SPF для защиты почты

SPF(Sender Policy Framework) — инструмент для определения того, какие серверы уполномочены отправлять почту от имени нашего домена. То есть, в записи для домена example.com будет указано, что делать с сообщениями от любого человека по адресу @example.com. Он позволяет отклонить сообщение или просто отметить его и уведомить вас о возможной попытке выдать себя за этот домен.

Проверка SPF

Простое правило для проверки SPF заключается в запросе DNS-сервера на доменную txt-запись адреса электронной почты (например, info@roan24.pl — домен roan24.pl). Таким образом, «dig roan24.pl txt» вернет нам: «v=spf1 a mx ip4:178.33.3.224 -all», то есть домен имеет запись spf версии 1 (v=spf1), и с данного домена он может отправлять почту только с ip-адресов, находящихся в записи A (a), MX (mx), или имеет ip версии 4 178.33.3.224 (ip4:178.33.3.224). Что касается записей a и mx, вы можете прочитать, как они работают, в нашей статье Основы DNS.
Затем остается только проверить, что делать с сообщением, т.е. запись «all», чаще всего используется «~all», что означает принять, но отметить возможность мошенничества, или «-all», если сервер-отправитель не находится в списке SPF, то сообщение отклоняется без дальнейшей проверки.

Как внедрить SPF

Подробное описание всего синтаксиса можно найти на сайте openspf, но в английской версии. Однако я опишу здесь, надеюсь, понятно, какой синтаксис использовать для ввода SPF на нашем домене.
Так что да, мы всегда будем использовать v=spf1 в начале, поскольку здесь я описываю первую версию spf (второй версии пока не существует). Итак, у нас есть запись:
v=spf1
Эта запись пока ничего нам не говорит, добавим к ней тег all — он означает, как нам следует относиться к сообщению, которое мы проверяем spf. И поэтому мы можем поставить перед ним четыре знака «+», означающие, что все в порядке, «-» — что не прошло, «~» — что это подозрительно, «?» — нейтрально.
И поэтому, если запись имеет вид «+all», а отправляющего хоста нет в списке, то мы должны принять такое сообщение.
Если это «~all» и хоста нет в списке, мы должны принять такое сообщение, но пометить его как ошибку spf или подозрение на спам.
Если мы имеем «-all», рекомендованное мной означает, что если сервера нет в списке, то сообщение от него должно быть отклонено.
Запись «?all» означает, что в принципе ничего не произошло, есть она там или нет — короче говоря, никакой записи быть не может.
Я рекомендую использовать либо «~all», если ваши адреса часто меняются и вам может быть трудно ввести их все, либо «-all», если вы знаете точные адреса ваших серверов и они не меняются слишком часто.
v=spf1 -all
Имея начало и конец, мы теперь будем вводить ip-адреса или записи (в середине записи) в наш список.
A — т.е. сервер в записи a может отправлять почту. ПРИМЕЧАНИЕ Если вы используете прокси-сервер или cdn (например, cloudflare), вам не следует вводить это значение, так как ваш почтовый сервер не должен быть уполномочен отправлять почту от вашего имени.
MX — Здесь следует отметить, что если вы измените адрес сервера в записи MX, вам больше не нужно менять запись SPF, что облегчает работу, иногда может случиться так, что мы используем шлюз для получения почты и эту запись не следует использовать.
ip4 — то есть один ip-адрес или ip/маска-адрес (например, 192.168.0.0/24 это — от 192.168.0.0 до 192.168.0.255) означает конкретные ip-адреса четвертой версии, которые авторизованы для отправки почты.
ip6 — по тому же принципу, что и адреса ip4, однако касается только адресов версии 6.
Существуют также дополнительные записи, такие как «include» и «redirect», include включает записи из указанного домена (путем поиска в txt), а redirect перенаправляет на другой домен, где мы можем найти SPF инструкции в txt записи.
Кроме того, создание SPF-записи не является сложной задачей даже для крупных почтовых провайдеров и рекомендуется, просто помните, что вы должны обновлять ее при смене ip-адреса почтового сервера, и она не добавляется MX. Для небольших доменов мы рекомендуем использовать короткие записи с добавлением только mx-записи, например. достаточно для всех наших клиентов:
v=spf1 mx ip4:178.33.3.224 -all

Резюме

SPF не является идеальным средством защиты нашей почты, но его достаточно легко ввести, а правильное форматирование может значительно уменьшить фишинг, связанный с выдачей себя за наш почтовый домен.