Технология SPF
| |
|
Технология SPF
Технология SPF (Sender Policy Framework) является одним из способов
идентификации отправителя электронного письма и предоставляет
дополнительную возможность фильтрации потока почты на предмет наличия
в нём спаммерских сообщений. С помощью SPF почта разделяется на
"разрешённую" и "запрещённую" относительно домена получателя или
отправителя.
Принцип работы SPF
Принцип работы технологии SPF состоит в следующем. Например,
администратор почтового сервера, обслуживающего некий домен, хочет
"сообщить" остальным серверам, которые принимают почту от него, какие
ip-адреса (хосты) являются "разрешёнными" для его домена. Чтобы
выделить "разрешённые" адреса, владельцу домена надо указать, почта с
каких хостов может быть подписана адресом в этом домене. Для этого в
DNS-зоне для данного домена создаётся дополнительная SPF-запись, в
которой перечисляются "разрёшенные" адреса. Сервер получателя при
приходе письма, подписанного адресом из этого домена, проверяет
соответствие ip-адреса, с которого письмо было отправлено, с
SPF-записью для данного домена. В случае совпадения такое письмо будет
считаться прошедшим проверку и принимается получателем. Если же
ip-адрес отправителя не находится в списке "разрешённых" адресов для
данного домена, то письмо или отвергается, или считается
подозрительным на спам, в зависимости от используемой SPF-политики.
Вот пример SPF-записи в зоне для домена domain.ru, который может
обслуживаться почтовыми серверами компании Зенон Н.С.П.:
domain.ru. IN TXT "v=spf1 ip4:195.2.83.128/25 ip4:213.189.198.208/28 ip4:62.113.100.32/27 ip4:62.113.100.64/26 ip4:62.113.100.16/28 62.113.86.192/26 ~all"
В этой записи определены диапазоны ip-адресов (принадлежащие
почтовым серверам Зенон Н.С.П. подсети) - почта, отправленная с них, определяется
владельцем домена как "разрешённая", то есть письма, подписанные
адресами в домене domain.ru и отправленные с этих ip, будут успешно
проходить проверку в соответствии с SPF-политикой и приниматься
получателем. Вся остальная почта с обратными адресами из этого домена,
но отправленная с других ip, идентифицируется как спам и отвергается.
Другими словами, такая запись "сообщает" получателям, что только хосты
с ip-адресами из указанных диапазонов имеют
право отсылать письма, подписанные адресами в домене domain.ru. При
совместном использовании SPF как на стороне отправителя, так и на
стороне получателя, такой способ даёт достаточные гарантии того, что
получателю не будет приходить спам, подписанный поддельными адресами
домена domain.ru.
В чём преимущества использования SPF? Нельзя сказать, что технология
SPF сама по себе является универсальным средством борьбы со спамом, но
совместное её использование с другими антиспаммерскими средствами,
например, с DNSBL-базами, всё же несколько увеличивает процент
отфильтрованного спама в потоке электронной корреспонденции. Это
происходит за счёт того, что в подавляющем большинстве случаев
спаммеры используют поддельные адреса отправителей в своих сообщениях,
а SPF в первую очередь и нацелена на идентификацию подобной почты.
Кроме того, использование SPF помогает также частично избегать
мусорного потока сообщений-возвратов, часто приходящих владельцам
доменов или почтовых адресов из-за того, что их адрес был просто
подставлен в качестве обратного в разосланном спаме.
Одна из наиболее известных проблем, возникающих при использовании SPF,
связана с пересылкой почты (forward). Заключается она в том, что при
пересылке почтового сообщения через несколько серверов каждый
последующий сервер может "не знать" об оригинальном отправителе
письма, а получает сообщение непосредственно от предыдущего сервера в
цепочке. Даже если сервер отправителя определил для своего домена
список "разрешённых" ip-адресов с помощью SPF-записи, при пересылке
(forward) письма заранее неизвестно, через какие транзитные серверы
оно может проходить. Такое письмо может быть отвергнуто сервером
получателя просто по той причине, что ip-адреса транзитных серверов не
входят в SPF-запись для домена отправителя письма. Впрочем, эта
проблема в настоящий момент может быть решена с помощью специальных
настроек SPF-политики для домена.
Следует отметить один важный момент: технология SPF является по сути
"двусторонней", то есть наиболее эффективного её использования можно
достичь только в том случае, если почтовая система (сервер или домен)
и отправителя, и получателя используют SPF. Если Вы добавляете в
DNS-зону SPF-записи для Вашего домена, то это даст Вам дополнительные
гарантии фильтрации спаммерских сообщений, посылаемых только с хостов,
которые также поддерживают SPF. В качестве примера общедоступных
почтовых систем, использующих SPF, можно привести Yandex и Mail.Ru.
Реализация технологии SPF на почтовых серверах "Зенон Н.С.П."
Прием почты
Почтовое сообщение, прошедшее проверку в соответствии с SPF-записью
для домена, получает SPF-статус, который может принимать следующие
значения:
- Pass: отправитель сообщения не подделан,
сообщение может быть пропущено;
- Softfail: сообщение не отвечает жестким
критериям достоверности отправителя, но нельзя быть уверенным, что
отправитель подделан.
- Fail: отправитель сообщения подделан,
сообщение может быть отвергнуто.
Существуют также и другие значения SPF-статуса, но для анализа
почтовых сообщений существенную роль играют только эти три.
Рассмотрим пример: некоторый внешний домен использует "мягкую" SPF-политику,
то есть при проверке сообщения, отправленного с адреса в этом домене,
ему присваивается статус либо Pass,
либо Softfail. При этом в случае подозрения на подделку адреса
отправителя сообщение не отвергается автоматически, а в заголовок ему
добавляется специальное поле Received-SPF:, в котором указывается
статус проверенного сообщения. Например, для письма с подозрением на
подделанный адрес отправителя в заголовок добавится поле:
Received-SPF: softfail
Имея такое поле в заголовке, в дальнейшем Вы можете уже самостоятельно
решать, как поступать с "подозрительными" письмами. Например, Вы
можете создать правило обработки, которое будет проверять наличие
этого поля и выполнять соответствующее действие - перемещение таких
писем в отдельную папку или же их автоматическое удаление. Фильтрацию
писем по полю Received-SPF: Вы можете производить как непосредственно
правилами обработки в веб-интерфейсе почтового ящика, так и на Вашем
локальном сервере или в почтовом клиенте.
Вот пример фильтра веб-интефейса почтового сервера, который
обрабатывает письма по наличию в их заголовках поля Received-SPF: :
Header Field is Received-SPF: softfail*
Store in SPF-spam
Discard
Такой фильтр проверяет наличие поля Received-SPF: softfail в заголовке
письма и перемещает "подозрительные" письма в папку SPF-spam. Далее Вы
можете просматривать письма, попавшие в эту папку, чтобы убедиться,
что проверка работает корректно и не фильтрует полезную
корреспонденцию. Чаще всего сообщения с заголовком
Received-SPF: fail (а не softfail) можно просто удалять
(действие Discard в фильтре).
Отправка почты
Возможность включения SPF для домена (для отправляемой почты) реализуется
с помощью
Сервера Статистики.
Авторизовавшись с Управляющим
логином и паролем, необходимо пройти по ссылке "Управление услугой"
для услуги www.domain или mail.domain (в случае, если
у Вас контракт "Почтовый"). В параметрах услуги Вы можете поставить галочку
"Использовать SPF".
После ее включения в зоне домена появится
запись IN TXT "v=spf1 ip4:213.189.198.208/28 ip4:195.2.83.128/25 ip4:62.113.100.32/27 ip4:62.113.100.64/26 ip4:62.113.100.16/28 62.113.86.192/26 ~all".
~all обозначает использование "мягкой" SPF-политики. То есть
адрес отправителя может быть не из разрешенного диапазона. Письма с таких
адресов рекомендуется проверять дополнительно, а не отвергать безусловно.
После включения галочки "Использовать SPF" появится поле
"Список IP-адресов", где можно
перечислить через пробел те ip-адреса, почта с которых будет считаться
"разрешённой" для Вашего домена. В списке можно указывать как просто
ip-адреса (в формате XXX.XXX.XXX.XXX), так и
диапазоны адресов (в формате XXX.XXX.XXX.XXX/XX). Это полезно
использовать в том случае, если Вы отправляете письма,
подписанные адресами в
Вашем домене, используя Ваши собственные почтовые серверы или SMTP-серверы
того провайдеры, через которого Вы подключаетесь к интернету, -
в SPF-запись для домена необходимо включить их ip-адреса. Все адреса
непосредственно из сети "Зенон Н.С.П.", с которых может отправляться
почта, уже внесены в список разрешённых в SPF-политике и повторно
перечислять их не нужно.
Обратите также внимание, что возможность включать SPF через Сервер
Статистики имеет смысл только в том случае, если первичная зона для
Вашего домена поддерживается на DNS-серверах "Зенон Н.С.П.". Если зона
поддерживается Вами самостоятельно (на других DNS-серверах), то
автоматическое её изменение невозможно и соответствующие записи в зону
Вам необходимо будет вносить вручную.
Ссылки по теме:
