SPF-запись помогает снизить риск того, что отправленное с вашего домена письмо попадет в спам. Запись содержит список адресов серверов, отвечающих за отправку почты с ящиков на вашем домене.
Чтобы настроить SPF-запись, нужно создать специальную TXT-запись на тех серверах, на которые делегирован ваш домен.
Если вы делегировали домен на серверы Яндекса, SPF-запись будет настроена автоматически. Вы можете просмотреть и отредактировать ее параметры в DNS-редакторе Почты для домена.
Войдите в вашу панель управления на сайте компании, предоставляющей вам услуги DNS-хостинга.
Создайте TXT-запись со значением «v=spf1 redirect=_spf.yandex.net» .
Если вы хотите отправлять письма не только с серверов Яндекса, укажите дополнительные серверы в таком формате: «v=spf1 ip4:IP-1 ip4:IP-2 ip4:IP-3 include:_spf.yandex.net ~all» . Где IP-1, IP-2, IP-3 - IP-адреса дополнительных серверов.
Укажите «@» в поле для заполнения имени или хоста, если такое поле присутствует.
В некоторых панелях управления вместо «@» требуется указать имя вашего домена (например, «yourdomain.com.» ). Если вам не удается указать ни «@» , ни имя домена, оставьте это поле пустым.
Подождите, пока изменения в DNS вступят в силу. Этот процесс может длиться до 72 часов.
reg.ru
RU-CENTER (nic.ru)
masterhost.ru
Домен на sweb.ru
Домен на majordomo.ru
Панель управления https://control.majordomo.ru/
Панель управления https://control2.majordomo.ru/
Сегодня хочу рассказать вам о таком понятии, как Sender Policy Framework или, сокращенно, SPF.
Прежде всего эта статья будет полезна тем, у кого есть собственный сайт, а особенно тем, кто ведет свои Email-рассылки.
Чтобы понять, для чего все это нужно, начнем с того, что в области электронной почты есть одна большая проблема, которую до появления SPF невозможно было решить.
Суть проблемы в том, что при отправке электронного письма мы можем указать в качестве отправителя любой почтовый ящик.
Так, злоумышленник может купить базу email-адресов какого-то сайта, найти или арендовать smtp-сервер и разослать по этой базе сообщение от имени владельца этого сайта.
Пару лет назад такой случай произошел с моим коллегой.
Предположим, его звали Иван Иванов , а его сайт назывался ivanivanov.ru .
Он уже несколько лет пользовался одним известным сервисом рассылок, назовем его для примера «сервис X» с адресом xservicex.ru, и с помощью него отправлял письма десяткам тысяч своих подписчиков, указывая в качестве обратного адреса ящик [email protected] .
В один «прекрасный» день сервис Х был взломан, и базу подписчиков Ивана оттуда украли. Далее по украденной базе была произведена мошенническая рассылка. При этом для рассылки использовались разные спамерские сервера, а в качестве обратного адреса было указано имя Ивана и его e-mail ящик [email protected].
Письмо было составлено от имени Ивана и написано в его стиле. В письме «Иван» предлагал купить все его товары с огромной скидкой. Мошенники даже купили очень похожий домен и разместили на нем продающую страницу с распродажей, на которую и отправляли людей из письма.
SPF у нашего героя настроен не был, поэтому многие письма благополучно попали во Входящие, и люди приняли их за реальные письма от Ивана. Имя отправителя привычное, ящик верный, стиль письма совпадает - как тут заподозришь неладное? Многие подписчики были рады такому щедрому предложению от «Ивана», и оформили заказ, лишившись своих денег. Иван за счет этого взлома сильно потерял в репутации.
Процесс такого обмана называется спуфингом (spoofing от англ. - подмена).
Чтобы бороться с этим явлением был разработан стандарт SPF .
Он позволяет владельцу сайта четко прописать - кому можно отправлять письма от имени его домена, а кому нет. В нашем примере, если бы Иван знал про SPF, он мог бы указать, что только сервис X может слать письма от имени его сайта, а всем остальным серверам это делать запрещено.
Таким образом, даже если бы мошенники начали рассылать письма по его базе от его имени, то их спамерские сервера не прошли бы проверку SPF, и почтовые сервисы скорее всего просто отклонили бы такие письма.
Думаю, вы знаете, что у любого домена есть так называемые DNS-записи, которые доступны всем желающим. В этих записях хранится разная служебная информация, необходимая для правильной работы сайта. Владелец сайта может добавлять, изменять, удалять эти записи. Это обычно делается либо у регистратора домена, либо в панели управления хостинг-провайдера.
Например, у вашего сайта есть А-запись. В ней прописано на сервере с каким IP-адресом живет ваш сайт.
Когда потенциальные клиенты обращаются к вашему сайту по имени (например, site.ru), то браузер сначала
обращается к DNS-серверу и запрашивает значение А-записи, из которой узнает IP-адрес сервера, на котором живет ваш сайт, и уже у этого сервера запрашивает весь HTML-код, картинки, таблицы стилей и т.д.
И таких DNS-записей у сайта может быть много. Значение этих записей у любого сайта можно посмотреть через сервис mxtoolbox.com
Как вы уже поняли, одной из таких служебных записей для сайта является SPF-запись, в которой владелец сайта указывает, кто имеет право слать письма от имени его сайта.
Чуть позже мы с вами научимся генерировать SFP-записи и прописывать их для вашего домена. А сейчас давайте разберемся, как используют SPF все современные почтовые сервисы.
Любой современный почтовый сервис (Google mail, Яндекс.Почта, Mail.ru и т.д.) при получении письма сначала смотрит на домен ящика отправителя и на сайт (сервер), с которого пришло письмо. Например, письмо пришло с сайта сервиса рассылок xservicex.ru, а в поле отправитель стоит ящик [email protected].
Теперь почтовому сервису надо понять, разрешил ли владелец сайта site.ru отправлять письма от имени его домена сервису xservicex.ru. Для этого почтовый сервис обращается к DNS-серверу и запрашивает у него значение SPF-записи для сайта site.ru, по которой он сможет понять, разрешено ли сайту xservicex.ru слать письма от имени site.ru или нет.
В зависимости от ответа почтовый сервис присвоит письму SPF-статус, который может принимать одно из следующих значений:
- Pass
- отправитель сообщения разрешен (согласно анализу SPF-политики).
- Softfail
- сообщение не отвечает «жестким» критериям достоверности отправителя, но нельзя и быть уверенным, что отправитель подделан.
- Fail
- отправитель подделан.
- Прочие варианты на тот случай, когда у домена нет SPF-записи. Например, None, Neutral, Unknown
и т.д.
После того, как письму присвоен SPF-статус, оно передается следующим фильтрам почтового сервиса для дальнейших проверок.
Пример SPF-статуса письма в почтовой службе Gmail:
Среди прочей информации по письму, вы увидите такую строку:
Поэтому очень важно, чтобы у вашего сайта такая запись была, и там были перечислены доверенные отправители. Иначе, почтовому сервису придется действовать вслепую и самому решать, что делать с письмом.
Возьмем для примера такую SPF-запись:
Разберем ее по частям:
site.ru. - означает, что SPF запись относится к домену site.ru.
IN TXT - означает, что это текстовая запись (это нам пригодится дальше).
v=spf1 - используется первая версия протокола SPF.
a - означает, что мы разрешаем слать письма с сервера, который указан в A-записи домена site.ru. По сути, этим мы разрешаем слать письма с того сервера, на котором и расположен сайт. Эту опцию полезно указать, если движок вашего сайта шлет какие-то письма или вы используете почту от вашего хостинг-провайдера, или, если ведете почтовую рассылку через скрипт, который живет на вашем основном домене. В общем, этот параметр обычно указывается. Если вам надо, наоборот, запретить принимать письма от сервера, указанного в A-записи, то поставьте знак минуса перед параметром -a.
mx - означает, что мы разрешаем слать письма с сервера, который указан в MX-записи для нашего домена. MX-запись указывает на сервер, который занимается обработкой входящей почты для нашего домена. Например, если вы захотите использовать яндекс.почту для создания почтовых ящиков вашего сайта, то в процессе настройки вас попросят добавить в DNS-записи вашего сайта mx-запись с таким значением: mx.yandex.net, которая указывает, что почту для вашего сайта надо пересылать на почтовые сервера яндекса. А когда мы указываем параметр mx в SPF-записи, то этим мы говорим, что разрешаем домену mx.yandex.net отправлять почту от имени нашего домена.
-all - этим мы говорим почтовым сервисам, что все письма, которые приходят от имени нашего домена с серверов, которые не указаны в нашей SPF-записи, нужно отклонять. Кроме этого, данный параметр может принимать вид ~all - мягкое отклонение, т.е. письмо будет принято, но будет помечено как СПАМ, а также есть вариант ?all - нейтральное отношение, здесь уже почтовый сервер будет действовать на свое усмотрение.
Теперь давайте разберем еще один пример, в котором будет больше параметров:
site.ru. IN TXT "v=spf1 a mx ip4:176.9.92.131 include:_spf.mlsend.com -all"
Из нового здесь появились два момента:
ip4:176.9.92.131 - означает, что мы разрешаем слать письма от имени нашего сайта с сервера с IP-адресом 176.9.92.131. Это может пригодиться во многих ситуациях. Например, если поддомен вашего сайта расположен на другом сервере, но с этого поддомена идет отправка писем, в которых в качестве обратного адреса используется корневой домен. Или, например, если на каком-то сервере находится сразу несколько доменов, с которых вы разрешаете отправку. Чтобы не перечислять их все, достаточно указать лишь IP-адрес сервера, на котором они находятся.
include:_spf.mlsend.com - этой записью мы говорим следующее - все сервера, которые указаны в SPF-записи для домена mlsend.com, также имеют право отправлять письма от имени моего домена. Это обычно используется в тех случаях, когда вы ведете рассылку, используя сторонний сервис рассылок. Т.к. сервисы рассылок шлют письма со многих разных серверов и они у них постоянно меняются, то было бы неудобно указывать все эти сервера в нашей SPF-записи. Для таких случаев гораздо удобнее использовать опцию include, которой мы разрешаем слать письма от имени нашего домена всем серверам, указанным в SPF-записи нашего сервиса рассылок. В данном случае приведен пример для сервиса Mailerlite .
И последний пример, который познакомит нас с еще одним параметром:
site.ru. IN TXT "v=spf1 redirect=site.com -all"
redirect=site.com - это уже не параметр, а так называемый модификатор. Он заменяет SPF-запись для домена site.ru SPF-записью, которая прописана для домена site.com. Это может пригодиться в том случае, если у нас много доменов в разных языковых зонах, а обработкой и отправкой почты для всех этих доменов занимается один сервер. Чтобы нам не прописывать SPF для всех доменов, мы прописываем их только для одного, а для всех остальных прописываем модификатор redirect. Теперь, если нам надо будет что-то изменить в SPF-записи, то нам не надо будет менять ее во всех наших доменах, а достаточно будет поменять в одном. Этот модификатор похож на параметр include, но отличается от него тем, что он просто заменяет всю текущую запись, а include лишь добавляет параметры целевого домена к существующим параметрам.
О других, более редких параметрах и модификаторах SPF-записи, вы можете почитать на официальном сайте .
Таким образом, чтобы составить верную SPF-запись, вам надо определиться с тем, какие сервера имеют право слать почту от имени вашего домена, а затем указать их в качестве параметров.
Самое простое, что вы можете сейчас прописать для защиты вашего сайта от спуфинга, это:
site.ru. IN TXT "v=spf1 a mx -all"
Вместо site.ru. будет ваш домен. Если, например, вы используете Яндекс.почту для создания почтовых ящиков своего домена, то запись нужно расширить до такой:
site.ru. IN TXT "v=spf1 a mx include:_spf.yandex.net -all"
site.ru. IN TXT "v=spf1 a mx include:_spf.yandex.net include:_spf.mlsend.com -all"
Шаг 1. Добавляем новую DNS-запись.
Зайдите в интерфейс добавления новых DNS-записей у вашего регистратора или хостинг-провайдера. Найдите там возможность добавить новую DNS-запись.
Это может выглядеть так:
Шаг 2. Заполняем поля и добавляем запись
В поле Хост
укажите @
или название вашего домена с точкой на конце, например site.ru.
Тип записи
укажите TXT
. В поле Значение
пропишите получившуюся у вас SPF-строку в кавычках.
Шаг 3. Ждем обновления. Проверяем результат
После добавления записи вы увидите ее в списке ваших DNS-записей.
Это может выглядеть так:
Теперь надо подождать, пока эти изменения станут видны на всех DNS-серверах сети Интернет. Обычно этот процесс занимает от нескольких секунд до 72 часов. Далее можно проверить вашу SPF-запись, через этот сервис:
Пример проверки:
Учтите, что SPF-запись у домена может быть только одна. Если вы добавите несколько SPF-записей, это будет считаться ошибкой.
SPF - это только первый этап защиты от спуфинга. Это один из параметров, который учитывает почтовый сервис в своей комплексной антиспам-политике при обработке входящей почты. Итоговое решение о том, поместить письмо в папку «Входящие», отправить его в спам или вовсе отклонить, почтовый сервис принимает по совокупности всех параметров, которые он учитывает.
В любом случае, я советую вам настроить SPF-политику для вашего домена. Чем больше людей будет использовать данную технологию, тем она быстрее станет массовой и станет работать гораздо эффективнее.
В следующих статьях мы с вами поговорим о других инструментах защиты от спуфинга таких, как: DKIM и DMARC.
Защита домена от спуфинга
Записи SPF помогают предотвратить спуфинг – рассылку спамерами нежелательных писем из вашего домена. Для этого используется технология Sender Policy Framework (SPF) .
Поскольку спуфинг часто используется злоумышленниками, некоторые серверы электронной почты требуют проверки SPF. Письма, которые ее не пройдут, могут быть отклонены или помечены как спам.
Помимо SPF, рекомендуем использовать проверки DomainKeys Identified Mail (DKIM) и Domain-based Message Authentication, Reporting & Conformance (DMARC) . SPF определяет круг доменов, из которых вам могут поступать письма. DKIM позволяет удостовериться, что контент сообщения не менялся после отправки. А DMARC указывает, что делать с подозрительными сообщениями, поступившими в ваш домен.
Запись SPF определяет почтовые серверы, которым разрешено отправлять электронную почту из вашего домена. Сообщения с серверов, не включенных в этот список, могут быть помечены как спам.
Чтобы настроить записи SPF в Gmail, добавьте запись TXT в систему своего регистратора. Это не отразится на работе электронной почты.
Если вам требуется помощь, обратитесь к своему регистратору.
Новая запись SPF начнет действовать в течение 48 часов.
Запись SPF можно проверить с помощью Набора инструментов G Suite.
Использование нескольких записей SPF может вызывать проблемы авторизации. Вместо этого рекомендуем добавить в существующую запись SPF дополнительные серверы.
Например, если вы настроили шлюз исходящей почты , запись SPF будет содержать адрес сервера Gmail и адрес SMTP-сервера этого шлюза.
Чтобы добавить почтовый сервер в существующую запись SPF, введите перед аргументом ~ all IP-адрес этого сервера в формате ip4:адрес или ip6: адрес , как показано в примере ниже.
Приветствую, Хабр! В этой статье будет инструкция по настройке DKIM/SPF/DMARC записей. А побудило меня написать эту статью полное отсутствие документации на русском языке. Все статьи на эту тему, которые были мной найдены, были крайне не информативны.
Openssl genrsa -out private.pem 1024 //генерируем секретный ключ длинной 1024
openssl rsa -pubout -in private.pem -out public.pem //получаем публичный ключ из секретного
Или можно воспользоваться онлайн-сервисом, чего я крайне не советую.
Примером записей является
mail._domainkey.your.tld TXT "v=DKIM1; k=rsa; t=s; p=<публичный ключ>"
Где
mail - селектор. Можно указать несколько записей с разными селекторами, где в каждой записи будет свой ключ. Применяется тогда, когда задействовано несколько серверов. (на каждый сервер свой ключ)
v - версия DKIM, всегда принимает значение v=DKIM1 . (обязательный аргумент)
k - тип ключа, всегда k=rsa . (по крайней мере, на текущий момент)
p - публичный ключ, кодированный в base64. (обязательный аргумент)
t - Флаги:
t=y - режим тестирования. Такие отличают отличаются от неподписанных и нужны лишь для отслеживания результатов.
t=s - означает, что запись будет использована только для домена, к которому относится запись, не рекомендуется, если используются субдомены.
возможные:
h - предпочитаемый hash-алгоритм, может принимать значения h=sha1 и h=sha256
s - Тип сервиса, использующего DKIM. Принимает значения s=email (электронная почта) и s=* (все сервисы) По-умолчанию "*".
; - разделитель.
Так же стоит прописать ADSP запись, которая позволяет понять, обязательно должно быть письмо подписано или нет.
_adsp._domainkey.example.com. TXT "dkim=all"
Значений может быть три:
all - Все письма должны быть подписаны
discardable - Не принимать письма без подписи
unknown - Неизвестно (что, по сути, аналогично отсутствию записи)
Теперь подробнее о тегах:
v - версия, принимает значение v=DMARC1 (обязательный параметр)
p - правило для домена. (Обязательный параметр) Может принимать значения none , quarantine и reject , где
p=none не делает ничего, кроме подготовки отчетов
p=quarantine добавляет письмо в СПАМ
p=reject отклоняет письмо
Тэг sp отвечает за субдомены и принимает такие же значения, как и p
aspf и adkim позволяют проверять соответствиям записям и могут принимать значения r и s , где r - relaxed более мягкая проверка, чем s - strict.
pct отвечает за кол-во писем, подлежащих фильтрации, указывается в процентах, например, pct=20 будет фильтровать 20% писем.
rua - позволяет отправлять ежедневные отчеты на email, пример: rua=mailto:[email protected] , так же можно указать несколько email через пробел (rua=mailto:[email protected] mailto:[email protected])
Пример отчета
Эта статья - лишь инструкция по самостоятельной настройке записей, своего рода документация. Готовых примеров нет намеренно, ведь каждый сервер уникален и требует своей собственной конфигурации.
Буду рад конструктивной критике и правкам.
Sender Policy Framework (SPF) - это расширение для протокола отправки электронной почты через SMTP.Используя запись SPF можно определить подделан e-mail отправителя или является оригиналом. Содержание SPF прописывается в запись TXT.
Есть понятие e-mail спуфинга, которое означает маскировку одного объекта под другой объект. Следовательно IP-адрес отправителя можно подменить, а запись SPF запросто решает проблему с подменой адреса.
Создать SPF запись просто. Создание записи SPF заключается в формировании строки, текстовой записи для сервера доменных имен.
Строка содержит список серверов, которым позволено отправлять письма. Если письмо приходит от сервера, которого нет в списке, то письмо попадает в spam.
Агент, который принимает почту, например GMail, запрашивает SPF запись доменного имени и сверяет адрес отправителя со списком разрешенных адресов из DNS.
Строка для DNS с записью SPF должна состоять из ряда параметров.
Например:
V=spf1 include:_spf.google.com ~all v=spf1 означает версию протокола SPF.
После версии протокола SPF может идти ряд параметров. Например:
Параметр "mx" указывает, что письма могут приниматься, если отправка произошла с узла, который указан в записи "mx" доменного имени. В записи "mx" обычные указывается почтовый сервис, который обрабатывает отправку писем.
Ip4:
Параметр all задается в конце записи.
Параметр ~all указывает, что если все предыдущие правила не выполнены, то письма необходимо направить на тщательную проверку.
Параметр -all указывает, что если все предыдущие правила не выполнены, то письма необходимо отклонить.
Запись include указывает на то, с каких указанных хостов можно принимать электронную почту, кроме прочих правил. Например, include:_spf.google.com.
Запись redirect указывать на то, с каких указанных хостов требуется проверять SPF-запись. Например, redirect=_spf.mail.ru .
Как использовать на практике. Например, если есть сайт и электронная почта на gmail.com или mail.ru и отправка почты происходит только с gmail.com, или только с mail.ru, то можно прописать redirect с указанием ссылки на сервис. Например, v=spf1 redirect=_spf.google.com. Таким образом, вы оградите себя от рассылки конкурентов от вашего имени.
Множественное использование SPF-записей в DNS не рекомендуется, поскольку все правила можно прописать одной строкой и несколько записей могут привести к ошибке обработки.
Например, можно использовать mxtoolbox.com/ или инструменты указанные на официальном сайте фреймворка по ссылке http://www.openspf.org/Tools . Даже если вы не страдаете от спама, рассылаемого от имени вашего домена, явное описание легальных источников почты из вашего домена может помочь прохождению легальной почты от вас во входящие.
SPF-запись на DNS-сервере для владельца проекта является одним из методов настройки безопасности, есть и альтернативные дополнительные методы. Методы рекомендуется комбинировать. Например, рекомендуется проверять IP-адрес перед размещением сайта на предмет наличия в black-листе.
