Создание spf. Рассмотрим сложный пример SPF записи. Инструкции по настройке SPF-записи у некоторых хостинг-провайдеров

Практически, все пользователи Интернета используют электронные ящики. Такая почтовая технология позволяет мгновенно пересылать и получать письма. Для комфортного пользования этой системой была создана программа Mozilla Thunderbird. Чтобы она полноценно работала, её нужно настроить.

Скачать Thunderbird с официального сайта можно перейдя по вышеуказанной ссылке и нажать «Скачать». Открываем загруженный файл и следуем инструкциям для установки.

После полной установки программы открываем её.

Как настроить Thunderbird по протоколу IMAP

Для начала следует настроить Thunderbird по протоколу IMAP. Запускаем программу и нажимаем создать учётную запись — «Электронная почта».

Открывается окно, и мы указываем имя, например, Иван Иванов. Далее указываем адрес своей действующей электронной почты и пароль. Нажимаем «Продолжить».

Выбираем «Настроить вручную» и вписываем следующие параметры:

Для входящей почты:

Протокол - IMAP;
Имя сервера - imap.yandex.ru;
Порт - 993;
SSL - SSL/TLS;
Аутентификация - Обычный.

Для исходящей почты:

Имя сервера - smtp.yandex.ru;
Порт - 465;
SSL - SSL/TLS;
Аутентификация - Обычный.

Здесь важно указывать часть до знака «@» поскольку, настройка происходит с ящика образца «[email protected]». Если используется «Яндекс. Почта для домена», то указывается полный адрес почты в этом поле.

И нажимаем «Перетестировать»-«Готово».

Синхронизация учётной записи с сервером

Для этого, нажав правой кнопкой, открываем «Параметры».

В разделе «Параметры сервера» в пункте «При удалении сообщения» отмечаем значение «Переместить его в папку» — «Корзина».

В разделе «Копии и папки» вводим значение почтового ящика для всех папок. Нажимаем «Ок» и перезапускаем программу. Это нужно для применения изменений.

Вот мы и узнали, как настроить Thunderbird. Сделать это очень легко. Такая настройка необходима для отправки и получения писем.

Приветствую, Хабр! В этой статье будет инструкция по настройке DKIM/SPF/DMARC записей. А побудило меня написать эту статью полное отсутствие документации на русском языке. Все статьи на эту тему, которые были мной найдены, были крайне не информативны.

1. DKIM

DKIM (DomainKeys Identified Mail) - это метод e-mail аутентификации, основанный на проверке подлинности цифровой подписи. Публичный ключ хранится TXT записи домена.

Зачем же он нужен?

DKIM необходим для того, чтобы почтовые сервисы могли проверять, является ли отправитель достоверным или нет. Т.е. защищает получателя письма от различных мошеннических писем (которые отправлены с подменой адреса отправителя).

Настройка DKIM подписи и DNS записей

Для это нам необходимо создать пару ключей:

Openssl genrsa -out private.pem 1024 //генерируем секретный ключ длинной 1024
openssl rsa -pubout -in private.pem -out public.pem //получаем публичный ключ из секретного
Или можно воспользоваться онлайн-сервисом, чего я крайне не советую.

Примером записей является
mail._domainkey.your.tld TXT "v=DKIM1; k=rsa; t=s; p=<публичный ключ>"

Где
mail - селектор. Можно указать несколько записей с разными селекторами, где в каждой записи будет свой ключ. Применяется тогда, когда задействовано несколько серверов. (на каждый сервер свой ключ)
v - версия DKIM, всегда принимает значение v=DKIM1 . (обязательный аргумент)
k - тип ключа, всегда k=rsa . (по крайней мере, на текущий момент)
p - публичный ключ, кодированный в base64. (обязательный аргумент)
t - Флаги:
t=y - режим тестирования. Такие отличают отличаются от неподписанных и нужны лишь для отслеживания результатов.
t=s - означает, что запись будет использована только для домена, к которому относится запись, не рекомендуется, если используются субдомены.
возможные:
h - предпочитаемый hash-алгоритм, может принимать значения h=sha1 и h=sha256
s - Тип сервиса, использующего DKIM. Принимает значения s=email (электронная почта) и s=* (все сервисы) По-умолчанию "*".
; - разделитель.

Так же стоит прописать ADSP запись, которая позволяет понять, обязательно должно быть письмо подписано или нет.
_adsp._domainkey.example.com. TXT "dkim=all"

Значений может быть три:
all - Все письма должны быть подписаны
discardable - Не принимать письма без подписи
unknown - Неизвестно (что, по сути, аналогично отсутствию записи)

2. SPF

SPF (Sender Policy Framework) - расширение для протокола отправки электронной почты через SMTP. SPF определен в RFC 7208 (Wiki). Если простым языком, то SPF - механизм для проверки подлинности сообщением, путем проверки сервера отправителя. Как по мне, данная технология полезна в связке в другими (DKIM и DMARC)

Настройка SPF записей

Примером обычной SPF записи является your.tld. TXT "v=spf1 a mx ~all"
Здесь:
v=spf1 является версией, всегда spf1
a - разрешает отправляет письма с адреса, который указан в A и\или AAAA записи домена отправителя
mx - разрешает отправлять письма c адреса, который указан в mx записи домена
(для a и mx можно указать и другой домен, например, при значении a:example.com , будет разрешена а запись не домена отправителя, а example.com )
Так же можно добавлять и отдельные ip адреса, используя ip4: и ip6: . Например, ip4:1.1.1.1 ip6: 2001:0DB8:AA10:0001:0000:0000:0000:00FB . Еще есть include: (include:spf.example.com), позволяющий дополнительно подключать spf записи другого домена. Это все можно комбинировать через пробел. Если же нужно просто использовать запись с другого домена, не дополняя её, то лучше всего использовать redirect: (redirect:spf.example.com)
-all - означает то, что будет происходить с письмами, которые не соответствуют политике: "-" - отклонять, "+" - пропускать, "~" - дополнительные проверки, "?" - нейтрально.

3.DMARC

Domain-based Message Authentication, Reporting and Conformance (идентификация сообщений, создание отчётов и определение соответствия по доменному имени) или DMARC - это техническая спецификация, созданная группой организаций, предназначенная для снижения количества спамовых и фишинговых электронных писем, основанная на идентификации почтовых доменов отправителя на основании правил и признаков, заданных на почтовом сервере получателя (Wiki). То есть почтовый сервер сам решает, хорошее сообщение или плохое (допустим, исходя из политик выше) и действует согласно DMARC записи.

Настройка DMARC записей

Типичная запись выглядит так: _dmarc.your.tld TXT "v=DMARC1; p=none; rua=mailto:[email protected]"
В ней не предпринимаются никакие действия, кроме подготовки и отправки отчета.

Теперь подробнее о тегах:
v - версия, принимает значение v=DMARC1 (обязательный параметр)
p - правило для домена. (Обязательный параметр) Может принимать значения none , quarantine и reject , где
p=none не делает ничего, кроме подготовки отчетов
p=quarantine добавляет письмо в СПАМ
p=reject отклоняет письмо
Тэг sp отвечает за субдомены и принимает такие же значения, как и p
aspf и adkim позволяют проверять соответствиям записям и могут принимать значения r и s , где r - relaxed более мягкая проверка, чем s - strict.
pct отвечает за кол-во писем, подлежащих фильтрации, указывается в процентах, например, pct=20 будет фильтровать 20% писем.
rua - позволяет отправлять ежедневные отчеты на email, пример: rua=mailto:[email protected] , так же можно указать несколько email через пробел (rua=mailto:[email protected] mailto:[email protected])

Пример отчета

1.1.1.1 1 none your.tld your.tld pass your.tld pass 1.1.1.1 1 none forwarded your.tld your.tld pass your.tld pass

ruf - отчеты писем, не прошедшие проверку DMARC. В остальном все так же, как и выше.

Эпилог

Мы научились настраивать DKIM/SPF/DMARC и противостоять спуфингу. К сожалению, это не гарантирует безопасность в случае взлома сервера или же отправки писем на серверы, не поддерживающие данные технологии. Благо, что популярные сервисы все же их поддерживают (а некоторые и являются инициаторами данных политик).

Эта статья - лишь инструкция по самостоятельной настройке записей, своего рода документация. Готовых примеров нет намеренно, ведь каждый сервер уникален и требует своей собственной конфигурации.

Буду рад конструктивной критике и правкам.

SPF-запись помогает снизить риск того, что отправленное с вашего домена письмо попадет в спам. Запись содержит список адресов серверов, отвечающих за отправку почты с ящиков на вашем домене.

Чтобы настроить SPF-запись, нужно создать специальную TXT-запись на тех серверах, на которые делегирован ваш домен.

Если вы делегировали домен на серверы Яндекса, SPF-запись будет настроена автоматически. Вы можете просмотреть и отредактировать ее параметры в DNS-редакторе Почты для домена.

Войдите в вашу панель управления на сайте компании, предоставляющей вам услуги DNS-хостинга.

1. Удалите существующие TXT-записи.

Создайте TXT-запись со значением «v=spf1 redirect=_spf.yandex.net» .

Если вы хотите отправлять письма не только с серверов Яндекса, укажите дополнительные серверы в таком формате: «v=spf1 ip4:IP-1 ip4:IP-2 ip4:IP-3 include:_spf.yandex.net ~all» . Где IP-1, IP-2, IP-3 - IP-адреса дополнительных серверов.

Укажите «@» в поле для заполнения имени или хоста, если такое поле присутствует.

В некоторых панелях управления вместо «@» требуется указать имя вашего домена (например, «yourdomain.com.» ). Если вам не удается указать ни «@» , ни имя домена, оставьте это поле пустым.

Подождите, пока изменения в DNS вступят в силу. Этот процесс может длиться до 72 часов.

Инструкции по настройке SPF-записи у некоторых хостинг-провайдеров

reg.ru

RU-CENTER (nic.ru)

masterhost.ru

Домен на sweb.ru

Домен на majordomo.ru

Панель управления https://control.majordomo.ru/

Панель управления https://control2.majordomo.ru/

SPF-запись — проверка отправителя.

Как всем известно, протокол отправки электронной почты SMTP, подразумевает, что в качестве отправителя можно указать любой почтовый ящик. Таким образом можно послать письмо, подставив в поле «From» вымышленное значение. Процесс такого почтового обмана называется Спуфинг (e-mail spoofing). Чтобы бороться с этим явлением, был разработан и введен в действие стандарт SPF – Sender Policy Framework (структура политики отправителя).

SPF позволяет владельцу домена указать в TXT-записи домена специальным образом сформированную строку, указывающую список серверов, имеющих право отправлять email-сообщения с обратными адресами в этом домене.

Рассмотрим простой пример SPF-записи:

example.org. IN TXT «v=spf1 +a +mx -all»

Теперь более детально о допустимых опциях. Рассмотрим варианты поведения получателя, в зависимости от используемых опций:

• «v=spf1» — используемая версия SPF.
• «+» — принимать корреспонденцию (Pass). Этот параметр установлен по умолчанию. Тоесть, если никаких параметров не установлено, то это «Pass»;
• «-» — Отклонить (Fail);
• «~» — «мягкое» отклонение (SoftFail). Письмо будет принято, но будет помечено как СПАМ;
• «?» — нейтральное отношение;
• «mx» — включает в себя все адреса серверов, указанные в MX-записях домена;
• «ip4» — опция позволяет указать конкретный IP-адрес или сеть адресов;
• «a» — указываем поведение в случае получения письма от конкретного домена;
• «include» — включает в себя хосты, разрешенные SPF-записью указанного домена;
• «all» — все остальные сервера, не перечисленные в SPF-записи.

Итак, попробуем разобраться, что же значит SPF-запись, указанная выше.

• «+a» — разрешает прием писем от узла, IP-адрес которого совпадает с IP-адресом в A-записи для example.org;
• «+mx» — разрешает прием писем, если отправляющий хост указан в одной из MX-записей для example.org;
• «-all» — все сообщения, не прошедшие верификацию с использованием перечисленных механизмов, следует отвергать.

Для лучшего понимания того, как работает SPF, рассмотрим еще один, более сложный пример:

example.org. IN TXT «v=spf1 mx ip4:78.110.50.123 +a:mail.ht-systems.ru include:gmail.com ~all»

Теперь более подробно о используемых опциях...

• «mx» — принимать письма от серверов, указанных в MX-записях;
• «ip4:78.110.50.123» — принимать письма, отправленные с IP-адреса 78.110.50.123;
• «+a:mail.ht-systems.ru» — то же, что и a:mail.ht-systems.ru. Принимать от mail.ht-systems.ru;
• «include:gmail.com» — принимать письма с серверов, разрешенных SPF-записями gmail.com;
• «~all» — принимать письма со всех остальных серверов, но помечать их как СПАМ

А теперь рассмотрим еще более «экзотичный» пример. В описании возможных опций указывалось, что возможно указание сетей ip-адресов. Стоит отметить, что это применимо и к записям «a» и «mx». Рассмотрим следующий пример:

example.org. IN TXT «v=spf1 mx/24 a:hts.ru/24 -all»

«mx/24» — в список разрешенных отправителей входят все IP-адреса, находящихся в тех же сетях класса С, что и MX-ы домена;
«a:hts.ru/24» — в список разрешенных отправителей входят все IP-адреса, находящихся в тех же сетях класса С, что и А-записи домена hts.ru;
«-all» — всех остальных отправителей — блокируем.

Иногда можно встретить следующие записи (очень редко):

«ptr» — проверяет PTR-запись IP-адреса отправителя. Если она сходится с указаным доменом, то механизм проверки выдает положительный результат. Тоесть, разрешено отправлять всем IP-адресам, PTR-запись которых направлены на указанный домен. Серьезным недостатком даного метода есть то, что генерируется очень большое количество DNS-запросов;
«exists» — выполняется проверка, резолвится ли домен на какой-либо IP-адрес. Тоесть, по существу, выполняется проверка работоспособности доменного имени. Кстати, не имеет значения, на какой IP-адрес резолвится домен, даже если это «серые» сети (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) или loopback (127.0.0.1).

Пример использования:

example.org. IN TXT «v=spf1 ptr:example.org exist:example.org -all»

Также не будет излишним ознакомиться со следующими опциями: redirect и exp.

«redirect» — указывает получателю, что нужно проверять SPF-запись указаного домена, вместо текущего домена. Пример:

example.org. IN TXT «v=spf1 redirect:example.com ~all»

В даном примере будет проводится проверка SPF-записи домена example.com, а не example.org.

«exp» — использование даной опции позволяет задать сообщение о ошибке, которое будет передано отправителю при возникновении таковой. Размещается в конце SPF-записи, даже после опции all. Рассмотрим более детально механизм работы опции exp.

Допустим, что у домена example.org следущая SPF-запись:

example.org. IN TXT «v=spf1 +a +mx -all exp=spf.example.org»

Теперь содаем TXT-запись для домена spf.example.org:

spf.example.org. IN TXT «You host not allowed e-mail to me»

В результате этих шаманских действий SPF-запись будет контролировать, чтобы почта доставлялась только от валидных хостов, а всем остальным будет отправляться сообщение о ошибке, прописанное в TXT-записи домена spf.example.org.

Так же стоит обратить внимание, что любое решение о блокировке или маркировке письма как спам, решает программа которая обрабатывает получение почты на сервере, иногда даже почтовые программы это тоже делают.

Проблема почтового спама сейчас стоит достаточно остро. Спаммеры часто подделывают электронные письма, указывая в качестве отправителя e-mail произвольного пользователя. SPF (Sender Policy Framework) — простой стандарт, помогающий отличить настоящие письма от подделки. SPF работает только при условии, что в DNS-записи о домене отправителя присутствует специальное поле. В настоящей статье описывается как с помощью этой технологии защитить письма с собственного домена от подделки.

Стандарт отправки электронной почты SMTP позволяет указывать произвольный адрес в качестве адреса отправителя. Такая незащищенность приводит к массовым злоупотреблениям. Для защиты от неавторизованной отправки писем в 2003 году был предложен стандарт SPF, а в апреле 2006 года SPF принят в качестве стандарта RFC-4408 . Сейчас SPF поддерживается подавляющим большинством интернет-провайдеров и крупных интернет-компаний.

Идея стандарта состоит в следующем: в DNS-запись домена добавляется специальное поле типа TXT, содержащее информацию о серверах, которым разрешено или запрещено отправлять почту от имени данного домена. Кроме того, запись может содержать описание политики поведения для всех посторонних серверов. Рассмотрим пример SPF-записи для домена сайт

@ IN TXT "v=spf1 +mx +ip4:77.91.227.90/26 +a:mail.2x4.ru +a:sendmail.2x4.ru +ip4:92.241.168.112 include:gmail.com include:yandex.ru ~all"

Запись начинается с v=spf1, а затем следует перечень серверов или групп серверов с указанием политики поведения (в форме модификатора). Возможны 4 модификатора:

• + принять (модификатор по умолчанию)
• - отклонить
• ~ мягкое отклонение, пометить как возможный спам
• ? отнестить нейтрально (поведение по умолчанию, если сервер не соответствует ни одному выражению).

После модификатора указывается идентификатор механизма верификации. Перечислим несколько наиболее часто используемых механизмов:

• mx - относится к почтовым серверам данного домена
• ip4 - задает ip-адрес или подсеть ip-адресов
• a - задает доменное имя сервера
• include - разрешает отправку писем серверам, разрешенным SPF-записью другого домена
• all - любой сервер; указывают обычно последним, задавая таким образом политику по умолчанию.

Подробное описание синтаксиса записей доступно на английском языке на официальном сайте SPF .

При получении письма, согласно стандарту, принимающий письмо сервер должен запросить текстовые DNS-записи домена отправителя. Если существует текстовая запись, начинающаяся с v=spf1, то принимающий сервер последовательно проверяет сервер, от которого получено письмо на соответствие с выражениями в строке. Если произошло совпадение, то процесс сравнения останавливается и дальнейшее поведение определяется модификатором совпавшего выражения. Например, в приведенном выше примере, отправка разрешена для почтового сервера домена, серверов c ip-адресом или доменным именем среди заданных, а также для всех серверов, разрешенных SPF-записью доменов gmail.com и yandex.ru. Политика по умолчанию - мягкое отклонение.

Определив SPF-запись вы снижаете вероятность ошибочного отнесения ваших писем к числу спама. Чем более жесткая политика по умолчанию, тем больше доверие к письмам с данного домена. Если указать в конце записи "-all", то все письма с неавторизованных серверов должны отклоняться принимающим сервером. Задавая столь жесткую политику, необходимо быть уверенным, что никто из пользователей не отправляет почту через сервер локального провайдера, отсутствующий в списке. После настройки SPF обязательно протестируйте отправку писем разными способами разным адресатам. Не забудьте также, что сайт обычно тоже отправляет письма.

. Перепечатка в интернет-изданиях разрешается только с указанием автора и прямой ссылки на оригинальную статью. Перепечатка в печатных изданиях допускается только с разрешения редакции.