Hetzner - DokuWiki

DNS SPF/ru

Inhaltsverzeichnis

Обзор

Сокращение SPF означает Sender Policy Framework (структура политики отправителя) и являет собой технику предотвращения email спама и email сообщений, используемых для распространения вирусов.

SPF включает специальную запись в файл зоны сервера имён, отвечающего за домен отправителя, что защищает от манипуляций неавторизованными сторонами.

SPF не борется со спамом, исходящим с домена, который корректно зарегистрирован отправителем, а также не покрывает несуществующие домены.

Подробнее о работе

С SPF в файл зоны домена добавляется специфическая TXT запись. Эта запись указывает авторизованные для данного домена SMTP серверы. Для входящих сообщений, почтовые серверы проверяют соответствие SMTP серверов и домена отправителя, основываясь на информации из SPF записи.

SPF запись выглядит, например, вот так:

  @		IN	TXT	"v=spf1 mx ip4:213.133.98.98 a:test.bigcompany.com -all"
  • all computers which have MX records in this domain are valid
  • additionally, emails from the computer with IP "213.133.98.98" are permitted
  • emails from the computer "test.bigcompany.com" are also accepted
  • all other mail servers are not authorised

Простой практический пример

У вас есть выделенный сервер в Hetzner, где расположен ваш собственный домен "bigcompany.com". Email сообщения отправляются и получаются исключительно этим сервером.

В таком случае, вам достаточно такой TXT записи в файле зоны сервера имён:

  @		IN	TXT	"v=spf1 mx -all"
  • только компьютеру, указанному в домене как почтовый сервер (=MX) разрешено отправлять email сообщения с адресом отправителя «@bigcompany.com»
  • всем остальным почтовым серверам и/или серверам, заражённым вирусом, не разрешено использовать домен «@bigcompany.com» в качестве отправителя.

Пересылка email-сообщений

Пересылка email-сообщений возможна только в случае, если адрес отправителя, назначаемый на пересылающем сервере, представлен таким образом, что SPF запись для изначального домена отправителя более не актуальна.

Пример A:

Комания «bigcompany.com» получила заказ. Подтверждение заказа отправлено:

Sender:           sales@bigcompany.com
Sending server:   mail.bigcompany.com
Receiver:         client@cool-address.com
Receiving server: mail.cool-address.com     ---> SPF check "bigcompany.com": ok

Email сообщение прибывает на почтовый сервер «cool-address.com». Допустим, далее письмо пересылается клиенту «client@aol.com»:

Sender:           sales@bigcompany.com
Sending server:   mail.cool-address.com
Receiver:         client@aol.com
Receiving server: mail.aol.com              ---> SPF check "bigcompany.com": failed

Сообщение не доставлено, так как получивший письмо почтовый сервер AOL во время SPF проверки установил, что пересылающему письмо серверу «mail.cool-address.com» не разрешено отправлять письма с «@bigcompany.com».

Проблема решается с помощью SRS: SRS (Sender Rewriting Scheme) это средство, дающее пересылающим серверам возможность изменять соответствующим образом адрес отправителя.

Пример Б, с SRS:

Подтверждение заказа отправлено вновь:

Sender:           sales@bigcompany.com
Sending server:   mail.bigcompany.com
Receiver:         client@cool-address.com
Receiving server: mail.cool-address.com     ---> SPF check "bigcompany.com": ok

Пока ничего не изменилось. Однако теперь пересылающий сервер меняет адрес отправителя:

Sender:           client+sales#bigcompany.com@cool-address.com
Sending server:   mail.cool-address.com
Receiver:         client@aol.com
Receiving server: mail.aol.com               ---> SPF check "cool-address.com": ok

На практике, заменяется не просто домен, так как это могло бы быть использовано спамерами для организации «bounce» атак. Подробное описание процедуры SRS можно найти на http://www.libsrs2.org/ в файле «I want to find out about SRS»(PDF документ).

Недостатки SPF

  • к сожалению, SPF записи не достаточно распространены, поэтому SPF фильтры обнаруживают относительно немного «соответствий»
  • важная для пересылки сообщений процедура SRS, также не очень распространена на практике
  • при смене провайдера возникает необходимость точного планирования и изменения SPF записей во время переезда
  • много пользователей ничего не знают о своих (или своей компании) SPF записях и используют неавторизованные почтовые серверы местного провайдера. Это приводит к ошибкам.

Однако, недостатки SPF не следует преувеличивать, так как SPF является идеальным средством защиты персонального домена от злоупотреблений.

Дальнейшая информация

Очень подробная информация об SPF находится на:

SMTP+SPF, структура политики отправителя: http://www.openspf.org/
механизмы и синтаксис SPF: http://www.openspf.org/SPF_Record_Syntax
проверка SPF: http://www.dnsstuff.com/
процедура SRS: http://www.openspf.org/SRS



© 2020. Hetzner Online GmbH. Alle Rechte vorbehalten.