Сервер в кармане, или просто о сложном!

главная - Статьи - Почта

SPF запись для домена

Дата: 08.02.2020

Теги: Защита почты Почтовый сервер Postfix

В борьбе со спамом по электронной почте примеяется много разных решений. В числе самых простых и эффективных - применение SPF записи. Что такое SPF?

Технология Sender Policy Framework (SPF) определяет, какие почтовые серверы официально назначены на роль отправителей почты для домена. Например, если есть домен domain.com и с помощью записи SPF указано, что почту для этого домена должен отправлять хост mx1.domain.com, то если кто-то отправит письмо с другого сервера (например, даже в этом же домене, скажем, gw1.domain.com), то принимающий почтовый сервер либо отправит письмо в спам либо просто отклонит его.

SPF полезен как отправителю, так и получателю письма.

Отправитель указывает всем участникам обмена email, кто имеет право отправлять оригинальную почту, а получатель получает возможность проверить, действительно ли письмо было отправлено с корректного smtp сервера.

Финальное решение, отправлять/принимать/отклонять письмо на основе SPF-записи конкретного домена, принимает конкретный сервер. Нет никаких требований, обязывающий сервер что-то делать, пока админ это не настроитGmail может поступить так, Яндекс - иначе, а вы вообще сам себе хозяин.

 

SPF является простым, надежным и эффективным минимальным средством борьбы со спамом.

Простое средство

Достаточно добавить специальную TXT запись домена и после обновления кешей все почтовые серверы смогут сразу понять - письмо явно "левое" или все же заслуживает доверия. Одна строка. Нет никакой необходимости что-то дополнительно настраивать на почтовых клиентах. SPF не ограничивает вас в выборе TLS, SSL, plain text (omg!), версиях почтовых клиентов, почтовых серверов или операционных систем.

В домене может быть только одна запись SPF, но в ней можно указывать несколько серверов.

Варианты:

"v=spf1" - версия SPF.
"+" - разрешить (по-умолчанию)
"-" - отклонить
"~" - принять, но насторожиться, скорее всего, пометить как спам (мягкий запрет).
"?" - нейтральное отношение;
"mx" - адреса серверов, указанные в MX-записях домена
"ip4" - конкретный IP-адрес или сеть (например, +ip4:1.2.3.4 или -ip4:1.2.3.0/24)
"a" - адрес отправителя соответсвует A-записи домена (тот ip, который определется по ping, например, ping ya.ru)
"include" - хосты, разрешенные SPF-записью указанного домена (например, +include:yandex.ru - письмо от имени нашего домена может быть отправлено с одного из серверов, указанных Яндексом в его SPF-записи)
"all" - все остальные варианты. Если указано только +all, то значит, кто угодно может слать почту домена.

Пример SPF-записи для домена domain.com:

domain.com. IN TXT "v=spf1 +a +mx ~all"

v=spf1 - версия spf
+a - считать нормальным, что почта домена domain.com идет с IP-адреса, соответсвующего A-записи для domain.com.
+mx - считать нормальным, если почту домена отправляют серверы, указанные в MX-записи домена.
~all - если письмо пришло с сервера, который не указан явно, или не запрещен явно, то почтовику стоит насторожиться, дополнительно проверить или просто, не отклоняя письмо, положить его в спам или как-то пометить, например, в head добавить [Possible spam].

domain.com. IN TXT "v=spf1 +mx -all"

Почта домена должна отправляться только с серверов, указанных в MX-записи.

MX-запись, к слову, указывает, какие серверы ответсвенны за прием почты домена. Поэтому совсем не факт, что оправка почты должна быть с MX-сервера. Для отправки может быть выделен отдельный хост с Postfix, скажем. А за прием и хранение почты может отвечать совершенно другой сервер/серверы, например, на Dovecot. В таком случае укажем только тот хост, который отправляет почту:

domain.com. IN TXT "v=spf1 +ip4:1.2.3.4 +a:smtp.domain.com -all"

Заявляется, что почта домена domain.com должна быть отправлена или с IP 1.2.3.4, или с IP, который соответсвует A-записи хоста smtp.domain.com. Остальные - в топку.

Запись +mx и mx одно и то же, плюс подразумевается, но его можно указать для наглядности.

 

Надежное средство

Попробуйте-ка подделать DNS-запись домена. Конечно, нет ничего невозможного, но это крайне трудно.

 

Эффективное средство

Список серверов, ответсвенных за отправку почты домена, как правило, конечен. Фактически, SPF-запись - это white-list серверов. Этот список прост для анализа, он открыт всем остальным серверам в интернет и позволяет отсекать тех, кто пытается притвориться легитимным сервером. То есть остаются варианты подбора пароля, ошибки в конфигурации smtp-сервера, но это уже сложнее для спамеров.

Практически все хостеры позволяют удобно указывать SPF-запись, ведь рассылать или принимать лишний спам никто не хочет.


Авторизуйтесь для добавления комментариев!


    забыли пароль?    новый пользователь?