Що таке SPF захист і як він працює?

Ми припускаємо, що у вас вже є хостинг з панеллю керування cPanel

Якщо ви стоїте перед вибором перевіреного хостингу, порівняйте наші пакети. Всі описи в цьому посібнику базуються на хостингу Smarthost.eu

Через хвилю спаму, що захлеснула нас, зараз практично всі сервери в Інтернеті використовують механізми авторизації електронних листів. Він полягає в тому, щоб довести, що електронний лист, надісланий з адреси contact@client-domain.net.ua, насправді надісланий з сервера, який обслуговує домен: client-domain.net.ua, а не з будь-якого іншого сервера. Завдяки цьому ми впевнені, що лист не має підробленого відправника.

Звичайно, все це відбувається непомітно для звичайного користувача пошти, на рівні правильно налаштованого поштового сервера.

Механізм, який можна використовувати (і який стає все більш поширеним) – це SPF (Sender Policy Framework). Цей механізм, в найпростіших термінах, полягає в додаванні інтернет-домену в конфігураційний файл (dns-зону) списку IP-адрес, яким дозволено відправляти пошту з певного домену. Коли ми відправляємо пошту (наприклад, з адреси contact@client-domain.net.ua), сервер, який отримує повідомлення, перевіряє, які IP-адреси мають право відправляти пошту для домену @domain-client.eu, і якщо адреса відправника збігається з IP-адресою відправника – приймає пошту, а якщо IP-адреса відрізняється – пошта відхиляється або позначається як підозріла (тобто отримує так звані негативні бали, на підставі яких пошта класифікується як спам).

Сам механізм SPF простий і ефективний. Він реалізований на багатьох серверах (включаючи, звичайно, наші сервери для всіх клієнтів smarthost.net.ua). Цей механізм настільки популярний, що деякі портали, які пропонують безкоштовні поштові скриньки, вирішили відхиляти листи з неправильними записами SFP.

Чому виникає проблема із записом SPF для форвардів?

Іноді трапляється так, що окрім надсилання пошти з сервера A на сервер B, ми хочемо, щоб вона була переадресована з цільового сервера, наприклад, на сервер C. Для цього ми створюємо форвард, тобто послугу “пересилання пошти“. Його можна легко активувати практично в будь-якій панелі хостингу.

Проблем з форвардами не було, поки не з’явився SPF-захист.

Чому?

Відповідь досить проста:

• Відправляючи електронний лист з сервера A (наприклад, з адреси contact@client-domain.net.ua на сервер A, на якому правильно налаштовані параметри SPF для цього домену), він потрапляє на сервер B.
• Сервер B перевіряє, чи сервер A має право надсилати пошту з домену @client-domain.net.ua
• Оскільки SPF на сервері A налаштовано правильно, сервер B отримує підтвердження, що він може приймати пошту.
• Однак сервер B налаштовано на перенаправлення на сервер C, тому сервер B пересилає пошту.
• Сервер C, отримуючи пошту з адреси contact@client-domain.net.ua, перевіряє, чи налаштовано SPF на сервері B для цього домену: @customer-domain.eu. І тут виникає проблема, тому що сервер B не має права надсилати пошту з цього домену. Сервер A має право, але сервер C лише контактує з сервером B, від якого отримує пошту. І тоді сервер C вважає, що сервер B видає себе за сервер A (так званий спуфінг) і … відхиляє пошту.

Звичайно, така поведінка сервера C є технічно правильною (він перевіряє налаштування SPF сервера, з якого отримує пошту), але вона є неправильною з точки зору користувача, який хоче отримати цей лист (адже він сам встановив переадресацію).

SPF рішення для форвардів: SRS

Творці SPF спочатку не передбачали авторизацію SPF для форвардів. Він з’явився лише через два роки після того, як були створені перші начерки специфікації SPF. Механізм, що забезпечує правильне отримання електронних листів, які пересилаються, називається SRS (Sender Rewriting Scheme – схема переписування відправника). Цей механізм наразі доступний для більшості поштових серверів, але не всі поштові сервери налаштовані на його використання.

Як це працює?

Механізм SRS працює відносно просто: сервер B (той, що пересилає) модифікує заголовок відправника (“sender envelope”), додаючи до нього інформацію про те, що адреса початкового відправника, тобто сервер A, був перевірений ним з точки зору SPF і є легальним відправником для домену @client-domain.net.ua.

Таким чином, сервер C замість відправника:, відправленого сервером B, побачить відправника: contact@domain-client.eu з доповненнями . Тобто, це означає:

SRS0 – що це перший сервер, який пересилає лист (у випадку наступних відправлень це буде SRS1, SRS2 і т.д.).

nLCQK – унікальний рядок (кожного разу різний), так званий “nLCQK”. хеш – щоб уникнути спамерів, які видають себе за переслані імейли,

RA – унікальна мітка часу (щоразу різна), тобто мітка часу, яка робить переслану адресу дійсною лише протягом певного періоду часу.

Завдяки використанню механізму SRS, переадресація електронної пошти не порушує авторизацію SPF для доменів. Звичайно, все це відбувається автоматично, у фоновому режимі, без необхідності виконання користувачем якихось спеціальних дій при надсиланні листів.

SRS для SPF увімкнено на всіх серверах smarthost.net.ua – щоб перевірити, як це працює, найпростіший спосіб – зареєструвати безкоштовний хостинг-аккаунт і налаштувати перенаправлення пошти на інший сервер.

smarthost.net.ua

Створіть безкоштовний тестовий акаунт на сервері Smarthost.net.ua і перевірте, як працює правильно налаштований механізм SRS для SPF для поштових переадресацій: створіть тестовий акаунт, пакет premium-ssd-www