Расшифровка термина
SPF-запись (Sender Policy Framework) — это запись в DNS. Она указывает, какие серверы имеют право отправлять электронные письма от имени вашего домена. SPF помогает защитить от подделки и фишинга, снижая вероятность того, что рассылка попадет в спам или будет заблокирована.
Без аутентификации писем компании и получатели попадают под риск фишинга, спама и подделки писем (spoofing). SPF-записи затрудняют использование домена.
Если у домена нет SPF-записи, письма могут отправляться в папку «Спам». Со временем это повлияет на репутацию домена — доставляемость упадет еще сильнее.
Представьте, что ваш партнер получает рассылку от лица вашей компании и письмо выглядит вполне официальным. Но вы его не отправляли. Если у вашего домена нет SPF-записи, злоумышленники могут разослать такие поддельные письма от имени вашего домена. Это создаст угрозу для безопасности клиентов и партнеров.
Из чего состоит SPF-запись?
SPF-запись создается в формате TXT-записи в DNS домена. Это текстовая строка, со списком разрешенных серверов и IP-адресов, которые имеют право писать от имени домена. Чтобы почтовый сервер мог правильно интерпретировать содержимое записи, она должна соответствовать стандартам.
Пример: v=spf1 ip4:203.0.113.5 ip6:2001:0db8:85a3:0000:0000:8a2e:0370:7334 include:mailservice.com -all
-
v=spf1 — этот фрагмент сообщает почтовым серверам, что запись относится к стандарту SPF, и указывает версию протокола. Все SPF-записи начинаются с этого обозначения.
-
ip4:203.0.113.5 — это конкретный IP-адрес, с которого разрешено отправлять письма. Почтовый сервер проверит, соответствует ли адрес отправителя данному IP. Если да, письмо считается легитимным.
-
ip6:2001:0db8:85a3:0000:0000:8a2e:0370:7334 — этот адрес указывает на сервер с IPv6-адресом, которому тоже разрешили отправлять письма от вашего домена. Поддержка IPv6 важна, так как все больше почтовых сервисов переходят на новый формат адресации.
-
include.com — это команда, которая позволяет стороннему почтовому сервису для массовых email-рассылок писать от вашего имени. В данном случае сервер будет проверять SPF-запись для mailservice.com и, если IP отправителя указан в их записи, письмо пройдет проверку.
-
-all — это заключительный элемент записи, который говорит почтовым серверам, что письма с любых других серверов нужно отклонять. Это предотвращает несанкционированное использование вашего имени для отправки спама или фишинговых писем.
Альтернативные модификаторы:
-
~all — означает, что письма от неавторизованных отправителей будут помечены как подозрительные или спам, но при этом все равно будут приняты. Это менее строгая настройка, подходящая для тестирования.
-
+all — крайне не рекомендуется, так как разрешает любому серверу отправлять письма от имени вашего домена. Это делает вашу почту уязвимой для спама и подделок, поэтому модификатор почти не используется.
На один домен настраивается только одна SPF-запись. Она не должна содержать заглавных символов — все должно быть в нижнем регистре.
Что происходит в DNS, когда почтовый сервер проверяет SPF-запись
Когда почтовый сервер получает письмо, начинается настоящая проверка безопасности. Представьте это как систему пропусков для доступа в здание. Каждый сервер, отправляющий письмо, должен предоставить специальный «пропуск» — SPF-запись. Если пропуск не подтверждается (например, сервер не указан в записи), письмо отклоняется.
Как это работает? Когда сервер получает письмо, он извлекает домен из «return-path» (специальный адрес для возврата сообщений) и отправляет запрос в DNS-систему. Это нужно, чтобы проверить: есть ли SPF-запись для этого домена. В случае, если адрес отправителя не включен в разрешенные, почтовый сервер принимает решение: пометить письмо как подозрительное или заблокировать его полностью.
Как с SPF взаимодействуют DKIM и DMARC
Современные системы безопасности электронной почты используют все три технологии.
DKIM (DomainKeys Identified Mail) — это метод цифровой подписи сообщений, который позволяет удостовериться: сообщение действительно пришло от указанного отправителя и не менялось после отправки. При использовании DKIM в заголовки исходящих писем добавляется уникальная цифровая подпись.
DMARC (Domain-based Message Authentication, Reporting & Conformance) позволяет доменам определять, что делать с письмами, которые не прошли аутентификацию по стандартам SPF или DKIM. DMARC объединяет оба этих механизма. Система дает три варианта: отправлять такие письма в спам, отклонять или просто помечать как подозрительные. Также DMARC позволяет настроить отчеты о неудачных попытках аутентификации.
