admin / 04.06.2018
SPF (Sender Policy Framework) — технология, позволяющая владельцу домена защитить почтовые адреса домена от их подделки.
SPF реализована очень просто. При получении письма, сервер получателя проверяет наличие TXT-записи у домена отправителя. Пример такой записи у домена rambler.ru:
Если IP-адрес сервера отправителя содержится в этой записи, письмо принимается. В противном случае, письмо отбрасывается полностью, либо доставляется, но помечается подозрительным (в зависимости от указаний в SPF-записи).
Содержание
Следует указать такую TXT-запись в разделе DNS:
Она указывает, что почта может отправляться только с SMTP-серверов компании Spaceweb.
SPF запись для почтового сервера позволяет снизить риск того, что письмо попадет в спам. Когда почтовый сервис получает очередное письмо, он проверяет кто является адресатом. Иногда возникает такая ситуация, когда почтовый сервис считает, что отправку письма совершило третье лицо. Существует несколько способов устранить проблему, но настройка SPF записи считается самым простым вариантом.
Основные параметры SPF записи
Прежде чем приступить к настройке, необходимо ознакомиться с используемыми блоками:
В настоящий момент существует только одна версия, которая обозначается как «v = spf1». Что касается модификаторов, то их всего два:
Основных механизмов всего четыре:
Чтобы использовать модификаторы и механизмы, достаточно понять принцип работы. Например, игнорировать почтовые сообщения с домена можно при помощи команды «v = spf1 -all».
В чем заключается важность записи?
Любая профессиональная анти-спам система способна анализировать входящие письма следующими способами:
Обойти анти-спам систему достаточно сложно, но такая возможность имеется. Для этого мошеннику потребуется:
Правильно настроенная запись спасет получателя от рассылки спама, а также мошеннических действий. Чтобы корректно настроить SPF-запись, следует ознакомиться с подробной инструкцией.
Инструкция по настройке
Пользователям следует понимать, что для каждого почтового сервера настройка SPF-записи может немного отличаться. Именно поэтому необходимо разобраться какие группы серверов могут быть:
Чтобы настроить SPF-запись для Яндекса (на всех популярных сервисах настройка осуществляется по одному и тому же принципу), необходимо последовательно выполнить следующую последовательность действий:
Проверка SPF записи
В том случае, если настройка от спама осуществлялась для собственного почтового сервера, необходимо произвести проверку правильности настроек.
Проверить SPF запись можно при помощи специального сервиса, расположенного по адресу http://mxtoolbox.com/spf.aspx.
Чтобы приступить к проверке в поле «Domain Name» необходимо указать имя своего домена, для которого настраивалася SPF запись. В поле «IP (Optional)» можно ничего не указывать. После заполнения поя необходимо нажать на кнопку «SPF Record Lookup».
Если настройка выполнена неправильно или совсем не заполнена, появится сообщение «Записей не найдено». При корректном заполнении записи, появится две таблицы. В первой таблице будут отображены все настройки, прописанные в SPF-записи, то есть значения таблицы у каждого почтового сервера будут отличаться.
Вторая таблица содержит следующие поля:
На втором этапе проверки рекомендуется отправить письмо с доверенного севера, то есть с того, для которого осуществлялась настройка, на почтовый ящик, зарегистрированный на google.com. Когда письмо придет на почтовый ящик test@gmail.com (вместо test указать свой ящик), его необходимо открыть. Затем, нажать на стрелку, позволяющую развернуть меню, чтобы выбрать пункт «Показать оригинал». В открывшемся окне следует отыскать запись «Received-SPF». Если у этого атрибута стоит значение «pass», значит, настройка произведена корректно.
Советы по работе с SPF записью
Настроить SPF запись, может даже неопытный пользователь, достаточно всего лишь следовать инструкции. Чтобы не возникло сложностей, необходимо придерживаться следующих советов:
Таким образом, можно будет повысить репутацию всех исходящих писем.
Благодаря вышеописанным советам, можно снизить вероятность попадания писем в спам. Однажды настроив SPF запись для почтового сервера, можно забыть о проблеме с получением писем. Рекомендуется все делать по инструкции и тогда с настройками справится даже неопытный пользователь.
DMARC — TXT-запись в зоне DNS домена, определяющая политику обработки исходящих писем. Она необходима для защиты репутации доменного имени: адрес отправителя часто подделывается и используется для спама и фишинга. Например, клиенты вашего интернет-магазина получат письма с предложением купить товары по акции, а ссылки на них будут фальшивыми: при переходе откроется мошеннический сайт.
Почтовые сервисы защищают пользователей от таких писем, проверяя записи SPF и DKIM доменов-отправителей. В DMARC указывается, как действовать серверу, когда сообщение не проходит проверку.
Если ваши письма попадают в спам или не доходят до получателя, укажите в зоне DNS домена (раздел «Управление сайтами» → «Настройка DNS» в Панель управления) три записи: SPF, DKIM и DMARC.
SPF (Sender Policy Framework) — TXT-запись с перечнем серверов, которым разрешено отправлять почту с обратным адресом в домене.
SPF состоит из трех частей:
Версия протокола — spf1.
Префиксы:
Основные механизмы:
Модификатор:
Принимать сообщения:
C других серверов (all) — перемещать в папку спам.
Если домен делегирован на наши NS-серверы, SPF настроена по умолчанию.
DKIM (DomainKeys Identified Mail) — технология подтверждения почтового домена, с помощью добавления зашифрованной подписи в заголовки исходящих писем. Ключ для расшифровки указывается в TXT-записи доменного имени.
Запись имеет вид: где:
Включите DKIM-подпись в Панели управления, блок «Электронная почта» раздела «Управление сайтами».
Если почта обслуживается внешним сервисом:
После настройки SPF и DKIM укажите политику их обработки: добавьте запись DMARC.
Она выглядит так:
Параметры:
Тег | Описание | Значение |
---|---|---|
v | Версия протокола | DMARC1 |
p | Правила для домена | none — бездействовать; quarantine — поместить в спам; reject — отклонить. |
aspf | Режим проверки соответствия SPF-записей | r (relaxed) — разрешить частичные совпадения; s (strict) — разрешить только полные совпадения. |
pct | Сообщения, подлежащие фильтрации (в %) | Процент сообщений, для которых применяется политика. По умолчанию 100%. |
sp | Правила для поддоменов | none — бездействовать; quarantine — поместить в спам; reject — отклонить. |
Обязательно укажите атрибуты, выделенные цветом.
Все сообщения с ящика в домене или поддомене, не прошедшие проверку записи SPF, помещать в спам.
Отклонять 50% сообщений, не прошедших проверку.
Легитимность письма (от лат. legitimus — законный, правомерный) — степень оценки письма со стороны почтового сервера получателя. Почтовый сервер получателя может идентифицировать письмо как легитимное или нелегитимное (подозрительное). Легитимные письма без проблем попадают в почтовый ящик получателя. Нелегитимные письма, в свою очередь, не доходят до получателя вообще или же попадают в, так называемую, Спам (Junk) папку получателя.
Даже не смотря на то, что Ваше письмо субъективно выглядит легитимно, у почтового сервера получателя, в соответствии с его политикой фильтрации почты, есть на этот счет свое мнение.
Что такое DKIM
DKIM (сокращенно от DomainKeys Identified Mail) — один из методов E-mail аутентификации. Данную технологию применяют для антифишинга и антиспама с целью повышения качества классификации и идентификации легитимной электронной почты.
Традиционно для идентификации отправителя сообщения используется его IP адрес. В случае использования DKIM, добавляется цифровая подпись к письму, связанная с именем домена отправителя. После отправки такого письма, цифровая подпись проверяется на стороне получателя, после чего, для определения репутации отправителя, применяются «белые списки» и «чёрные списки».
Технология DomainKeys для аутентификации отправителей использует доменные имена. DomainKeys использует существующую систему доменных имен (DNS) для передачи открытых ключей шифрования.
Использование DKIM для почтового домена
Для того, чтобы включить использование цифровой подписи DKIM, зайдите в панель ISP Manager, в разделе "E-mail" — "Почтовые домены", выберите необходимый домен, кликнув дважды по нему. В открывшемся окне, поставьте галочку возле "Включить DKIM".
Вот и все! Теперь отправляемые Вами письма будут подписаны с помощью технологии DKIM.
Что такое SPF?
Sender Policy Framework (структура политики отправителя) — расширение для протокола отправки электронной почты через SMTP, которое позволяет серверу получателю проверить, не подделан ли домен отправителя.
SPF позволяет владельцу домена указать в TXT-записи, соответствующей имени домена, специальным образом сформированную строку, указывающую список серверов, имеющих право отправлять email-сообщения с обратными адресами в этом домене.
SPF включено по умолчанию для всех почтовых доменов нашего хостинга. Пример того, как выглядит SPF запись на нашем хостинге:
Подытожив вышесказанное, хочется напомнить существующее на нашем хостинге правило: частота отправки писем не должна превышать границу 10 писем в минуту.
Как самостоятельно сгенерировать цифровую подпись DKIM?
Существует множество сервисов для генерации DKIM подписи. Рассмотрим, один из таких сервисов http://www.port25.com/support/domainkeysdkim-wizard/.
Наша задача состоит в следующем:
— Получение пары приватного и публичного ключа;
— Занесение в DNS информацию домена необходимых записей о наличии поддержки DKIM.
Введите доменное имя, а также имя "селектора" для своего почтового сервера. "Селектор" может иметь любое название, к примеру, mail или key1. Если у Вас несколько серверов для отправки почты, в таком случае, для Вашего домена может существовать несколько "селекторов".
Первую задачу мы успешно выполнили: получили публичный и приватный ключ:
Далее, используя подсказки сервиса, необходимо внести TXT записи в DNS Вашего доменного имени. На нашем примере, необходимо добавить TXT записи: mail._domainkey.example-site.com и _domainkey.example.com.
Обе записи будут иметь следующий вид:
_domainkey.example-site.com. TXT "t=s; o=~;"
mail._domainkey.example.com. TXT "k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ"
В заключительном этапе необходимо сохранить приватный ключ в файл, который будет доступен для чтения серверу отправки почты. Для настройка поддержки DKIM на Вашем почтовом сервере, воспользуйтесь руководством пользователя установленного ПО.
Теперь, чтобы проверить, правильно ли всё настроено, отправьте письмо на почту Gmail. В хедерах присланного письма должны быть следующие строки:
Authentication-Results: mx.google.com; spf=pass (google.com: domain of example@example-site.com designates 123.123.123.123 as permitted sender) smtp.mail=example@example-site.com; dkim=pass header.i=@example-site.com
Собственно и всё. Помимо предложенных методов, не забывайте и про здравый смысл. При таком дуете, у Вас будет больше шансов пройти проверку на легитимность 😉
.
Технология DomainKeys Identified Mail (DKIM) позволяет организации поручиться за сообщение, которое пересылается по электронной почте. С технической точки зрения – это метод подтверждения домена отправителя через криптографическую подпись. Подробнее в Wikipedia.
Этот вопрос зависит от серверов, проводящих валидацию сообщения. Когда сообщение подписывается с помощью DKIM, получатель использует имеющиеся сведения о подписавшей сообщение организации, чтобы определить, что делать с сообщением.
Сообщения от подписанта с хорошей репутацией будут проходить менее тщательную проверку фильтрами получателя.
По запросу мы сгенерируем и настроим на своей стороне подписи DKIM для домена, принадлежащего клиенту.
У подписей будут такие аттрибуты:
После генерации подписи DKIM Signature клиент получит текстовый файл с публичным ключом (Public Key Record).
Клиент должен установить DNS записи с такими двумя (2) TXT записями: Запись о политике и запись о публичном ключе
Примеры записей:
Домен, использующий DomainKeys, должен иметь одну запись о политике.
Это DNS TXT- запись с именем "_domainkey" и потом доменным именем –например "_domainkey.вашдомен."
В TXT-записи должна быть указана политика, которая может быть или "o=-" или "o=~".
o=-
Означает "все сообщения с этого домена подписываются"
o=~
Означает «некоторые сообщения с этого домена подписываются»
FILED UNDER : IT