Меню

Настройка spf записи dns



Настройка spf записи dns

SPF (Sender Policy Framework) — технология, позволяющая владельцу домена защитить почтовые адреса домена от их подделки.

SPF реализована очень просто. При получении письма, сервер получателя проверяет наличие TXT-записи у домена отправителя. Пример такой записи у домена rambler.ru:

Если IP-адрес сервера отправителя содержится в этой записи, письмо принимается. В противном случае, письмо отбрасывается полностью, либо доставляется, но помечается подозрительным (в зависимости от указаний в SPF-записи).

Какую SPF-запись можно прописать при использовании почтовой системы Spaceweb?

Следует указать такую TXT-запись в разделе DNS:

Она указывает, что почта может отправляться только с SMTP-серверов компании Spaceweb.

all на -all , в этом случае письма, отправленные от имени ящиков домена, но не с SMTP-серверов компании Spaceweb, будут отбрасываться полностью.

SPF запись для почтового сервера позволяет снизить риск того, что письмо попадет в спам. Когда почтовый сервис получает очередное письмо, он проверяет кто является адресатом. Иногда возникает такая ситуация, когда почтовый сервис считает, что отправку письма совершило третье лицо. Существует несколько способов устранить проблему, но настройка SPF записи считается самым простым вариантом.

Основные параметры SPF записи

Прежде чем приступить к настройке, необходимо ознакомиться с используемыми блоками:

В настоящий момент существует только одна версия, которая обозначается как «v = spf1». Что касается модификаторов, то их всего два:

  • Exp. Гиперссылка на текстовое сообщение, если пользователь не принимает сообщение;
  • Redirect. Модификатор, позволяющий использовать данные стороннего адреса.

Основных механизмов всего четыре:

  • Любой сервер – all;
  • Использовать данные со стороннего адреса – include;
  • Адреса сервера – ip4 и ip6;
  • Сервер из DNS – «a» и «mx».

Чтобы использовать модификаторы и механизмы, достаточно понять принцип работы. Например, игнорировать почтовые сообщения с домена можно при помощи команды «v = spf1 -all».

В чем заключается важность записи?

Любая профессиональная анти-спам система способна анализировать входящие письма следующими способами:

  • Проверка темы письма, а также его заголовок, текст и гиперссылки;
  • Осуществляется проверка SPF и DMARC записей, а также анализ DKIM подписи;
  • Анализируется IP адрес сервера, с которого было отправлено сообщение, а именно его репутация и правильность заполнения PTR и A-записей.

Обойти анти-спам систему достаточно сложно, но такая возможность имеется. Для этого мошеннику потребуется:

  • Обзавестись «чистым» IP-адресом;
  • Грамотно написать письмо;
  • Отыскать сервер или домен, не имеющий защиты.

Правильно настроенная запись спасет получателя от рассылки спама, а также мошеннических действий. Чтобы корректно настроить SPF-запись, следует ознакомиться с подробной инструкцией.

Инструкция по настройке

Пользователям следует понимать, что для каждого почтового сервера настройка SPF-записи может немного отличаться. Именно поэтому необходимо разобраться какие группы серверов могут быть:

  • Собственный почтовый сервер;
  • Популярные почтовые сервисы. Например, mail.ru или yandex.ru;
  • Хостинг.

Чтобы настроить SPF-запись для Яндекса (на всех популярных сервисах настройка осуществляется по одному и тому же принципу), необходимо последовательно выполнить следующую последовательность действий:

  • Войти в панель управления сайта, который предоставляет услуги хостинга;
  • Найти существующие «txt записи», а затем удалить их;
  • Создать новую запись. В файле прописать «v = spf1 redirect = _spf.yandex.net». При желании в одной записи можно прописать отправку с нескольких серверов, для этого используется следующий формат записи «v = spf1 ip4: IP-adress1 ip4: IP-adress2 include: _spf.yandex.net», вместо IP-adress написать адрес дополнительного сервера;
  • В поле «имя хостинга» поставить символ «@». Бывают случаи, когда вместо символа прописывают доменное имя. Например, test_domain.ru. Если же не удается написать доменное имя и символ «@», тогда поле остается пустым;
  • Последним шагом является применение настроек. Обычно изменения наступают в течение 72 часов.
Читайте также:  Proftpd настройка пассивного режима

Проверка SPF записи

В том случае, если настройка от спама осуществлялась для собственного почтового сервера, необходимо произвести проверку правильности настроек.

Настройка SPF и DKIM

Проверить SPF запись можно при помощи специального сервиса, расположенного по адресу http://mxtoolbox.com/spf.aspx.
Чтобы приступить к проверке в поле «Domain Name» необходимо указать имя своего домена, для которого настраивалася SPF запись. В поле «IP (Optional)» можно ничего не указывать. После заполнения поя необходимо нажать на кнопку «SPF Record Lookup».

Если настройка выполнена неправильно или совсем не заполнена, появится сообщение «Записей не найдено». При корректном заполнении записи, появится две таблицы. В первой таблице будут отображены все настройки, прописанные в SPF-записи, то есть значения таблицы у каждого почтового сервера будут отличаться.

Вторая таблица содержит следующие поля:

  • Record Published;
  • Syntax Check;
  • Multiple Records;
  • Record Deprecated;
  • Included Lookups.

На втором этапе проверки рекомендуется отправить письмо с доверенного севера, то есть с того, для которого осуществлялась настройка, на почтовый ящик, зарегистрированный на google.com. Когда письмо придет на почтовый ящик test@gmail.com (вместо test указать свой ящик), его необходимо открыть. Затем, нажать на стрелку, позволяющую развернуть меню, чтобы выбрать пункт «Показать оригинал». В открывшемся окне следует отыскать запись «Received-SPF». Если у этого атрибута стоит значение «pass», значит, настройка произведена корректно.

Советы по работе с SPF записью

Настроить SPF запись, может даже неопытный пользователь, достаточно всего лишь следовать инструкции. Чтобы не возникло сложностей, необходимо придерживаться следующих советов:

  • Рекомендуется тщательным образом проверить, сервер, предназначенный для отправки писем. Если хотя бы один сервер будет пропущен, может произойти потеря важной корреспонденции;
  • Важно создать SPF-запись домену со вторым уровнем. Это можно сделать как для личного, так и для рабочего домена;
  • Пользователям рекомендуется устанавливать SPF запись как для популярных почтовых серверов, так и для своих собственных;
  • Если будет выбран неверный механизм обработки, переадресация будет выполнена не корректно;
  • При наличии большого числа серверов, делящихся на филиалы и географию, рекомендуется воспользоваться механизмом «include»;
    После настройки SPF-записи, рекомендуется изучить принцип работы DKIM технологии.

Таким образом, можно будет повысить репутацию всех исходящих писем.

Благодаря вышеописанным советам, можно снизить вероятность попадания писем в спам. Однажды настроив SPF запись для почтового сервера, можно забыть о проблеме с получением писем. Рекомендуется все делать по инструкции и тогда с настройками справится даже неопытный пользователь.

DMARC — TXT-запись в зоне DNS домена, определяющая политику обработки исходящих писем. Она необходима для защиты репутации доменного имени: адрес отправителя часто подделывается и используется для спама и фишинга. Например, клиенты вашего интернет-магазина получат письма с предложением купить товары по акции, а ссылки на них будут фальшивыми: при переходе откроется мошеннический сайт.

Почтовые сервисы защищают пользователей от таких писем, проверяя записи SPF и DKIM доменов-отправителей. В DMARC указывается, как действовать серверу, когда сообщение не проходит проверку.

Если ваши письма попадают в спам или не доходят до получателя, укажите в зоне DNS домена (раздел «Управление сайтами» → «Настройка DNS» в Панель управления) три записи: SPF, DKIM и DMARC.

Настройка SPF

SPF (Sender Policy Framework) — TXT-запись с перечнем серверов, которым разрешено отправлять почту с обратным адресом в домене.

SPF состоит из трех частей:

Версия протокола — spf1.

  • + — принимать сообщение. Этот параметр установлен по умолчанию;
  • — — отклонить сообщение;

— отправить в спам;

  • ? — требуется дополнительная проверка.
    • all — любой сервер;
    • ip4 — IP-адрес или подсеть адресов;
    • a — определенный домен;
    • mx — все серверы, указанные в MX-записях домена;
    • include — получить данные с другого адреса.
    • redirect — проверить SPF-запись указанного домена вместо используемого.

    Пример

    • c основного домена (a);
    • домена из MX-записи (mx);
    • IP-адреса 141.8.194.175 (ip4:141.8.194.175).

    C других серверов (all) — перемещать в папку спам.

    Если домен делегирован на наши NS-серверы, SPF настроена по умолчанию.

    Настройка DKIM

    DKIM (DomainKeys Identified Mail) — технология подтверждения почтового домена, с помощью добавления зашифрованной подписи в заголовки исходящих писем. Ключ для расшифровки указывается в TXT-записи доменного имени.

    SPF-запись

    Запись имеет вид: где:

    • mail._domainkey — имя записи типа DKIM;
    • k, t, p — параметры ключа.

    Включите DKIM-подпись в Панели управления, блок «Электронная почта» раздела «Управление сайтами».

    Если почта обслуживается внешним сервисом:

    • запросите публичный ключ у провайдера;
    • перейдите в раздел «Управление сайтами» → ваш сайт → «Настройка DNS» Панели управления;
    • добавьте запись DKIM, указав полученный ключ после «p=».

    Настройка DMARC

    После настройки SPF и DKIM укажите политику их обработки: добавьте запись DMARC.

    Она выглядит так:

    Тег Описание Значение
    v Версия протокола DMARC1
    p Правила для домена none — бездействовать;
    quarantine — поместить в спам;
    reject — отклонить.
    aspf Режим проверки соответствия SPF-записей r (relaxed) — разрешить частичные совпадения;
    s (strict) — разрешить только полные совпадения.
    pct Сообщения, подлежащие фильтрации (в %) Процент сообщений, для которых применяется политика. По умолчанию 100%.
    sp Правила для поддоменов none — бездействовать;
    quarantine — поместить в спам;
    reject — отклонить.

    Обязательно укажите атрибуты, выделенные цветом.

    Примеры

    Все сообщения с ящика в домене или поддомене, не прошедшие проверку записи SPF, помещать в спам.

    Отклонять 50% сообщений, не прошедших проверку.

    Как сделать, чтобы письма не попадали в спам? Цифровая подпись DKIM и SPF.

    Легитимность письма (от лат. legitimus — законный, правомерный) — степень оценки письма со стороны почтового сервера получателя. Почтовый сервер получателя может идентифицировать письмо как легитимное или нелегитимное (подозрительное). Легитимные письма без проблем попадают в почтовый ящик получателя. Нелегитимные письма, в свою очередь, не доходят до получателя вообще или же попадают в, так называемую, Спам (Junk) папку получателя.
    Даже не смотря на то, что Ваше письмо субъективно выглядит легитимно, у почтового сервера получателя, в соответствии с его политикой фильтрации почты, есть на этот счет свое мнение.

    Что такое DKIM

    DKIM (сокращенно от DomainKeys Identified Mail) — один из методов E-mail аутентификации. Данную технологию применяют для антифишинга и антиспама с целью повышения качества классификации и идентификации легитимной электронной почты.
    Традиционно для идентификации отправителя сообщения используется его IP адрес. В случае использования DKIM, добавляется цифровая подпись к письму, связанная с именем домена отправителя. После отправки такого письма, цифровая подпись проверяется на стороне получателя, после чего, для определения репутации отправителя, применяются «белые списки» и «чёрные списки».
    Технология DomainKeys для аутентификации отправителей использует доменные имена. DomainKeys использует существующую систему доменных имен (DNS) для передачи открытых ключей шифрования.

    Использование DKIM для почтового домена

    Для того, чтобы включить использование цифровой подписи DKIM, зайдите в панель ISP Manager, в разделе «E-mail» — «Почтовые домены», выберите необходимый домен, кликнув дважды по нему. В открывшемся окне, поставьте галочку возле «Включить DKIM«.

    Вот и все! Теперь отправляемые Вами письма будут подписаны с помощью технологии DKIM.

    Sender Policy Framework (структура политики отправителя) — расширение для протокола отправки электронной почты через SMTP, которое позволяет серверу получателю проверить, не подделан ли домен отправителя.

    SPF позволяет владельцу домена указать в TXT-записи, соответствующей имени домена, специальным образом сформированную строку, указывающую список серверов, имеющих право отправлять email-сообщения с обратными адресами в этом домене.

    SPF включено по умолчанию для всех почтовых доменов нашего хостинга. Пример того, как выглядит SPF запись на нашем хостинге:

    Подытожив вышесказанное, хочется напомнить существующее на нашем хостинге правило: частота отправки писем не должна превышать границу 10 писем в минуту.

    Как самостоятельно сгенерировать цифровую подпись DKIM?

    Существует множество сервисов для генерации DKIM подписи. Рассмотрим, один из таких сервисов http://www.port25.com/support/domainkeysdkim-wizard/.

    А ваш сайт защищен от спуфинга? SPF простым языком.

    Наша задача состоит в следующем:

    — Получение пары приватного и публичного ключа;
    — Занесение в DNS информацию домена необходимых записей о наличии поддержки DKIM.

    Введите доменное имя, а также имя «селектора» для своего почтового сервера. «Селектор» может иметь любое название, к примеру, mail или key1. Если у Вас несколько серверов для отправки почты, в таком случае, для Вашего домена может существовать несколько «селекторов».

    Первую задачу мы успешно выполнили: получили публичный и приватный ключ:

    Далее, используя подсказки сервиса, необходимо внести TXT записи в DNS Вашего доменного имени. На нашем примере, необходимо добавить TXT записи: mail._domainkey.example-site.com и _domainkey.example.com.

    Обе записи будут иметь следующий вид:

    _domainkey.example-site.com. TXT «t=s; o=

    mail._domainkey.example.com. TXT «k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ»

    В заключительном этапе необходимо сохранить приватный ключ в файл, который будет доступен для чтения серверу отправки почты. Для настройка поддержки DKIM на Вашем почтовом сервере, воспользуйтесь руководством пользователя установленного ПО.

    Теперь, чтобы проверить, правильно ли всё настроено, отправьте письмо на почту Gmail. В хедерах присланного письма должны быть следующие строки:

    Authentication-Results: mx.google.com; spf=pass (google.com: domain of example@example-site.com designates 123.123.123.123 as permitted sender) smtp.mail=example@example-site.com; dkim=pass header.i=@example-site.com

    Собственно и всё. Помимо предложенных методов, не забывайте и про здравый смысл. При таком дуете, у Вас будет больше шансов пройти проверку на легитимность 😉

    Что такое DKIM?

    Технология DomainKeys Identified Mail (DKIM) позволяет организации поручиться за сообщение, которое пересылается по электронной почте. С технической точки зрения – это метод подтверждения домена отправителя через криптографическую подпись. Подробнее в Wikipedia.

    Улучшит ли DKIM доставку почты?

    Этот вопрос зависит от серверов, проводящих валидацию сообщения. Когда сообщение подписывается с помощью DKIM, получатель использует имеющиеся сведения о подписавшей сообщение организации, чтобы определить, что делать с сообщением.

    Так ли я настроил SPF

    Сообщения от подписанта с хорошей репутацией будут проходить менее тщательную проверку фильтрами получателя.

    Инструкции по настройке:

    По запросу мы сгенерируем и настроим на своей стороне подписи DKIM для домена, принадлежащего клиенту.

    У подписей будут такие аттрибуты:

    • Signing Algorithm (алгоритм подписи): RSA-SHA256
    • Key Size (размер ключа): 1024
    • Selector (селектор): UE(ГОД)(МЕСЯЦ)

    После генерации подписи DKIM Signature клиент получит текстовый файл с публичным ключом (Public Key Record).

    Клиент должен установить DNS записи с такими двумя (2) TXT записями: Запись о политике и запись о публичном ключе

      _domainkey.(вашдомен). IN TXT «o=

    ; r=postmaster@(вашдомен)»

  • (селектор)._domainkey.(вашдомен). IN TXT «v=DKIM1; p=MIGfMA0GCSqGSIb4DQ(…..)z2nJSPOxvGGznkcY25w5lIYpxpVwZ/IwIDAQAB;»
  • Запись о политике (DKIM Policy Record):

    Домен, использующий DomainKeys, должен иметь одну запись о политике.

    Это DNS TXT- запись с именем «_domainkey» и потом доменным именем –например «_domainkey.вашдомен.»
    В TXT-записи должна быть указана политика, которая может быть или «o=-» или «o=

    o=-
    Означает «все сообщения с этого домена подписываются»

    Означает «некоторые сообщения с этого домена подписываются»

    Источник

    Adblock
    detector