Hetzner - DokuWiki

DNS SPF/ru

Inhaltsverzeichnis

Обзор

Сокращение SPF означает Sender Policy Framework (структура политики отправителя) и являет собой технику предотвращения спама и email-сообщений, используемых для распространения вирусов.

SPF включает специальную запись в файл зоны сервера имён, отвечающего за домен отправителя, что защищает от манипуляций неавторизованными сторонами.

SPF не борется со спамом, исходящим с домена, который корректно зарегистрирован отправителем, а также не покрывает несуществующие домены.

Подробнее о работе

С SPF в файл зоны домена добавляется специфическая TXT запись. Эта запись указывает авторизованные для данного домена SMTP серверы. Для входящих сообщений, почтовые серверы проверяют соответствие SMTP серверов и домена отправителя, основываясь на информации из SPF записи.

SPF запись выглядит, например, вот так:

  @		IN	TXT	"v=spf1 mx ip4:213.133.98.98 a:test.bigcompany.com -all"
  • все компьтеры, перечисленные в MX-записях для данного домена могут отправлять почту
  • также разрешена отправка почты с компьютера с IP-адресом «213.133.98.98»
  • почта с компьютера с именем «test.bigcompany.com» также будет приниматься
  • все другие почтовые серверы не авторизованы для отправки почты

Простой практический пример

У вас есть выделенный сервер в Hetzner, где расположен ваш собственный домен "bigcompany.com". Email сообщения отправляются и получаются исключительно этим сервером.

В таком случае, вам достаточно такой TXT записи в файле зоны сервера имён:

  @		IN	TXT	"v=spf1 mx -all"
  • только компьютеру, указанному в домене как почтовый сервер (=MX) разрешено отправлять email сообщения с адресом отправителя «@bigcompany.com»
  • всем остальным почтовым серверам и/или серверам, заражённым вирусом, не разрешено использовать домен «@bigcompany.com» в качестве отправителя.

Пересылка email-сообщений

Пересылка email-сообщений возможна только в случае, если адрес отправителя, назначаемый на пересылающем сервере, представлен таким образом, что SPF запись для изначального домена отправителя более не актуальна.

Пример A:

Компания «bigcompany.com» получила заказ. Подтверждение заказа отправлено:

Отправитель:        sales@bigcompany.com
Сервер отправителя: mail.bigcompany.com
Получатель:         client@cool-address.com
Сервер получателя:  mail.cool-address.com     ---> проверка SPF «bigcompany.com»: разрешить

Email сообщение прибывает на почтовый сервер «cool-address.com». Допустим, далее письмо пересылается клиенту «client@aol.com»:

Отправитель:        sales@bigcompany.com
Сервер отправителя: mail.cool-address.com
Получатель:         client@aol.com
Сервер получателя:  mail.aol.com              ---> проверка SPF «bigcompany.com»: запретить

Сообщение не доставлено, так как получивший письмо почтовый сервер AOL во время SPF проверки установил, что пересылающему письмо серверу «mail.cool-address.com» не разрешено отправлять письма с «@bigcompany.com».

Проблема решается с помощью SRS: SRS (Sender Rewriting Scheme) это средство, дающее пересылающим серверам возможность изменять соответствующим образом адрес отправителя.

Пример Б, с SRS:

Подтверждение заказа отправлено вновь:

Отправитель:        sales@bigcompany.com
Сервер отправителя: mail.bigcompany.com
Получатель:         client@cool-address.com
Сервер получателя:  mail.cool-address.com     ---> проверка SPF «bigcompany.com»: разрешить

Пока ничего не изменилось. Однако теперь пересылающий сервер меняет адрес отправителя:

Отправитель:        client+sales#bigcompany.com@cool-address.com
Сервер отправителя: mail.cool-address.com
Получатель:         client@aol.com
Сервер получателя:  mail.aol.com              ---> проверка SPF «cool-address.com»: разрешить

На практике, заменяется не просто домен, так как это могло бы быть использовано спамерами для организации «bounce» атак. Подробное описание процедуры SRS можно найти на http://www.libsrs2.org/ в файле «I want to find out about SRS» (PDF документ).

Недостатки SPF

  • к сожалению, SPF записи не достаточно распространены, поэтому SPF фильтры обнаруживают относительно немного «соответствий»
  • важная для пересылки сообщений процедура SRS, также не очень распространена на практике
  • при смене провайдера возникает необходимость точного планирования и изменения SPF записей во время переезда
  • много пользователей ничего не знают о своих (или своей компании) SPF записях и используют неавторизованные почтовые серверы местного провайдера. Это приводит к ошибкам.

Однако, недостатки SPF не следует преувеличивать, так как SPF является идеальным средством защиты персонального домена от злоупотреблений.

Дальнейшая информация

Очень подробная информация о SPF находится на следующих страницах:

SMTP+SPF, структура политики отправителя: http://www.openspf.org/
механизмы и синтаксис SPF: http://www.openspf.org/SPF_Record_Syntax
проверка SPF: http://www.dnsstuff.com/
процедура SRS: http://www.openspf.org/SRS



© 2018. Hetzner Online GmbH. Alle Rechte vorbehalten.