Приятного чтения!

← назад
Что такое SPF и как его настроить

Что такое SPF и как его настроить

calendar_today27.03.2024 visibility32

Запись SPF содержит инструкции, предписывающие серверу получателя проверять и подтверждать электронные письма, полученные от вашего домена. Она также указывает, что делать с теми письмами, которые не прошли проверку подлинности.

Что такое SPF-запись

Запись SPF - это запись DNS, содержащая список всех IP-адресов, которым разрешено отправлять электронную почту с использованием вашего официального доменного имени. Когда сервер, не входящий в этот список, отправляет электронное письмо с использованием домена, оно рассматривается как несанкционированное. Таким образом, его запись отклоняется почтовым ящиком получателя. Это защищает имя вашей компании от вовлечения во вредоносную деятельность, инициированную хакерами. 

Зачем нужна SPF-запись

Настроив SPF-запись и указав в ней все ваши IP‑адреса, почтовые провайдеры (Mail.ru/Yandex/Gmail) понимают, что пришедшее письмо действительно отправлено от имени домена вашей компании.

При этом спамер не сможет использовать ваш домен для фишинга. Ему придётся искать другие варианты.

Синтаксис записи

SPF-запись имеет формат TXT. Пример настроенной SPF-записи для домена example.com. В нём указаны IP‑адреса, с которых можно отправлять письма от имени домена example.com. Другие IP‑адреса проверку SPF не пройдут.

v=spf1 ip4:46.243.168.39 ip4:217.66.145.1 ip4:217.66.145.2 ip4:213.87.72.33 ip4:213.87.75.66 ip4:212.248.112.197 ip4:81.176.66.43 ip4:217.74.241.47 ip4:213.87.44.5 ip4:213.87.44.6 ip4:213.87.71.65 mx -all

Также SPF-запись одного домена может включать ссылку на запись другого домена. Для этого в тело записи добавляют модификатор include:. При прочтении SPF-записи отправляющего домена происходит запрос к записи домена, указанного в модификаторе include. IP-адреса этой записи будут учтены при проверке.

Пример SPF-записи домена example.com с модификатором include:

v=spf1 ip4:176.9.155.239 ip4:192.95.30.151 ip4:94.231.116.76 ip4:94.231.116.77 ip4:94.231.116.78 ip4:94.231.116.69 ip4:78.47.65.243 include:spf-es-ru.com +mx ~all

C такой записью отправка писем от имени домена example.com разрешена с IP-адресов, описанных выше, плюс IP-адресов, указанных в SPF-записи домена spf-es-ru.com.

Механизмы SPF

  1. all: Всегда соответствует и является последним механизмом, добавляемым в конец SPF-записи. Он отображает результаты по умолчанию, такие как '-all' для несовпадающих IP.

  2. а: Указывает на доменное имя с записью AAAA или A запись в качестве соответствия, так как она отбирает адрес отправителя. Текущий домен используется, если синтаксис записи DNS SPF не определен.

  3. ip4: Совпадение считается положительным, если отправитель связан с указанным диапазоном адресов ipv4 в записи SPF. Вы добавляете его с префиксом, определяющим длину диапазона. /32 используется при отсутствии префикса.

  4. ip6: Совпадение считается положительным, если отправитель относится к указанному диапазону адресов ipv6. Он добавляется с помощью директивы ip4 и префикса, указывающего длину диапазона. /128 используется при отсутствии префикса.

  5. mx: Разрешает отправителям с IP-адресом, совпадающим с тем, который включен в указанную MX-запись. Записи MX состоят из IP-адреса и значения приоритета для каждого сервера, принимающего сообщения.

  6. ptr: Указывает авторизованный домен, чтобы помочь разрешить IP-адреса к поддоменам или доменам. Для всех точно совпадающих доменов или поддоменов выполняется прямой поиск для получения IP-адреса.

Этот механизм считается трудоемким и ненадежным, поскольку требует многократного поиска. Он не рекомендуется в соответствии с RFC 7208.

  1. EXISTS: Выполняется поиск записи DNS A для введенного домена. Поиск считается успешным, если найдена действительная запись A, независимо от фактического результата поиска.

  2. ВКЛЮЧИТЬ: Авторизует сторонних отправителей электронной почты, указывая их домены. Отправитель авторизован только в том случае, если его IP-адрес совпадает с IP-адресами или доменами, указанными в SPF-записи перечисленного домена.

Квалификаторы SPF

Если механизм не имеет классификатора, но при этом есть успешное совпадение, SPF-аутентификация проходит. Каждый из 8 механизмов связан с одним из четырех классификаторов, упомянутых ниже.

КвалификаторРезультатДействия, предпринятые принимающим сервером 
+ПройденоЭлектронная почта успешно проходит проверку подлинности SPF, и сервер может обмениваться электронной почтой. Письма помечаются как подлинные. Это действие по умолчанию, применяемое при отсутствии классификатора.
-ПровалЭлектронное письмо не проходит аутентификацию, поскольку сервер-отправитель не входит в список. Письмо может быть отклонено почтовым ящиком получателя.
~SoftFailПочтовый ящик получателя принимает сообщение, однако оно помечается как подозрительное и попадает в папку спама.
?НейтральныйСообщение электронной почты не проходит и не проходит аутентификацию. Действия не определены, и электронное сообщение принимается получателем.

Модификаторы SPF

Модификаторы SPD отвечают за определение рабочих параметров синтаксиса SPF. Они включают пары имен или значений, разделенные символом '=', которые разделяют дополнительные детали и исключения из правил, если таковые имеются.

Модификаторы появляются только один раз и только в последнем разделе SPF-записи. Все неопознанные модификаторы игнорируются в процессе. Модификатор 'redirect' используется для направления других записей SPF для проверки подлинности. Он используется, когда вы хотите, чтобы несколько доменов имели одинаковое содержимое SPF-записи.

Механизм 'include' используется для сторонних доменов, которым разрешено отправлять электронные письма от вашего имени или используя ваше имя. Модификатор 'exp' указывает, почему принимающий сервер вернул квалификатор Fail SPF при совпадении механизма.

Руководящие принципы для записей SPF

При создании SPF-записи с помощью таблицы синтаксиса SPF учитывайте следующее.

  • Вы не можете согласовывать несколько записей SPF для одного домена.
  • В записи SPF не должно быть заглавных букв; в противном случае вы увидите ошибки.
  • Не должно быть более 255 символов. Любая строка, превышающая это число, приведет к неудачной аутентификации.
  • Удалить, если есть механизмы SPF, разрешающие один и тот же домен.
  • Удалите все неиспользуемые механизмы ip4 и ip6 SPF. Также проверьте, можно ли объединить какие-либо диапазоны адресов.
  • Вы можете создать поддомены для хранения информации SPF. Это можно сделать с помощью '_spf.domain.com'. Это рекомендуется для крупных IT-компаний, так как у них есть несколько IP-адресов для добавления к одной SPF-записи.

Как настроить

Определите, с каких IP-адресов будет идти рассылка от имени вашего домена. Учитывайте не только массовые рассылки, но и частные переписки с корпоративной почты (если она имеет тот же домен). Если не предусмотреть все варианты, то возможны нарушения коммуникации с подписчиками или коллегами.

Далее сформируйте SPF-запись согласно синтаксису протокола.

SPF-запись сформирована. Её необходимо прописать в TXT-записи домена. Фактически вам необходимо добавить новую DNS-запись типа TXT.

Через 6–12 часов значение SPF-записи обновится и станет доступно всем DNS-серверам.

Как проверить настройку

Проверьте правильность настройки с помощью сервиса для просмотра DNS-записей на главной странице нашего сайта во вкладке DNS.

Для этого введите проверяемый домен и выберите тип записи TXT, затем нажмите кнопку Найти — вы увидите список всех TXT-записей. SPF-запись начинается с “v=spf1” и должна содержать все необходимые ip-адреса:

Проверка DNS-записей

Как проверить настройку

Наличие SPF-записи является обязательным требованием большинства почтовых провайдеров.

Если запись не будет найдена, то с большой вероятностью рассылка попадёт в папку «Спам». То же самое произойдёт, если SPF-запись существует, но IP-адрес, с которого рассылается письмо, не присутствует в разрешённом списке.

Поэтому для ведения массовых рассылок обязательно настройте корректно SPF-запись.