Что такое SPF для электронной почты?

Блог

SPF (Sender Policy Framework) - это протокол аутентификации электронной почты, который помогает отправителям проверять источник писем, отправленных с их доменного имени.

Maitham Al Lawati

Время чтения: 10 мин
Что такое SPF для электронной почты?
Оглавление-

SPF расшифровывается как Sender Policy Framework. Это протокол аутентификации электронной почты, предназначенный для обнаружения подделки электронной почты и предотвращения отправки неавторизованными отправителями сообщений от имени определенного домена. Каждые 39 секунд по всему миру происходит кибератака.большинство из которых может быть совершено через электронную почту. SPF помогает авторизовать отправителей, чтобы ваш домен не мог быть взломан неавторизованным сторонним отправителем электронной почты. SPF или Sender Policy Framework - это протокол аутентификации электронной почты, который позволяет только определенным IP-адресам отправлять электронные письма с использованием доменного имени. Любой IP-адрес, не входящий в список, не попадет в почтовый ящик получателя, так как это приведет к сбою SPF. Политика SPF, определенная в DNS-записи, содержит список почтовых серверов, имеющих право отправлять сообщения от имени вашего домена.

Записи электронной почты SPF помогают поддерживать список проверенных отправителей для вашего домена, которые могут быть открыто просмотрены и получены принимающими серверами для проверки подлинности писем. RFC 7208. Это защищает ваши почтовые домены от хакеров, чтобы избежать фишинга, спама и атак, подменяющих почту. Такие методы проверки подлинности электронной почты, как SPF, идеально подходят для защиты вашего почтового домена.

Ключевые выводы

  1. SPF - это важный протокол аутентификации электронной почты, предотвращающий подделку сообщений путем проверки серверов-отправителей через записи DNS.
  2. Правильная настройка SPF, включающая всех авторизованных отправителей и соблюдающая ограничения на поиск/символы, значительно улучшает качество доставки электронной почты и репутацию отправителя.
  3. SPF лучше всего работает в сочетании с DKIM и DMARC для обеспечения комплексной безопасности электронной почты, отчетности и применения политик.
  4. Сам по себе SPF имеет ограничения, такие как проблемы с пересылкой электронной почты и сложности при управлении множеством сторонних отправителей или превышении лимитов на поиск DNS.
  5. Регулярный просмотр, обновление и проверка SPF-записей с помощью инструментов - важнейшее условие для предотвращения распространенных ошибок и обеспечения защиты от фишинга и спама.

 

Как работает SPF?

Как работает SPF

SPF работает, позволяя владельцам доменов публиковать список авторизованных почтовых серверов (IP-адресов или имен хостов), которым разрешено отправлять электронные письма от их имени. Ниже приводится пошаговое описание работы SPF: 

1. Публикация записи для SPF

Владелец домена публикует SPF-запись в DNS (системе доменных имен) своего домена. DNS - это система, которая переводит человекочитаемые имена хостов в машиночитаемые IP-адреса. Запись SPF - это TXT-запись DNS, содержащая список серверов, уполномоченных отправлять электронную почту для данного домена.

2. Ваше электронное письмо получено

Когда письмо отправляется, оно содержит информацию о домене отправителя, которая часто содержится в адресе Return-Path (также известном как адрес отправителя конверта или MAIL FROM), который определяет, куда должны быть отправлены отскочившие письма.

3. Извлечение домена отправителя

Сервер электронной почты получателя извлекает домен из адреса Return-Path в заголовке письма.

4. Выполняется поиск DNS

Сервер электронной почты получателя выполняет поиск в DNS, чтобы получить запись SPF TXT домена отправителя, определенного на предыдущем шаге.

5. Выполняется SPF-аутентификация

Запись SPF содержит политику, определяющую, каким серверам разрешено отправлять электронные письма для данного домена. Сервер электронной почты получателя сравнивает IP-адрес сервера, отправившего письмо, со списком разрешенных серверов, указанных в записи SPF. Адрес электронной почты на пути возврата перепроверяется на стороне получателя, чтобы убедиться, что IP-адрес отправителя указан в SPF-записи.

6. Определяется окончательный результат аутентификации

На основании проверки SPF почтовый сервер получателя определяет, пришло ли письмо с авторизованного сервера или нет (Pass, Fail, SoftFail, Neutral и т. д.).

7. На основании результатов принимаются меры

Почтовый сервер получателя предпринимает действия, основанные на результатах проверки SPF и политике DMARC домена (если таковая существует). Он может принять письмо, пометить его как спам или полностью отклонить. Если одобрение положительное, письма обычно отправляются в папку "Входящие"; в противном случае это может привести к сбою SPF.

Настройте SPF с помощью PowerDMARC!

Призыв к действию PowerDMARC

Как использовать SPF в электронной почте

Чтобы использовать почтовый стандарт SPF, вы должны убедиться, что правильно понимаете принцип его работы, и проверить, поддерживают ли SPF ваш домен и поставщик услуг электронной почты. После этого вы можете создать запись для SPF, опубликовать ее в DNS и в идеале объединить реализацию SPF DNS с DKIM и DMARC для предотвращения подделки. Следует отметить, что SPF проверяет подлинность сервера-отправителя и не обязательно подтверждает личность отправителя или содержимое сообщения. Использование SPF вместе с DKIM, DMARC и, возможно, BIMI для более тщательной проверки подлинности электронной почты может значительно повысить безопасность электронной почты.

Как включить SPF для вашей электронной почты

Чтобы создать запись SPF, необходимо выполнить следующие общие шаги:

Определите авторизованные серверы электронной почты

Определите IP-адреса или имена хостов всех серверов электронной почты, которые имеют право отправлять электронную почту от имени вашего домена. Сюда входят серверы электронной почты вашей организации, сторонние поставщики услуг электронной почты (например, Google Workspace, Microsoft 365, SendGrid, Mailchimp и т. д.) и любые другие службы, которые отправляют электронную почту, используя ваше доменное имя. Соберите полный список всех этих IP-адресов и доменов-отправителей.

Определите политику SPF

Определите политику для SPF. Это включает в себя указание того, каким серверам разрешено отправлять электронные письма для вашего домена с использованием механизмов SPF. Вам также нужно решить, насколько строго серверы-получатели должны соблюдать эту политику, используя квалификаторы (например, `все` для Fail, `~все` для SoftFail).

Определить формат SPF

SPF-записи публикуются в виде TXT-записи в DNS вашего домена. Запись должна иметь определенный формат, начинающийся с `v=spf1`, за которым следуют механизмы, модификаторы и заключительный механизм `all` с квалификатором.

Опубликовать запись SPF

Сначала создайте запись SPF. Вы можете использовать наш бесплатный инструмент генератора SPF или создать запись вручную на основе ваших авторизованных отправителей и политики. Затем зайдите в систему управления DNS вашего домена, которая обычно предоставляется регистратором домена или хостинг-провайдером. Найдите настройки DNS для вашего домена и добавьте новую TXT-запись. Укажите имя хоста (обычно "@" или пустое место для корневого домена) и вставьте полную строку записи SPF в поле value/data.

Пример записи SPF

SPF-запись TXT в вашем DNS будет выглядеть примерно так:

Пример записи SPF

Эта запись определяет набор хостов как допустимых отправителей. Например, `v=spf1 ip4:192.168.0.0/16 include:spf.example.com -all` означает:

  • `v=spf1`: Указывает используемую версию SPF.
  • `ip4:192.168.0.0/16`: Разрешает отправку писем с любого IP-адреса в этом диапазоне.
  • `include:spf.example.com`: Включает SPF-запись с `spf.example.com`, эффективно авторизуя всех отправителей, перечисленных там. Это засчитывается как один поиск DNS.
  • `-all`: Указывает, что любой отправитель, не соответствующий предыдущим механизмам, должен не пройти проверку SPF (быть отклоненным).

Структура обычно включает механизмы, модификаторы и классификаторы:

Механизмы:

Они определяют серверы, которым разрешено отправлять электронную почту. К распространенным механизмам относятся: `a`, `mx`, `ip4`, `ip6`, `include`, `exists` и `all`.

  1. `ALL`: Совпадает всегда. Используется для конца записи (например, `-all`).
  2. `A`: Совпадает, если IP-адрес отправителя соответствует записи A или AAAA домена.
  3. `IP4`: Совпадает, если IP-адрес отправителя находится в указанном диапазоне IPv4.
  4. `IP6`: Совпадает, если IP-адрес отправителя находится в указанном диапазоне IPv6.
  5. `MX`: Совпадает, если IP-адрес отправителя совпадает с одним из IP-адресов MX-записей домена.
  6. `PTR`: Определяет, указывает ли PTR-запись для IP отправителя на домен, который разрешается обратно на IP отправителя. (Не рекомендуется использовать из-за неэффективности и ненадежности).
  7. `EXISTS`: Определяет, разрешается ли данное доменное имя.
  8. `INCLUDE`: Включает политику из другого домена. Происходит рекурсивная обработка.

Модификаторы:

Они предоставляют дополнительную информацию или изменяют принцип работы записи. Основными модификаторами являются `redirect` (указывает на SPF-запись другого домена, заменяя текущую) и `exp` (дает объяснение SPF-неудач). Модификаторы появляются в конце, после механизмов.

Отборочные туры:

Префикс к механизмам указывает, как обрабатывать совпадение:

  • `+`: Pass (по умолчанию)
  • `-`: Не удалось (письмо должно быть отклонено)
  • `~`: SoftFail (письмо должно быть принято, но помечено/скриптовано)
  • `?`: Нейтральный (Политика не утверждается; рассматривается как Нет)

Как проверить и подтвердить SPF?

После настройки записи SPF может потребоваться некоторое время (до 48 часов, хотя часто гораздо меньше), чтобы изменения DNS распространились по всему интернету. Воспользуйтесь нашей проверка SPF-записи для проверки и тестирования вашей записи. Это поможет проверить правильность синтаксиса и убедиться, что она распознается DNS-серверами.

Важно отметить, что записи SPF могут быть сложными, в зависимости от конкретных требований вашей почтовой инфраструктуры. Если вы не уверены в синтаксисе или нуждаетесь в более сложных настройках, рекомендуется обратиться за помощью в создании SPF-записи к системному администратору, в службу ИТ-поддержки или к эксперту по аутентификации электронной почты.

SPF для сторонних поставщиков

Что такое SPF для сторонних поставщиков? Чтобы разрешить третьим сторонам (например, маркетинговым платформам, CRM, службам поддержки) отправлять электронную почту от вашего имени, вам нужно включить их конкретные IP-адреса или назначенные ими домены, обрабатывающие SPF (с помощью механизма `include:`), в единую SPF-запись вашего домена. Но будьте осторожны, не создавайте несколько SPF-записей для одного и того же домена, так как это полностью аннулирует SPF! Все авторизованные отправители должны быть перечислены в одной консолидированной записи.

Например, если вы используете SuperEmails.net в качестве отправителя электронной почты, а их SPF-домен - spf.superemails.net, ваша SPF-запись может иметь следующий вид:

v=spf1 include:spf.superemails.net -all

Если вы также используете AnotherSender.com, чьи IP-адреса 1.2.3.4 и 5.6.7.8, объедините их:

v=spf1 ip4:1.2.3.4 ip4:5.6.7.8 include:spf.superemails.net -all

Почему структура политики отправителя важна для электронной почты?

SPF важен для того, чтобы убедиться в том, что письма, отправленные с вашего домена, подлинные, а не поддельные, созданные киберзлоумышленниками для обмана ваших клиентов, сотрудников или партнеров. Учитывая, что ежедневно отправляются миллиарды спамерских писем, SPF является основополагающим шагом в защите вашего домена. Вот некоторые ключевые преимущества SPF: 

Сокращение количества поддельных электронных писем и предотвращение кибератак

SPF помогает бороться с подделкой электронной почты, проверяя подлинность сервера-отправителя. Злоумышленники часто используют поддельные адреса для фишинга, рассылки спама и других кибератак. Правильно настроенная запись SPF значительно затрудняет им возможность успешно выдать себя за ваш домен.

Улучшенная доставляемость электронной почты и снижение коэффициента отказов

Внедрение SPF может повысить показатели доставки электронной почты. Когда серверы-получатели выполняют проверку SPF и обнаруживают, что сервер-отправитель авторизован, они с большей вероятностью примут письмо, а не пометят его как спам или отклонят. Домены без соответствующих записей SPF могут иметь более высокий процент отказов или попадания писем в папки со спамом.

Снижение количества ложных срабатываний

Точно определяя авторизованные почтовые серверы, SPF снижает вероятность того, что законные письма будут ошибочно помечены принимающими системами как спам. Это помогает предотвратить ложные срабатывания и гарантирует, что важные сообщения попадут в почтовые ящики адресатов.

Улучшенная репутация отправителя

SPF играет важную роль в создании и поддержании положительной репутации отправителя у провайдеров почтовых ящиков. Внедряя SPF, владельцы доменов демонстрируют свою приверженность безопасности электронной почты и лучшим практикам аутентификации, что очень ценится провайдерами.

Защита от фишинга и спама

SPF помогает снизить эффективность попыток фишинга и спам-кампаний, основанных на выдаче себя за домен. Благодаря SPF злоумышленникам становится сложнее рассылать мошеннические письма, выдавая их за сообщения от авторитетных доменов.

Соответствие стандартам электронной почты и DMARC

Многие поставщики услуг электронной почты и организации поощряют или требуют использования SPF в рамках своих политик электронной почты. Более того, SPF является основополагающим компонентом DMARC (Domain-based Message Authentication, Reporting, and Conformance). DMARC опирается на согласование SPF (и/или DKIM) для определения того, как серверы-получатели должны обрабатывать неаутентифицированную почту, что делает SPF необходимым для соответствия DMARC.

Каковы ограничения SPF?

Хотя SPF - ценный инструмент, у него есть ограничения:

  • **Проблемы пересылки электронной почты:** SPF может столкнуться с проблемами при пересылке электронной почты. Когда письмо пересылается с одного сервера на другой, первоначальная проверка подлинности SPF может не пройти, поскольку IP-адрес пересылающего сервера не указан в SPF-записи домена отправителя. DMARC помогает смягчить эту проблему, но она остается основным ограничением SPF.
  • **Сложность и управление:** По мере увеличения количества авторизованных почтовых серверов и сторонних сервисов возрастает сложность управления и поддержки единой записи SPF.
  • **10 DNS Lookup Limit:** SPF-записи ограничены максимум 10 DNS-поисками (такие механизмы, как `include`, `a`, `mx`, `ptr`, `exists` и `redirect` учитываются в этом лимите). Превышение этого лимита приводит к постоянной ошибке (PermError), делая запись SPF неэффективной. Организации, использующие множество сторонних поставщиков, часто превышают этот лимит. Такие инструменты, как SPF flattening, могут помочь смягчить эту проблему, заменив поиск статическими IP-адресами, но требуют тщательного управления.
  • **255-символьный лимит строк:** Одна строка TXT-записи в DNS имеет ограничение в 255 символов. Хотя записи SPF могут включать несколько строк в одной TXT-записи, слишком сложные записи могут стать сложными в управлении и потенциально превысить общие ограничения на размер записей DNS. Превышение лимита символов SPF-строки в одной строке также приведет к аннулированию записи.
  • **Аутентификация сервера-отправителя, а не содержимого или заголовка "From":** SPF фокусируется исключительно на проверке подлинности сервера-отправителя на основе домена Return-Path. Он не обеспечивает шифрования, не проверяет целостность содержимого сообщения (как это делает DKIM ) и не проверяет подлинность видимого для пользователя адреса "From", который видят получатели. Злоумышленники иногда могут обойти SPF, используя авторизованный сервер, но подделывая адрес "From".
  • **Нет отчетов:** SPF сам по себе не обеспечивает видимость или обратную связь с владельцем домена о результатах аутентификации или потенциальных злоупотреблениях. Именно здесь DMARC приобретает решающее значение, поскольку он использует результаты SPF и предоставляет отчетность.

Избегание распространенных ошибок при настройке SPF

Неправильная конфигурация может сделать вашу политику SPF неэффективной или даже заблокировать легитимную почту. Избегайте этих распространенных ошибок:

  • **Использование нескольких записей SPF:** Домен ДОЛЖЕН иметь только одну запись SPF TXT. Наличие нескольких записей приведет к ошибкам проверки. Объедините всех авторизованных отправителей в одну запись.
  • **Неправильный синтаксис:** К записям SPF предъявляются строгие требования по синтаксису. Опечатки, неправильное использование механизма (например, использование `TXT` вместо `ip4` или `include`) или неправильно расположенные элементы могут сделать запись недействительной. Всегда проверяйте запись перед публикацией.
  • **Не включение всех авторизованных отправителей:** Забыв указать легитимный сторонний сервис или внутренний почтовый сервер, вы можете привести к тому, что письма, отправленные из этих источников, не пройдут проверку SPF, что повлияет на доставляемость. Поддерживайте полный перечень.
  • **Превышение лимита в 10 DNS-поисков:** Как уже говорилось в ограничениях, добавление слишком большого количества механизмов `include`, `a`, `mx` и т. д. приведет к поломке SPF. Внимательно следите за количеством просмотров, особенно при добавлении новых поставщиков.
  • **Превышение лимита символов:** Убедитесь, что ваша запись соответствует ограничению в 255 символов на строку и общему размеру записи DNS.
  • **Использование неправильного типа записи:** Записи SPF должны публиковаться как записи TXT в DNS. В некоторых старых системах использовался специальный тип записи SPF, но он устарел и не должен использоваться.
  • **Необновление:** Если вы меняете почтового провайдера, добавляете новые сервисы или выводите из эксплуатации старые серверы, вы ОБЯЗАНЫ обновить свою SPF-запись соответствующим образом. Устаревшие записи могут блокировать легитимную почту или оставлять бреши для злоупотреблений.

Сделать SPF еще лучше с PowerDMARC

Сам по себе SPF эффективен, но имеет свои ограничения. Киберпреступники нашли способы обойти простую проверку IP-адресов, особенно используя видимый пользователю адрес 'From', который SPF напрямую не защищает. Технология SPF становится значительно более мощной и актуальной, когда она включается в DMARC.

Мы сопрягаем SPF с DKIM и DMARC

отчёт dmarc dkim spf

DMARC требует согласования - то есть домен, используемый для SPF (в Return-Path) и/или домен, используемый для DKIM-подписи, должен совпадать с доменом в видимом заголовке 'From'. PowerDMARC поможет вам правильно настроить DMARC, используя результаты SPF и DKIM для надежной аутентификации. Кроме того, мы используем интеллектуальный анализ угроз на основе искусственного интеллекта, который помогает выявлять поддельные атаки даже при прохождении основных проверок.

Отчетность и обратная связь

Ни SPF, ни DKIM сами по себе не дают владельцу домена информации о письмах, не прошедших проверку подлинности, или о потенциальных злоупотреблениях. DMARC позволяет почтовым серверам-получателям отправлять владельцу домена подробные сводные (RUA) и криминалистические (RUF) отчеты DMARC. Платформа PowerDMARC обрабатывает эти сложные XML-отчеты, превращая их в удобные для чтения графики, таблицы и предупреждения, обеспечивая критически важный обзор экосистемы электронной почты, соответствия требованиям отправителей и угроз. Используя эти аналитические данные, вы можете уточнить конфигурации SPF/DKIM и скорректировать свою стратегию работы с электронной почтой.

Контроль над тем, что происходит с неавторизованной электронной почтой

DMARC позволяет вам, владельцу домена, определить политику, как получатели должны обрабатывать письма, которые не прошли проверки SPF и DKIM (или не прошли выравнивание). Вы можете выбрать `p=none` (только мониторинг), `p=quarantine` (отправка в спам) или `p=reject` (полная блокировка письма). С PowerDMARC управление и продвижение политики DMARC к исполнению становится намного проще, что часто достижимо благодаря четкому руководству и удобному интерфейсу управления.

PowerDMARC CTA

Последние сообщения Maitham Al Lawati (см. все)
Что такое аутентификация доменных имен и почему она важна?Что такое аутентификация доменных имен и почему она важнаWhy-Should-You-Avoid-SPF-PTRПочему вы должны избегать SPF PTR?