Сервер в кармане, или просто о сложном!

главная - Статьи - Почта



SPF запись для домена

Дата: 08.02.2020

Теги: Защита почты Почтовый сервер Postfix

В борьбе со спамом по электронной почте примеяется много разных решений. В числе самых простых и эффективных - применение SPF записи. Что такое SPF?

Технология Sender Policy Framework (SPF) определяет, какие почтовые серверы официально назначены на роль отправителей почты для домена. Например, если есть домен domain.com и с помощью записи SPF указано, что почту для этого домена должен отправлять хост mx1.domain.com, то если кто-то отправит письмо с другого сервера (например, даже в этом же домене, скажем, gw1.domain.com), то принимающий почтовый сервер либо отправит письмо в спам либо просто отклонит его.

SPF полезен как отправителю, так и получателю письма.

Отправитель указывает всем участникам обмена email, кто имеет право отправлять оригинальную почту, а получатель получает возможность проверить, действительно ли письмо было отправлено с корректного smtp сервера.

Финальное решение, отправлять/принимать/отклонять письмо на основе SPF-записи конкретного домена, принимает конкретный сервер. Нет никаких требований, обязывающий сервер что-то делать, пока админ это не настроитGmail может поступить так, Яндекс - иначе, а вы вообще сам себе хозяин.

 

SPF является простым, надежным и эффективным минимальным средством борьбы со спамом.

Простое средство

Достаточно добавить специальную TXT запись домена и после обновления кешей все почтовые серверы смогут сразу понять - письмо явно "левое" или все же заслуживает доверия. Одна строка. Нет никакой необходимости что-то дополнительно настраивать на почтовых клиентах. SPF не ограничивает вас в выборе TLS, SSL, plain text (omg!), версиях почтовых клиентов, почтовых серверов или операционных систем.

В домене может быть только одна запись SPF, но в ней можно указывать несколько серверов.

Варианты:

"v=spf1" - версия SPF.
"+" - разрешить (по-умолчанию)
"-" - отклонить
"~" - принять, но насторожиться, скорее всего, пометить как спам (мягкий запрет).
"?" - нейтральное отношение;
"mx" - адреса серверов, указанные в MX-записях домена
"ip4" - конкретный IP-адрес или сеть (например, +ip4:1.2.3.4 или -ip4:1.2.3.0/24)
"a" - адрес отправителя соответсвует A-записи домена (тот ip, который определется по ping, например, ping ya.ru)
"include" - хосты, разрешенные SPF-записью указанного домена (например, +include:yandex.ru - письмо от имени нашего домена может быть отправлено с одного из серверов, указанных Яндексом в его SPF-записи)
"all" - все остальные варианты. Если указано только +all, то значит, кто угодно может слать почту домена.

Пример SPF-записи для домена domain.com:

domain.com. IN TXT "v=spf1 +a +mx ~all"

v=spf1 - версия spf
+a - считать нормальным, что почта домена domain.com идет с IP-адреса, соответсвующего A-записи для domain.com.
+mx - считать нормальным, если почту домена отправляют серверы, указанные в MX-записи домена.
~all - если письмо пришло с сервера, который не указан явно, или не запрещен явно, то почтовику стоит насторожиться, дополнительно проверить или просто, не отклоняя письмо, положить его в спам или как-то пометить, например, в head добавить [Possible spam].

domain.com. IN TXT "v=spf1 +mx -all"

Почта домена должна отправляться только с серверов, указанных в MX-записи.

MX-запись, к слову, указывает, какие серверы ответсвенны за прием почты домена. Поэтому совсем не факт, что оправка почты должна быть с MX-сервера. Для отправки может быть выделен отдельный хост с Postfix, скажем. А за прием и хранение почты может отвечать совершенно другой сервер/серверы, например, на Dovecot. В таком случае укажем только тот хост, который отправляет почту:

domain.com. IN TXT "v=spf1 +ip4:1.2.3.4 +a:smtp.domain.com -all"

Заявляется, что почта домена domain.com должна быть отправлена или с IP 1.2.3.4, или с IP, который соответсвует A-записи хоста smtp.domain.com. Остальные - в топку.

Запись +mx и mx одно и то же, плюс подразумевается, но его можно указать для наглядности.

 

Надежное средство

Попробуйте-ка подделать DNS-запись домена. Конечно, нет ничего невозможного, но это крайне трудно.

 

Эффективное средство

Список серверов, ответсвенных за отправку почты домена, как правило, конечен. Фактически, SPF-запись - это white-list серверов. Этот список прост для анализа, он открыт всем остальным серверам в интернет и позволяет отсекать тех, кто пытается притвориться легитимным сервером. То есть остаются варианты подбора пароля, ошибки в конфигурации smtp-сервера, но это уже сложнее для спамеров.

Практически все хостеры позволяют удобно указывать SPF-запись, ведь рассылать или принимать лишний спам никто не хочет.



Авторизуйтесь для добавления комментариев!


    забыли пароль?    новый пользователь?






Почтовый сервер Mikrotik VPN 3proxy Шифрование Squid Резервное копирование Защита почты Виртуальные машины Настройка сервера java kvm Групповые политики SELinux OpenVPN IPFW WDS Lightsquid Samba firewalld systemd Mobile libvirt Remote desktop WiFi Iptables NAT Postfix Dovecot Удаление данных Софт Безопасность Winbox User agent Хостинг Передача данных Онлайн сервисы Privacy LetsEncrypt VPN сервер Настройка прокси RRDTool sendmail Rsync Linux SSH Система Windows Синхронизация Облако fail2ban FreeBSD