Что такое SPF?
Sender Policy Framework (структура политики отправителя) — расширение для протокола отправки электронной почты SMTP. SPF определен в RFC 4408.
Благодаря SPF можно проверить, не подделан ли домен отправителя.
SPF позволяет владельцу домена указать в TXT записи, соответствующей имени домена, специальным образом сформированную строку, указывающую список серверов, имеющих право отправлять email-сообщения с обратными адресами в этом домене.
Агенты передачи почты получающие почтовые сообщения могут запрашивать SPF-информацию с помощью простого DNS-запроса, верифицируя таким образом сервер отправителя.
При настройке DNS для почтового сервера рекомендуется соблюдать следующие правила:
1. Сервер исходящей почты должен представляться в команде HELO/EHLO своим внешним FQDN (т.е., например, не mail.firma.local, а mail.firma.ru)
2. FQDN сервера исходящей почты должно однозначно разрешаться записью A во внешний IP-адрес сервера исходящей почты.
3. Внешний IP-адрес сервера исходящей почты должен однозначно разрешаться записью PTR во внешний FQDN сервера исходящей почты (т.е. A, PTR и HELO/EHLO должны однозначно соответствовать друг другу).
4. Сервер исходящей почты должен быть указан в записях SPF всех доменов, для которых он является авторизованным для отправки или пересылки почты.
5. Запись MX должна существовать и указывать на FQDN сервера входящей почты.
Пример1: один сервер (FQDN = HELO/EHLO = mail.firma.ru), один почтовый домен firma.ru.
Записи в DNS (в соответствующих зонах):
mail.firma.ru. A 1.1.1.1 ; HELO/EHLO = mail.firma.ru
firma.ru. MX 30 mail.firma.ru.
firma.ru. TXT “v=spf1 a:mail.firma.ru -all”
1.1.1.1.in-addr.arpa. PTR mail.firma.ru.
Пример2: два собственных сервера входящей почты mail1.firma.ru и mail2.firma.ru, собственный сервер исходящей почты exchange.firma.ru, запасной сервер исходящей почты у запасного провайдера relay.isp.net, сервер исходящей почты филиала mail.urupinsk.net, почтовые домены superfirma.ru и myfirma.com, домен firma.ru для отправки почты не используется:
Записи в DNS (в соответствующих зонах):
superfirma.ru. MX 10 mail2.firma.ru.
superfirma.ru. MX 20 mail1.firma.ru.
myfirma.com. MX 10 mail1.firma.ru.
myfirma.com. MX 50 mail2.firma.ru.
exchange.firma.ru. A 1.1.1.1 ; HELO/EHLO= exchange.firma.ru.
1.1.1.1.in-addr.arpa. PTR exchange.firma.ru.
relay.isp.net. A 2.2.2.2 ; HELO/EHLO= relay.isp.net.
2.2.2.2.in-addr.arpa. PTR relay.isp.net.
mail.urupinsk.net. A 3.3.3.3 ; HELO/EHLO= mail.urupinsk.net.
3.3.3.3.in-addr.arpa. PTR mail.urupinsk.net.
superfirma.ru. TXT “v=spf1 a:exchange.firma.ru a:relay.isp.net a:mail.urupinsk.net –all”
myfirma.com. TXT “v=spf1 a:exchange.firma.ru a:relay.isp.net a:mail.urupinsk.net –all”
firma.ru. TXT “v=spf1 –all” ; домен для электронной почты не используется
mail1.firma.ru. A 4.4.4.4
mail2.firma.ru. A 5.5.5.5
4.4.4.4.in-addr.arpa. PTR mail1.firma.ru.
5.5.5.5.in-addr.arpa. PTR mail2.firma.ru.
____________________________________________________________________
чем отличается ~all и -all ?
Изначальная трактовка в стандарте была следующая:
firma.ru. TXT “v=spf1 a:mail.firma.ru –all”
; почту от имени домена может отправлять только сервер mail.firma.ru, все отправленное с других адресов - 100% спам.
firma.ru. TXT “v=spf1 a:mail.firma.ru ~all”
; почту от имени домена может отправлять сервер mail.firma.ru, отправленное с других адресов скорее всего спам, но, неисключено что некоторые мобильные, пока еще не перенастроенные клиенты могут использовать другие почтовые серевера (например, командированные сотрудники пользуются своим ноутбуком и почтовым серевером отеля).
firma.ru. TXT “v=spf1 a:mail.firma.ru ?all”
; только для тестирования, все почтовые системы должны вести себя так, как будто записи SPF не существует.
Еще почитать:
Комментариев нет:
Отправить комментарий