SPF для защиты почты

SPF(Sender Policy Framework) – инструмент для определения того, какие серверы уполномочены отправлять почту от имени нашего домена. То есть, в записи для домена example.com будет указано, что делать с сообщениями от любого человека по адресу @example.com. Он позволяет отклонить сообщение или просто отметить его и уведомить вас о возможной попытке выдать себя за этот домен.

Проверка SPF

Простое правило для проверки SPF заключается в запросе DNS-сервера на доменную txt-запись адреса электронной почты (например, info@roan24.pl – домен roan24.pl). Таким образом, „dig roan24.pl txt” вернет нам: „v=spf1 a mx ip4:178.33.3.224 -all”, то есть домен имеет запись spf версии 1 (v=spf1), и с данного домена он может отправлять почту только с ip-адресов, находящихся в записи A (a), MX (mx), или имеет ip версии 4 178.33.3.224 (ip4:178.33.3.224). Что касается записей a и mx, вы можете прочитать, как они работают, в нашей статье Основы DNS.
Затем остается только проверить, что делать с сообщением, т.е. запись „all”, чаще всего используется „~all”, что означает принять, но отметить возможность мошенничества, или „-all”, если сервер-отправитель не находится в списке SPF, то сообщение отклоняется без дальнейшей проверки.

Как внедрить SPF

Подробное описание всего синтаксиса можно найти на сайте openspf, но в английской версии. Однако я опишу здесь, надеюсь, понятно, какой синтаксис использовать для ввода SPF на нашем домене.
Так что да, мы всегда будем использовать v=spf1 в начале, поскольку здесь я описываю первую версию spf (второй версии пока не существует). Итак, у нас есть запись:
v=spf1
Эта запись пока ничего нам не говорит, добавим к ней тег all – он означает, как нам следует относиться к сообщению, которое мы проверяем spf. И поэтому мы можем поставить перед ним четыре знака „+”, означающие, что все в порядке, „-” – что не прошло, „~” – что это подозрительно, „?” – нейтрально.
И поэтому, если запись имеет вид „+all”, а отправляющего хоста нет в списке, то мы должны принять такое сообщение.
Если это „~all” и хоста нет в списке, мы должны принять такое сообщение, но пометить его как ошибку spf или подозрение на спам.
Если мы имеем „-all”, рекомендованное мной означает, что если сервера нет в списке, то сообщение от него должно быть отклонено.
Запись „?all” означает, что в принципе ничего не произошло, есть она там или нет – короче говоря, никакой записи быть не может.
Я рекомендую использовать либо „~all”, если ваши адреса часто меняются и вам может быть трудно ввести их все, либо „-all”, если вы знаете точные адреса ваших серверов и они не меняются слишком часто.
v=spf1 -all
Имея начало и конец, мы теперь будем вводить ip-адреса или записи (в середине записи) в наш список.
A – т.е. сервер в записи a может отправлять почту. ПРИМЕЧАНИЕ Если вы используете прокси-сервер или cdn (например, cloudflare), вам не следует вводить это значение, так как ваш почтовый сервер не должен быть уполномочен отправлять почту от вашего имени.
MX – Здесь следует отметить, что если вы измените адрес сервера в записи MX, вам больше не нужно менять запись SPF, что облегчает работу, иногда может случиться так, что мы используем шлюз для получения почты и эту запись не следует использовать.
ip4 – то есть один ip-адрес или ip/маска-адрес (например, 192.168.0.0/24 это – от 192.168.0.0 до 192.168.0.255) означает конкретные ip-адреса четвертой версии, которые авторизованы для отправки почты.
ip6 – по тому же принципу, что и адреса ip4, однако касается только адресов версии 6.
Существуют также дополнительные записи, такие как „include” и „redirect”, include включает записи из указанного домена (путем поиска в txt), а redirect перенаправляет на другой домен, где мы можем найти SPF инструкции в txt записи.
Кроме того, создание SPF-записи не является сложной задачей даже для крупных почтовых провайдеров и рекомендуется, просто помните, что вы должны обновлять ее при смене ip-адреса почтового сервера, и она не добавляется MX. Для небольших доменов мы рекомендуем использовать короткие записи с добавлением только mx-записи, например. достаточно для всех наших клиентов:
v=spf1 mx ip4:178.33.3.224 -all

Резюме

SPF не является идеальным средством защиты нашей почты, но его достаточно легко ввести, а правильное форматирование может значительно уменьшить фишинг, связанный с выдачей себя за наш почтовый домен.