Що таке запис SPF? Як працює структура політики відправника, щоб зупинити фішингові електронні листи?

Подробиці та пояснення того, як Запис SPF роботи описані нижче SPF Record builder.

SPF Record Builder

Ось форма, за допомогою якої ви можете створити власний запис TXT і додати його до свого домену чи субдомену, з якого ви надсилаєте електронні листи.

Було велике полегшення, коли ми перенесли електронну адресу нашої компанії на Google з керованої ІТ-служби, яку ми використовували. Перш ніж працювати в Google, нам доводилося надсилати запити на будь-які зміни, доповнення до списків тощо. Тепер ми можемо впоратися з усім цим через простий інтерфейс Google.

Однією проблемою, яку ми помітили, коли почали надсилати, було те, що деякі електронні листи з нашої системи не потрапляли до папки "Вхідні"... навіть до нашої папки "Вхідні". Я трохи прочитав поради Google для Відправники масової пошти і швидко взялися до роботи. У нас є електронна пошта, що надходить із 2 програм, які ми розміщуємо, іншої програми, яку розміщує хтось інший, крім постачальника послуг електронної пошти. Наша проблема полягала в тому, що нам не вистачало запису SPF, щоб повідомити провайдерів, що електронні листи, надіслані з Google, належать нам.

Що таке структура політики відправника?

Sender Policy Framework — це протокол автентифікації електронної пошти та частина кібербезпеки електронної пошти, яка використовується провайдерами для блокування доставки фішингових електронних листів своїм користувачам. Ан SPF запис — це запис домену зі списком усіх ваших доменів, IP-адрес тощо, з яких ви надсилаєте електронні листи. Це дозволяє будь-якому Інтернет-провайдеру шукати ваш запис і підтверджувати, що електронна пошта надійшла з відповідного джерела.

Фішинг — це тип онлайн-шахрайства, коли злочинці використовують методи соціальної інженерії, щоб обманом змусити людей надати конфіденційну інформацію, як-от паролі, номери кредитних карток або іншу особисту інформацію. Зловмисники зазвичай використовують електронну пошту, щоб спонукати людей надати особисту інформацію, видаючи себе за законну компанію... як вашу чи мою.

SPF — чудова ідея, і я не знаю, чому це не основний метод для масових розсилок і систем блокування спаму. Можна подумати, що кожен реєстратор домену поставив би за мету вбудувати майстер безпосередньо в себе, щоб будь-хто міг перелічувати джерела електронної пошти, яку вони надсилатимуть.

Як працює запис SPF?

An ISP перевіряє запис SPF, виконуючи DNS-запит для отримання запису SPF, пов’язаного з доменом адреси електронної пошти відправника. Потім ISP порівнює запис SPF, список авторизованих IP-адрес або імен хостів, яким дозволено надсилати електронні листи від імені домену, з IP-адресою сервера, який надіслав електронний лист. Якщо IP-адреса сервера не включена в запис SPF, провайдер може позначити електронний лист як потенційно шахрайський або повністю відхилити його.

Порядок процесу такий:

1. Інтернет-провайдер виконує DNS-запит, щоб отримати запис SPF, пов’язаний із доменом електронної адреси відправника.
2. Інтернет-провайдер порівнює запис SPF з IP-адресою сервера електронної пошти. Це можна позначити в CIDR формат для включення діапазону IP-адрес.
3. Інтернет-провайдер оцінює IP-адресу та переконується, що вона не на a DNSBL сервер як відомий спамер.
4. Провайдер також оцінює DMARC та БІМІ записів.
5. Потім провайдер дозволяє доставку електронної пошти, відхиляє її або поміщає в папку небажаної пошти залежно від внутрішніх правил доставки.

Як створити запис SPF

Запис SPF – це запис TXT, який потрібно додати до домену, з якого ви надсилаєте електронні листи. Довжина записів SPF не може перевищувати 255 символів і не може містити більше десяти операторів включення.

• Починати з v=spf1 і слідуйте за ним із IP-адресами, авторизованими для надсилання електронної пошти. Наприклад, v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 .
• Якщо ви використовуєте третю сторону для надсилання електронної пошти від імені відповідного домену, ви повинні додати включати до вашого запису SPF (наприклад, include:domain.com), щоб позначити цю третю сторону як законного відправника 
• Після того як ви додали всі авторизовані IP-адреси та включили заяви, закінчіть свій запис ~all or -all тег. Тег ~all вказує на a м'який SPF невдача тоді як тег -all вказує на a несправність жорсткого SPF. В очах основних постачальників поштових скриньок ~усі та -всі призведуть до збою SPF.

Після створення запису SPF ви захочете додати запис до свого реєстратора домену.

Приклади записів SPF

v=spf1 a mx ip4:192.0.2.0/24 -all

У цьому записі SPF зазначено, що будь-який сервер із записами A або MX домену або будь-яка IP-адреса в діапазоні 192.0.2.0/24 має право надсилати електронні листи від імені домену. The -всі у кінці означає, що будь-які інші джерела не повинні пройти перевірку SPF:

v=spf1 a mx include:_spf.google.com -all

У цьому записі SPF зазначено, що будь-який сервер із записами A або MX домену або будь-який сервер, включений до запису SPF для домену "_spf.google.com", має право надсилати електронні листи від імені домену. The -всі у кінці означає, що будь-які інші джерела не повинні пройти перевірку SPF.

v=spf1 ip4:192.168.0.0/24 ip4:192.168.1.100 include:otherdomain.com -all

Цей запис SPF визначає, що всі електронні листи, надіслані з цього домену, мають надходити з IP-адрес у діапазоні мережі 192.168.0.0/24, єдиної IP-адреси 192.168.1.100 або будь-яких IP-адрес, дозволених записом SPF otherdomain.com домен. The -all у кінці запису вказує, що всі інші IP-адреси слід розглядати як невдалі перевірки SPF.