Настройка SPF (Sender Policy Framework) для собственного почтового домена

Проблема почтового спама сейчас стоит достаточно остро. Спаммеры часто подделывают электронные письма, указывая в качестве отправителя e-mail произвольного пользователя. SPF (Sender Policy Framework) — простой стандарт, помогающий отличить настоящие письма от подделки. SPF работает только при условии, что в DNS-записи о домене отправителя присутствует специальное поле. В настоящей статье описывается как с помощью этой технологии защитить письма с собственного домена от подделки.

Стандарт отправки электронной почты SMTP позволяет указывать произвольный адрес в качестве адреса отправителя. Такая незащищенность приводит к массовым злоупотреблениям. Для защиты от неавторизованной отправки писем в 2003 году был предложен стандарт SPF, а в апреле 2006 года SPF принят в качестве стандарта RFC-4408. Сейчас SPF поддерживается подавляющим большинством интернет-провайдеров и крупных интернет-компаний.

Идея стандарта состоит в следующем: в DNS-запись домена добавляется специальное поле типа TXT, содержащее информацию о серверах, которым разрешено или запрещено отправлять почту от имени данного домена. Кроме того, запись может содержать описание политики поведения для всех посторонних серверов. Рассмотрим пример SPF-записи для домена webew.ru

Запись начинается с v=spf1, а затем следует перечень серверов или групп серверов с указанием политики поведения (в форме модификатора). Возможны 4 модификатора:

• + принять (модификатор по умолчанию)
• - отклонить
• ~ мягкое отклонение, пометить как возможный спам
• ? отнестить нейтрально (поведение по умолчанию, если сервер не соответствует ни одному выражению).

После модификатора указывается идентификатор механизма верификации. Перечислим несколько наиболее часто используемых механизмов:

• mx - относится к почтовым серверам данного домена
• ip4 - задает ip-адрес или подсеть ip-адресов
• a - задает доменное имя сервера
• include - разрешает отправку писем серверам, разрешенным SPF-записью другого домена
• all - любой сервер; указывают обычно последним, задавая таким образом политику по умолчанию.

Подробное описание синтаксиса записей доступно на английском языке на официальном сайте SPF.

При получении письма, согласно стандарту, принимающий письмо сервер должен запросить текстовые DNS-записи домена отправителя. Если существует текстовая запись, начинающаяся с v=spf1, то принимающий сервер последовательно проверяет сервер, от которого получено письмо на соответствие с выражениями в строке. Если произошло совпадение, то процесс сравнения останавливается и дальнейшее поведение определяется модификатором совпавшего выражения. Например, в приведенном выше примере, отправка разрешена для почтового сервера домена, серверов c ip-адресом или доменным именем среди заданных, а также для всех серверов, разрешенных SPF-записью доменов gmail.com и yandex.ru. Политика по умолчанию - мягкое отклонение.

Определив SPF-запись вы снижаете вероятность ошибочного отнесения ваших писем к числу спама. Чем более жесткая политика по умолчанию, тем больше доверие к письмам с данного домена. Если указать в конце записи "-all", то все письма с неавторизованных серверов должны отклоняться принимающим сервером. Задавая столь жесткую политику, необходимо быть уверенным, что никто из пользователей не отправляет почту через сервер локального провайдера, отсутствующий в списке. После настройки SPF обязательно протестируйте отправку писем разными способами разным адресатам. Не забудьте также, что сайт обычно тоже отправляет письма.