Sender Policy Framework
Sender Policy Framework, SPF (инфраструктура политики отправителя[1]) — расширение для протокола отправки электронной почты через SMTP. SPF определен в RFC 7208.
Благодаря SPF можно проверить, не подделан ли домен отправителя.
Принцип работы
правитьSPF позволяет владельцу домена указать в доменной зоне запись типа TXT[К. 1], соответствующей имени домена, список серверов, имеющих право отправлять email-сообщения с обратными адресами в этом домене.
Агенты передачи почты, получающие почтовые сообщения, могут запрашивать SPF-информацию с помощью простого DNS-запроса, верифицируя таким образом сервер отправителя.
Пример SPF-данных в TXT-записи DNS:
example.org. IN TXT "v=spf1 +a +mx -all"
Символ "+" является квалификатором по умолчанию и может быть опущен. Следующий пример аналогичен предыдущему:
example.org. IN TXT "v=spf1 a mx -all"
v=
определяет используемую версию SPF. Далее следует перечисление механизмов верификации: в данном случае a
разрешает прием писем от узла, IP-адрес которого совпадает с IP-адресом в A-записи для example.org; mx
разрешает приём писем, если отправляющий узел указан в одной из MX-записей для example.org. Строка завершается -all
— указанием того, что сообщения, не прошедшие верификацию с использованием перечисленных механизмов, следует отвергать. Также может использоваться ~all
— в этом случае письмо, не прошедшее верификацию, не должно быть отклонено, но может быть изучено более тщательно (SoftFail).
Следует заметить, что RFC 7208 определяет различные результаты проверки, в том числе "Permerror" в случае некорректной SPF-записи. Одним из случаев некорректной записи является наличие более чем одной записи v=spf1
(3.2. Multiple DNS Records). Следует быть внимательным при формировании записи и сверяться с документом RFC 7208. В Сети можно найти онлайн-сервисы для проверки SPF-записи.
Формат
правитьЗапись TXT для SPF начинается с параметра v
, значением которого является версия стандарта SPF: v=spf1
[2].
Следом через пробел перечислены команды разрешения отправителей и политики приёма-отказа для писем от неуказанных отправителей[2]:
mx
– обозначает серверы почты, перечисленные в записях типа «MX» для доменной зоны;a
– обозначает сервер с именем, совпадающим с именем доменной зоны (например, для доменной зоны example.net это будет сервер example.net);a:доменное имя
– указывает сервер или подсеть по доменному имени узла с возможным указанием маски подсети в формате CIDR;ip4:адрес/маска
– указывает адрес IPv4 сервера или подсеть IPv4 (маска подсети указывается в формате CIDR);ip6:адрес/маска
– указывает адрес IPv6 сервера или подсеть IPv6 (маска подсети указывается в формате CIDR);all
– обозначает все прочие узлы-отправители, используется для описания политики приёма электронной почты от прочих отправителей.
В формате записи spf предусмотрены модификаторы:
redirect
– используется для указания на другую запись SPF, где описаны собственно правила обработки политики;exp
– (англ. explanation), используется при отказе по другим правилам в записи SFP;include
– дополняет описанные с текущей записи правила правилами из другой записи (например, из записи оператора электронной почты на хостинге);
В командах и модификаторах предусмотрены макросы, каждый макрос состоит из знака %
и буквы:
s
– адрес email отправителя;l
– локальная часть адреса email отправителя;o
– доменная часть адреса email отправителя;d
– домен;i
– адрес IPp
– (не рекомендуется к использованию) доменное имя отправителя после проверки (англ. validated)v
– строкаin-addr
в случае адреса IPv4 и строкаip6
в случае адреса IPv6;h
– доменное имя, указанное отправителем в команде HELO или EHLO;c
– (допускается только в команде exp) адрес IP клиента SMTP (сервера, подключившегося к нашему);r
– (допускается только в команде exp) доменное имя хоста (сервера), проводящего проверку;t
– (допускается только в команде exp) текущее время.
Пример записи
@ IN TXT "v=spf1 a:authorized-spf.example.com mx -all"
Распространённость
правитьПрограммное обеспечение для фильтрации спама SpamAssassin версии 3.0.0 и ASSP[англ.] обеспечивают поддержку SPF. Многие агенты передачи почты (MTA) имеют встроенную поддержку SPF (CommuniGate Pro, Wildcat, Exim, Microsoft Exchange Server). Для других MTA существуют патчи или расширения, обеспечивающие реализацию SPF (mailfromd для Postfix, Sendmail и MeTA1; SPF implementation for qmail).
В настоящий момент большинство известных сервисов интернета (Amazon, AOL, EBay, Google, Hotmail, Microsoft, W3C) и рунета (Mail.ru, Яндекс, Rambler, Pochta.ru) предоставляют SPF информацию о своих доменах.
См. также
правитьКомментарии
правитьПримечания
править- ↑ Использование записи инфраструктуры политики отправителей для проверки электронной почты, отправленной из домена, MSDN . Дата обращения: 16 сентября 2014. Архивировано 16 октября 2014 года.
- ↑ 1 2 rfc7208
Литература
правитьСсылки
править- Sender Policy Framework : [англ.] : [арх. 16 января 2012]. — The SPF Project, 2008.
- Службы Google — «Что такое записи SPF, Создание записи SPF»
- Тутубалин, А. Технология SPF — внедрять или подождать? : [арх. 25 июня 2010] // Securelist. — Лаборатория Касперского, 2004. — 30 августа.
Это заготовка статьи о компьютерных сетях. Помогите Википедии, дополнив её. |
В другом языковом разделе есть более полная статья Sender Policy Framework (англ.). |