Што такое запіс SPF? Як працуе структура палітыкі адпраўшчыка, каб спыніць фішынгавыя паведамленні электроннай пошты?
Падрабязнасці і тлумачэнне таго, як SPF запіс працы падрабязна апісаны ніжэй SPF Record builder.
SPF Record Builder
Вось форма, якую вы можаце выкарыстоўваць для стварэння ўласнага запісу TXT для дадання ў ваш дамен або субдамен, з якога вы адпраўляеце электронныя лісты.
Гэта было вялікай палёгкай, калі мы перанеслі электронную пошту нашай кампаніі на Google ад кіраванай ІТ-службы, якую мы выкарыстоўвалі. Перш чым быць у Google, нам даводзілася адпраўляць запыты на любыя змены, дапаўненні ў спісы і г.д. Цяпер мы можам апрацоўваць усё гэта праз просты інтэрфейс Google.
Адна няўдача, якую мы заўважылі, калі пачалі адпраўляць, заключалася ў тым, што некаторыя электронныя лісты з нашай сістэмы не траплялі ў паштовую скрыню... нават у нашу паштовую скрыню. Я прачытаў некаторыя парады Google для Адпраўшчыкі масавай пошты і хутка ўзяліся за працу. У нас ёсць электронная пошта, якая выходзіць з 2 прыкладанняў, якія мы размяшчаем, яшчэ адной праграмы, якую размяшчае нехта іншы ў дадатак да пастаўшчыка паслуг электроннай пошты. Наша праблема заключалася ў тым, што нам не хапала запісу SPF, каб інфармаваць правайдэраў аб тым, што электронныя лісты, адпраўленыя з Google, належаць нам.
Што такое структура палітыкі адпраўшчыка?
Sender Policy Framework - гэта пратакол аўтэнтыфікацыі электроннай пошты і частка кібербяспекі электроннай пошты, які выкарыстоўваецца інтэрнэт-правайдэрамі для блакіроўкі дастаўкі фішынгавых лістоў сваім карыстальнікам. Ан SPF запіс - гэта запіс дамена са спісам усіх вашых даменаў, IP-адрасоў і г.д., з якіх вы адпраўляеце электронныя лісты. Гэта дазваляе любому інтэрнэт-правайдэру шукаць ваш запіс і пацвярджаць, што электронная пошта прыходзіць з адпаведнай крыніцы.
Фішынг - гэта тып махлярства ў інтэрнэце, пры якім злачынцы выкарыстоўваюць метады сацыяльнай інжынерыі, каб прымусіць людзей выдаць канфідэнцыяльную інфармацыю, такую як паролі, нумары крэдытных карт або іншую асабістую інфармацыю. Зламыснікі звычайна выкарыстоўваюць электронную пошту, каб заахвоціць людзей даць асабістую інфармацыю, выдаючы сябе за законны бізнес... як ваш ці мой.
SPF - выдатная ідэя, і я не ведаю, чаму гэта не асноўны метад для масавых рассыланняў і сістэм блакіроўкі спаму. Можна падумаць, што кожны рэгістратар даменаў паставіў бы за мэту ўбудаваць майстар прама ў сябе, каб кожны мог пералічваць крыніцы электроннай пошты, якую яны будуць адпраўляць.
Як працуе запіс SPF?
An Інтэрнэт-правайдэр правярае запіс SPF, выконваючы DNS-запыт для атрымання запісу SPF, звязанага з даменам адраса электроннай пошты адпраўніка. Затым правайдэр ацэньвае запіс SPF, спіс аўтарызаваных IP-адрасоў або імёнаў хастоў, якім дазволена адпраўляць электронную пошту ад імя дамена, у параўнанні з IP-адрасам сервера, які адправіў электронную пошту. Калі IP-адрас сервера не ўключаны ў запіс SPF, правайдэр можа пазначыць электронную пошту як патэнцыйна махлярскую або цалкам адхіліць электронную пошту.
Парадак працэсу наступны:
- Інтэрнэт-правайдэр робіць запыт DNS, каб атрымаць запіс SPF, звязаны з даменам адраса электроннай пошты адпраўніка.
- Інтэрнэт-правайдэр ацэньвае запіс SPF адносна IP-адраса сервера электроннай пошты. Гэта можна пазначыць у CIDR фармат для ўключэння дыяпазону IP-адрасоў.
- Інтэрнэт-правайдэр ацэньвае IP-адрас і гарантуе, што ён не знаходзіцца на a DNSBL сервер як вядомы спамер.
- Правайдэр таксама ацэньвае DMARC і БІМІ Records.
- Затым ISP дазваляе дастаўку электроннай пошты, адхіляе яе або змяшчае ў тэчку непажаданай пошты ў залежнасці ад унутраных правілаў дастаўкі.
Як стварыць запіс SPF
Запіс SPF - гэта запіс TXT, які вы павінны дадаць да дамена, з якога вы адпраўляеце электронныя лісты. Даўжыня запісаў SPF не можа перавышаць 255 сімвалаў і не можа ўключаць больш за дзесяць аператараў уключэння.
- пачынаць з
v=spf1і прытрымлівацца яго IP-адрасамі, упаўнаважанымі для адпраўкі вашай электроннай пошты. Напрыклад,v=spf1 ip4:1.2.3.4 ip4:2.3.4.5. - Калі вы выкарыстоўваеце трэцюю асобу для адпраўкі электроннай пошты ад імя разгляданага дамена, вы павінны дадаць ўключаць у ваш запіс SPF (напрыклад, include:domain.com), каб пазначыць гэты трэці бок у якасці законнага адпраўніка
- Пасля таго, як вы дадалі ўсе аўтарызаваныя IP-адрасы і ўключылі заявы, завяршыце свой запіс
~allor-allтэг. Тэг ~all паказвае a мяккі SPF не у той час як тэг -all паказвае a жорсткі SPF няўдачу. У вачах асноўных пастаўшчыкоў паштовых скрынь ~усе і -усё прывядуць да збою SPF.
Пасля таго, як вы напішаце запіс SPF, вы захочаце дадаць запіс у свой рэгістратар дамена.
Прыклады запісаў SPF
v=spf1 a mx ip4:192.0.2.0/24 -allГэты запіс SPF сцвярджае, што любы сервер з запісамі A або MX дамена або любы IP-адрас у дыяпазоне 192.0.2.0/24 мае права адпраўляць электронныя лісты ад імя дамена. The -усе у канцы паказвае, што любыя іншыя крыніцы не павінны прайсці праверку SPF:
v=spf1 a mx include:_spf.google.com -allГэты запіс SPF сцвярджае, што любы сервер з запісамі A або MX дамена або любы сервер, уключаны ў запіс SPF для дамена "_spf.google.com", мае права адпраўляць электронныя лісты ад імя дамена. The -усе у канцы паказвае, што любыя іншыя крыніцы не павінны прайсці праверку SPF.
v=spf1 ip4:192.168.0.0/24 ip4:192.168.1.100 include:otherdomain.com -allГэты запіс SPF вызначае, што ўся электронная пошта, адпраўленая з гэтага дамена, павінна паступаць з IP-адрасоў у дыяпазоне сеткі 192.168.0.0/24, адзінага IP-адраса 192.168.1.100 або любых IP-адрасоў, дазволеных запісам SPF otherdomain.com дамен. The -all у канцы запісу вызначае, што ўсе астатнія IP-адрасы павінны разглядацца як няўдалыя праверкі SPF.
Праблема з SPF і ідэнтыфікатарам адпраўніка па сутнасці заключаецца ў тым, што яны парушаюць пераадрасацыю электроннай пошты. DomainKeys (і стандарт, які цяпер называецца DKIM) - гэта хваля будучыні, што тычыцца большасці людзей; аднак яго больш складана разгарнуць і праверыць.