.

v=spf1 mx/24 a:domain2.com/24 ~all

— принимать почту из подсети, в которую входят MX-серверы текущего домена, и из подсети, в которую входят A-записи домена domain2.com; прочие письма отклонять.

v=spf1 a ip4:176.57.223.12 include:domain2.com -all

— принимать почту с A-записи текущего домена, IP-адреса 176.57.223.12, а также с серверов, указанных в SPF домена domain2.com.

Материал взят с сайта: https://timeweb.com/ru/help/pages/viewpage.action?pageId=11337949

SPF — применение в почтовых серверах и массовых рассылках

Аббревиатура SPF образована от английского Sender Policy Framework, что можно перевести на русский язык примерно как «политика безопасности отправителя» (далее просто SPF). С одной стороны SPF позволяет защитить владельца домена от подделки сообщений, а с другой стороны почтовый сервер-получатель имеет дополнительный критерий для проверки спам-не спам поступающих сообщений с доменов, в которых указана запись SPF.

SPF был принят в качестве отраслевого стандарта RFC 4408 от 2006 года (http://www.ietf.org/rfc/rfc4408.txt). К сожалению, его использование и поныне далеко не так распространено, как могло бы, а жаль, ведь повсеместное использование этой нехитрой технологии позволило бы значительно (в разы!) сократить объёмы спама в сети.

Потребность в технологиях подобных SPF была заложена более 30 лет назад, когда создавался протокол передачи почты SMTP (Simple Mail Transfer Protocol). Тогда ещё никто не мог и предположить, что интернет в целом и протокол отправки почты в частности будут иметь всемирный коммерческий успех и пользоваться ими ежедневно станут миллиарды людей. В тот момент электронная почта была лишь прикладным экспериментом по отправке сообщения из лаборатории одного технического университета США в другой. Разумеется, никто и не подумал встроить механизм аутентификации отправителя электронной почты — всех их можно быть пересчитать по пальцам одной руки и знали они друг друга лично. Когда Александр Белл изобрёл телефон, определитель номера ему тоже не был нужен :) Поэтому и по сей день в поле имени отправителя электронной почты можно вставлять любой текст, чем с успехом (к сожалению) пользуются не чистые на руку дельцы и кибер-преступники, которые рассылают спам, заражённые вирусами почтовые сообщения и т.д.

SPF представляет собой технологию, позволяющую отправителю почты, владельцу домена в явном виде указать список IP-адресов (хостов, почтовых серверов), которым разрешено отправлять сообщения электронной почты с именем его домена в поле From: (От:). Список легитимных хостов-отправителей публикуется владельцем домена в его DNS-зоне в виде текстовой записи типа TXT. Реализация технологии со стороны почтового сервера перед приёмом почты выполняет проверку соответствия IP-адреса отправителя полю From: через запрос к доменной зоне DNS. Если в DNS присутствует текстовая SPF-запись, дальнейшее поведение почтового сервера по отношению к конкретному письму будет определяться политиками, указанными в этой записи. Если IP-адрес отправителя сообщения в явном виде указан в SPF записи в качестве легитимных, то такое письмо может быть принято сервером почты без дополнительных проверок спам-фильтрами. Если же, напротив, IP-адрес к списку разрешённых не принадлежит и политика SPF в явном виде запрещает приём подобных сообщений (ключ "-all", см. примеры ниже), то почтовый сервер-получатель может даже не тратить свои ресурсы на приём этой подделки и проверку спам-фильтрами, а имеет полное право отвергнуть мошенническое письмо на этапе установления SMTP-сессии.

Помимо простоты внедрения владельцами доменов (понятный синтаксис, внесение текстовой записи в DNS, отсутствие необходимости в дополнительном ПО) технология SPF весьма экономна к ресурсам самих почтовых серверов, некоторые из которых проверяют миллионы сообщений в сутки и для которых дополнительная проверка каждого письма может стать весьма накладной. Но только не в случае SPF, ведь для каждого письма нужно выполнить только один лёгкий запрос к DNS по объёму ответа исчисляемый всего десятками или сотнями байтов. Поэтому проверка на SPF весьма популярна у высоко нагруженных бесплатных почтовых хостингов. Если хотите, чтобы сообщения с вашей корпоративной почты без проблем и пометок «Спам», «Сомнительное» и т.п. доставлялось в почтовые ящики бесплатных сервисов, обязательно создайте SPF-запись для своего домена. Эта рекомендация становится необходимостью, если речь идёт о массовой рассылке, которая с точки зрения почтового сервера-получателя имеет признаки спама и может быть оправдано отвергнута им, если не добавить рассылки дополнительного критерия легитимности, коим является SPF.

Внедрение SPF при отправке сообщений

Владельцу домена достаточно единожды внести в файлы DNS-зоны своего домена SPF-информацию, чтобы насладиться преимуществами технологии. Далее необходимо лишь поддерживать актуальность указанных данных.Ниже приведены примеры различных SPF-записей для доменов в синтаксисе популярного DNS-сервера Bind.

Запись 

@ IN TXT "spf=v1 a:mail.tendence.ru -all"
означает, что легитимные сообщения с домена могут быть направлены только с почтового сервера с адресов mail.tendence.ru, а все остальные являются подделкой и их следует отвергать "-all". Запись "spf=v1" в начале строки указывает на версию SPF. На данный момент версия единственная, первая.

Более сложный пример, 

@ IN TXT "spf=v1 +a +mx -all"
предписывает почтовому сервер-получателю принимать сообщения только от хостов, указанных в A и MX-записях домена, а остальные отвергать "-all".

Пример с указанием разрешённых IP-адресов в явном виде, 

@ IN TXT "spf=v1 ip4:91.232.243.0/24 -all"
позволяет получение почты от имени домена со всех IP-адресов подсети 91.232.243.0/24

Стандарт описывает также и следующий синтаксис, 

@ IN TXT "spf=v1 +a +mx ip4:91.232.243.0/24 ~all"
или даже 

@ IN TXT "spf=v1 +a +mx ip4:91.232.243.0/24 +all"

однако, использование таких мягких правил "~all/+all" для отправителей не соответствующих внесённым правилам девальвирует идею SPF и не рекомендуется к применению.

Проверка SPF при приёме сообщений

Работа с технологией SPF встроена во все современные почтовые серверы ведь, напомним, стандарт принят ещё в 2006 году. Так что скорее всего проверка входящих сообщений на SPF уже включено в ПО почтового сервера для платформы Windows по умолчанию. Для почтовых серверов на Linux может потребоваться установка отдельного пакета, например, pypolicyd-spf для Postfix.

Материал взят с сайта: https://www.tendence.ru/articles/spf-primenenie-v-pochtovyh-serverah-i-massovyh-rassylkah

Проверить наличие SPF-записи

Настройка SPF
Загадки и мифы SPF
Как обеспечить доставку электронных писем и защиту от спуфинга с помощью SPF

Главная > Интернет > Домен