Sender Policy Framework, SPF (инфраструктура политики отправителя[1]) — расширение для протокола отправки электронной почты через SMTP. SPF определен в RFC 7208.
Благодаря SPF можно проверить, не подделан ли домен отправителя.
Принцип работы
SPF позволяет владельцу домена указать в доменной зоне запись типа TXT[К. 1], соответствующей имени домена, список серверов, имеющих право отправлять email-сообщения с обратными адресами в этом домене.
Агенты передачи почты, получающие почтовые сообщения, могут запрашивать SPF-информацию с помощью простого DNS-запроса, верифицируя таким образом сервер отправителя.
Пример SPF-данных в TXT-записи DNS:
example.org. IN TXT "v=spf1 +a +mx -all"
Символ "+" является квалификатором по умолчанию и может быть опущен. Следующий пример аналогичен предыдущему:
example.org. IN TXT "v=spf1 a mx -all"
v= определяет используемую версию SPF. Далее следует перечисление механизмов верификации: в данном случае a разрешает прием писем от узла, IP-адрес которого совпадает с IP-адресом в A-записи для example.org; mx разрешает приём писем, если отправляющий узел указан в одной из MX-записей для example.org. Строка завершается -all — указанием того, что сообщения, не прошедшие верификацию с использованием перечисленных механизмов, следует отвергать. Также может использоваться ~all — в этом случае письмо, не прошедшее верификацию, не должно быть отклонено, но может быть изучено более тщательно (SoftFail).
Следует заметить, что RFC 7208 определяет различные результаты проверки, в том числе "Permerror" в случае некорректной SPF-записи. Одним из случаев некорректной записи является наличие более чем одной записи v=spf1 (3.2. Multiple DNS Records). Следует быть внимательным при формировании записи и сверяться с документом RFC 7208. В Сети можно найти онлайн-сервисы для проверки SPF-записи.
Формат
Запись TXT для SPF начинается с параметра v, значением которого является версия стандарта SPF: v=spf1[2].
Следом через пробел перечислены команды разрешения отправителей и политики приёма-отказа для писем от неуказанных отправителей[2]:
mx– обозначает серверы почты, перечисленные в записях типа «MX» для доменной зоны;a– обозначает сервер с именем, совпадающим с именем доменной зоны (например, для доменной зоны example.net это будет сервер example.net);a:доменное имя– указывает сервер или подсеть по доменному имени узла с возможным указанием маски подсети в формате CIDR;ip4:адрес/маска– указывает адрес IPv4 сервера или подсеть IPv4 (маска подсети указывается в формате CIDR);ip6:адрес/маска– указывает адрес IPv6 сервера или подсеть IPv6 (маска подсети указывается в формате CIDR);all– обозначает все прочие узлы-отправители, используется для описания политики приёма электронной почты от прочих отправителей.
В формате записи spf предусмотрены модификаторы:
redirect– используется для указания на другую запись SPF, где описаны собственно правила обработки политики;exp– (англ. explanation), используется при отказе по другим правилам в записи SFP;include– дополняет описанные с текущей записи правила правилами из другой записи (например, из записи оператора электронной почты на хостинге);
В командах и модификаторах предусмотрены макросы, каждый макрос состоит из знака % и буквы:
s– адрес email отправителя;l– локальная часть адреса email отправителя;o– доменная часть адреса email отправителя;d– домен;i– адрес IPp– (не рекомендуется к использованию) доменное имя отправителя после проверки (англ. validated)v– строкаin-addrв случае адреса IPv4 и строкаip6в случае адреса IPv6;h– доменное имя, указанное отправителем в команде HELO или EHLO;c– (допускается только в команде exp) адрес IP клиента SMTP (сервера, подключившегося к нашему);r– (допускается только в команде exp) доменное имя хоста (сервера), проводящего проверку;t– (допускается только в команде exp) текущее время.
Пример записи
@ IN TXT "v=spf1 a:authorized-spf.example.com mx -all"
Распространённость
Программное обеспечение для фильтрации спама SpamAssassin версии 3.0.0 и ASSP обеспечивают поддержку SPF. Многие агенты передачи почты (MTA) имеют встроенную поддержку SPF (CommuniGate Pro, Wildcat, Exim, Microsoft Exchange Server). Для других MTA существуют патчи или расширения, обеспечивающие реализацию SPF (mailfromd для Postfix, Sendmail и MeTA1; SPF implementation for qmail).
В настоящий момент большинство известных сервисов интернета (Amazon, AOL, EBay, Google, Hotmail, Microsoft, W3C) и рунета (Mail.ru, Яндекс, Rambler, Pochta.ru) предоставляют SPF информацию о своих доменах.
См. также
Комментарии
- ↑ В RFC 4408 было введено понятие SPF RR, однако в RFC 7208 использование SPF RR было признано ненужным
Примечания
- ↑ Использование записи инфраструктуры политики отправителей для проверки электронной почты, отправленной из домена, MSDN. Дата обращения: 16 сентября 2014. Архивировано 16 октября 2014 года.
- ↑ 1 2 rfc7208
Литература
Ссылки
- Sender Policy Framework : [англ.] : [арх. 16 января 2012]. — The SPF Project, 2008.
- Службы Google — «Что такое записи SPF, Создание записи SPF»
- Тутубалин, А. Технология SPF — внедрять или подождать? : [арх. 25 июня 2010] // Securelist. — Лаборатория Касперского, 2004. — 30 августа.
Эта страница в последний раз была отредактирована 9 июля 2023 в 19:39.
Обычно почти сразу, изредка в течении часа.