10 лет успеха:2006-2016
8 (800) 500-92-06
Бесплатный звонок из регионов

SPF — применение в почтовых серверах и массовых рассылках

Главная / Статьи / SPF — применение в почтовых серверах и массовых рассылках

Аббревиатура SPF образована от английского Sender Policy Framework, что можно перевести на русский язык примерно как «политика безопасности отправителя» (далее просто SPF). С одной стороны SPF позволяет защитить владельца домена от подделки сообщений, а с другой стороны почтовый сервер-получатель имеет дополнительный критерий для проверки спам-не спам поступающих сообщений с доменов, в которых указана запись SPF.

SPF был принят в качестве отраслевого стандарта RFC 4408 от 2006 года (http://www.ietf.org/rfc/rfc4408.txt). К сожалению, его использование и поныне далеко не так распространено, как могло бы, а жаль, ведь повсеместное использование этой нехитрой технологии позволило бы значительно (в разы!) сократить объёмы спама в сети.

Потребность в технологиях подобных SPF была заложена более 30 лет назад, когда создавался протокол передачи почты SMTP (Simple Mail Transfer Protocol). Тогда ещё никто не мог и предположить, что интернет в целом и протокол отправки почты в частности будут иметь всемирный коммерческий успех и пользоваться ими ежедневно станут миллиарды людей. В тот момент электронная почта была лишь прикладным экспериментом по отправке сообщения из лаборатории одного технического университета США в другой. Разумеется, никто и не подумал встроить механизм аутентификации отправителя электронной почты — всех их можно быть пересчитать по пальцам одной руки и знали они друг друга лично. Когда Александр Белл изобрёл телефон, определитель номера ему тоже не был нужен :) Поэтому и по сей день в поле имени отправителя электронной почты можно вставлять любой текст, чем с успехом (к сожалению) пользуются не чистые на руку дельцы и кибер-преступники, которые рассылают спам, заражённые вирусами почтовые сообщения и т.д.

SPF – эффективный инструмент защиты почтовых серверов от спама, а почтовых доменов от подделки

SPF представляет собой технологию, позволяющую отправителю почты, владельцу домена в явном виде указать список IP-адресов (хостов, почтовых серверов), которым разрешено отправлять сообщения электронной почты с именем его домена в поле From: (От:). Список легитимных хостов-отправителей публикуется владельцем домена в его DNS-зоне в виде текстовой записи типа TXT. Реализация технологии со стороны почтового сервера перед приёмом почты выполняет проверку соответствия IP-адреса отправителя полю From: через запрос к доменной зоне DNS. Если в DNS присутствует текстовая SPF-запись, дальнейшее поведение почтового сервера по отношению к конкретному письму будет определяться политиками, указанными в этой записи. Если IP-адрес отправителя сообщения в явном виде указан в SPF записи в качестве легитимных, то такое письмо может быть принято сервером почты без дополнительных проверок спам-фильтрами. Если же, напротив, IP-адрес к списку разрешённых не принадлежит и политика SPF в явном виде запрещает приём подобных сообщений (ключ "-all", см. примеры ниже), то почтовый сервер-получатель может даже не тратить свои ресурсы на приём этой подделки и проверку спам-фильтрами, а имеет полное право отвергнуть мошенническое письмо на этапе установления SMTP-сессии.

Помимо простоты внедрения владельцами доменов (понятный синтаксис, внесение текстовой записи в DNS, отсутствие необходимости в дополнительном ПО) технология SPF весьма экономна к ресурсам самих почтовых серверов, некоторые из которых проверяют миллионы сообщений в сутки и для которых дополнительная проверка каждого письма может стать весьма накладной. Но только не в случае SPF, ведь для каждого письма нужно выполнить только один лёгкий запрос к DNS по объёму ответа исчисляемый всего десятками или сотнями байтов. Поэтому проверка на SPF весьма популярна у высоко нагруженных бесплатных почтовых хостингов. Если хотите, чтобы сообщения с вашей корпоративной почты без проблем и пометок «Спам», «Сомнительное» и т.п. доставлялось в почтовые ящики бесплатных сервисов, обязательно создайте SPF-запись для своего домена. Эта рекомендация становится необходимостью, если речь идёт о массовой рассылке, которая с точки зрения почтового сервера-получателя имеет признаки спама и может быть оправдано отвергнута им, если не добавить рассылки дополнительного критерия легитимности, коим является SPF.

Внедрение SPF при отправке сообщений

Владельцу домена достаточно единожды внести в файлы DNS-зоны своего домена SPF-информацию, чтобы насладиться преимуществами технологии. Далее необходимо лишь поддерживать актуальность указанных данных.Ниже приведены примеры различных SPF-записей для доменов в синтаксисе популярного DNS-сервера Bind.

Запись

@ IN TXT "spf=v1 a:mail.tendence.ru -all"

означает, что легитимные сообщения с домена могут быть направлены только с почтового сервера с адресов mail.tendence.ru, а все остальные являются подделкой и их следует отвергать "-all". Запись "spf=v1" в начале строки указывает на версию SPF. На данный момент версия единственная, первая.

Более сложный пример,

@ IN TXT "spf=v1 +a +mx -all"

предписывает почтовому сервер-получателю принимать сообщения только от хостов, указанных в A и MX-записях домена, а остальные отвергать "-all".

Пример с указанием разрешённых IP-адресов в явном виде,

@ IN TXT "spf=v1 ip4:91.232.243.0/24 -all"

позволяет получение почты от имени домена со всех IP-адресов подсети 91.232.243.0/24

Стандарт описывает также и следующий синтаксис,

@ IN TXT "spf=v1 +a +mx ip4:91.232.243.0/24 ~all"

или даже

@ IN TXT "spf=v1 +a +mx ip4:91.232.243.0/24 +all"

однако, использование таких мягких правил "~all/+all" для отправителей не соответствующих внесённым правилам девальвирует идею SPF и не рекомендуется к применению.

Проверка SPF при приёме сообщений

Работа с технологией SPF встроена во все современные почтовые серверы ведь, напомним, стандарт принят ещё в 2006 году. Так что скорее всего проверка входящих сообщений на SPF уже включено в ПО почтового сервера для платформы Windows по умолчанию. Для почтовых серверов на Linux может потребоваться установка отдельного пакета, например, pypolicyd-spf для Postfix.


При перепубликации статьи установка активной индексируемой гиперссылки на источник - сайт TENDENCE.RU обязательна!

12552 просмотра