SPF je zkratka pro Sender Policy Framework. Podle Wikipedie je SPF rámec, který pomáhá chránit padělané e-maily z dané domény. Poprvé byl představen na začátku roku 2000, ale nebyl oficiálně standardizován až do roku 2014, kdy byl zveřejněn RFC 7208. Jednoduše řečeno, SPF poskytuje způsob, jak přijímat e-mailové servery, aby ověřily, že e-maily na ně zaslané jsou legitimní, což snižuje množství e-mailů. SPAM.
SPF je implementováno přidáním několika TXT Záznamy serveru DNS (Domain Name Server) pro zasílání e-mailů pro daný název domény.
Podívejme se, jak redhat.com používá SPF s dig:
$ dig +short redhat.com TXT | grep spf
"v=spf1 ip4:103.23.64.2 ip4:103.23.65.2 ip4:103.23.66.26 ip4:103.23.67.26 ip4:107.21.15.141 ip4:108.177.8.0/21 ip4:13.111.0.0/16 ip4:136.147.128.0/20 ip4:136.147.176.0/20 ip4:148.105.8.0/21 ip4:148.139.0.2 ip4:148.139.1.2 ip4:148.139.2.2 ip4:148.139.3.2 ip" "4:149.72.0.0/16 ip4:149.96.1.26 ip4:149.96.13.2 ip4:149.96.132.2 ip4:149.96.133.2 include:spf1.redhat.com -all" Podívejte se na TXT záznam vrácen. Musíte porozumět čtyřem klíčovým slovům:
- v=spf1
- ip4 – Poskytuje adresy IPv4 všech emailové servery, ze kterých může daná doména oprávněně odesílat emaily. Formát může být jeden hostitel IPv4 nebo síť IPv4 s maskou podsítě CIDR.
- zahrnout – Poskytuje dodatečné schválení subdomén k odesílání e-mailů jménem nadřazené domény.
- -vše - Určuje, že ne jiná adresa IPv4 by měla být považována za platného odesílatele e-mailu.
Existují tři možnosti pro vše :
- -vše – Také známý jako „dash all“ znamená e-maily odeslané adresami IPv4, které nejsou konkrétně uvedeny v TXT záznam by měl být odmítnut.
- ~vše – Také známý jako „tilde all“ znamená e-maily odeslané adresami IPv4, které nejsou konkrétně uvedeny v TXT záznam by měl být pravděpodobně označen jako SPAM.
- +vše - Také známý jako „plus všechny“ znamená, že e-maily odeslané jakoukoli a všemi IPv4 adresami z dané domény budou autorizovány. To se důrazně nedoporučuje.
Když přemýšlíte o bezpečnosti, méně přístupu znamená více. Nakonfigurujte záznamy domény SPF s legitimními, autorizovanými e-mailovými servery pro odesílání e-mailů. To pomáhá chránit doménu před pronásledováním.
[ Také by se vám mohlo líbit: Příručka správce systému konfigurací e-mailového serveru ]
Jak to funguje
Zaměstnanec Red Hat odešle e-mail prostřednictvím poštovního serveru Red Hat příjemci Google Gmail. Vrstva serveru ochrany e-mailu Google provádí dotaz SPF prostřednictvím TXT DNS vyhledávání záznamů proti redhat.com DNS. DNS redhat.com odpoví následujícím TXT záznam:
"v=spf1 ip4:103.23.64.2 ip4:103.23.65.2 ip4:103.23.66.26 ip4:103.23.67.26 ip4:107.21.15.141 ip4:108.177.8.0/21 ip4:13.111.0.0/16 ip4:136.147.128.0/20 ip4:136.147.176.0/20 ip4:148.105.8.0/21 ip4:148.139.0.2 ip4:148.139.1.2 ip4:148.139.2.2 ip4:148.139.3.2 ip" "4:149.72.0.0/16 ip4:149.96.1.26 ip4:149.96.13.2 ip4:149.96.132.2 ip4:149.96.133.2 include:spf1.redhat.com -all" Dotaz Google SPF analyzuje odpověď, podívá se na adresu e-mailového serveru pro odesílání e-mailových obálek a pokusí se ji porovnat s adresami IPv4 v poskytnutém seznamu. Pokud se shoduje, Google ví, že se jedná o legitimní e-mail odeslaný ze schváleného e-mailového serveru Red Hat. Pokud se informace neshodují, předpokládá se, že e-mailová obálka byla zfalšována/změněna a zablokuje nebo označí ji jako SPAM, aby ochránila příjemce.
Jak implementovat
Chcete-li vytvořit záznam SPF pro název domény, musíte na autoritativním jmenném serveru vaší domény zadat následující záznam DNS.
example.com. IN TXT “v=spf1 ipv:192.168.100.200 -all” Tento záznam nyní oznamuje, že legitimní e-maily budou odesílány pouze prostřednictvím adresy IPv4 192.168.100.200 z domény example.com. Všechny ostatní by měly být odmítnuty.
[ Chcete si vyzkoušet své schopnosti správce systému? Proveďte hodnocení dovedností ještě dnes. ]
Sbalit
SPF je jednou ze tří běžných možností konfigurace založené na DNS, které mají správci e-mailů k dispozici. Zůstaňte s námi, protože v budoucích příspěvcích na blogu zavádím možnosti konfigurace ověřování zpráv na základě domény (DMARC) a DomainKeys Identified Mail (DKIM).