Сталкивались ли вы с письмами от мошенников, которые выглядят как сообщения от настоящей компании? Это называется spoofing — подделка отправителя. Чтобы снизить риск таких атак на ваш домен, используют SPF-запись.
В этой статье разберем, что такое SPF, как он работает, зачем он нужен для рассылок и как настроить SPF-запись для домена.
Что такое SPF
SPF, или Sender Policy Framework, — это метод email-аутентификации, который помогает предотвращать подделку отправителя. При spoofing злоумышленник подменяет адрес отправителя и пытается выдать письмо за сообщение от вашей компании.
С помощью SPF владелец домена указывает, какие серверы и IP-адреса имеют право отправлять письма от имени этого домена. Эта информация публикуется в DNS-записях домена.
Когда письмо приходит получателю, принимающий сервер проверяет SPF-запись и сравнивает ее с сервером, который отправил письмо. Если сервер разрешен, письмо проходит проверку. Если нет, его могут отправить в спам или отклонить.
Важно понимать: SPF проверяет сервер отправки, но не всегда подтверждает личность отправителя полностью. Для более надежной защиты SPF лучше использовать вместе с DKIM, DMARC и BIMI.
Зачем использовать SPF-запись для писем
SPF-записи важны для email-безопасности, потому что помогают убедиться: ваш домен отправляет письма только с разрешенных серверов.
Защита от подделки отправителя
SPF помогает бороться со spoofing и фишингом. Если письмо отправлено с IP-адреса, который не связан с вашим доменом и не указан в SPF, принимающий сервер может пометить его как подозрительное.
Улучшение доставляемости
Когда SPF настроен, злоумышленникам сложнее использовать ваш домен для спама. Это помогает защитить домен от попадания в глобальные черные списки и DNSBL, а значит, обычно улучшает доставляемость настоящих писем.
Улучшение репутации домена
SPF показывает почтовым сервисам и системам безопасности, что вы заботитесь об аутентификации. Это снижает вероятность, что легитимные письма будут ошибочно отмечены как спам, и укрепляет репутацию домена у почтовых провайдеров и антиспам-систем.
Как SPF работает на практике
Мошенники часто пытаются выдать себя за другую компанию, изменяя адрес в поле From. SPF помогает остановить такие письма: если сервер отправки не разрешен в SPF-записи, письмо не пройдет проверку у получателя.
SPF-запись содержит основные данные для проверки: домен отправителя и разрешенные IP-адреса. Принимающий сервер сравнивает эти данные с входящим письмом и решает, безопасно ли его доставлять.
Пример алгоритма:
- сервер Selzy с IP-адресом, например 1.3.4.7, отправляет письмо от test@selzy.com на test@anydomain.com;
- почтовый сервер anydomain.com проверяет DNS TXT-запись домена selzy.com;
- сервер ищет IP-адрес 1.3.4.7 среди разрешенных отправителей в SPF-записи selzy.com;
- если IP есть в списке, письмо попадает во входящие;
- если IP нет в списке, письмо отклоняется или отправляется в спам.
Список IP-адресов в SPF-записи играет ключевую роль. Поэтому важно добавить все серверы и сервисы, которым вы разрешаете отправлять письма от имени домена, включая email-платформы.
Синтаксис SPF
SPF — это строка в TXT-записи домена. Пример:
v=spf1 +a +mx +ip4:195.3.159.250 include:gmail.com ~all
Для создания SPF-записи используют механизмы и квалификаторы.
- Механизмы описывают, кто может отправлять письма от имени домена.
- Квалификаторы определяют, что делать с письмом после совпадения с механизмом.
В примере `v=spf1` указывает версию SPF. `+a`, `+mx`, `+ip4` и `include` задают разрешенные источники отправки. `~all` означает, что письма от всех остальных серверов нужно принимать осторожно и обычно отправлять в спам.
Основные элементы SPF:
| Элемент | Значение |
| + | Принять письмо |
| – | Отклонить письмо |
| ~ | Принять, но пометить как подозрительное или отправить в спам |
| ? | Нейтральная оценка |
| mx | Разрешить адреса из MX-записей домена |
| ip4 | Разрешить конкретный IPv4-адрес |
| a | Разрешить IP-адреса из A-записи домена |
| include | Разрешить серверы, указанные в SPF-записи другого домена |
| all | Все остальные IP-адреса, не перечисленные ранее |
| exists | Проверить существование доменного имени |
| redirect | Проверять SPF другого домена вместо текущего |
| exp | Указать сообщение об ошибке для отправителя |
Главная задача SPF — предотвращать подделку отправителя и защищать репутацию домена. Сложность записи зависит от инфраструктуры отправки и требуемого уровня защиты.
Как добавить SPF-запись
Разберитесь с return-path
Return-Path — стандартный заголовок email-протокола. В нем указан адрес, на который почтовый сервис получателя отправляет bounces и автоматические ответы.
Чтобы увидеть Return-Path в отправленном письме, нужно открыть полные заголовки сообщения. В Gmail, например, откройте письмо, нажмите на меню с тремя точками и выберите Show original.
SPF-проверка связана с доменом из Return-Path. Получающий почтовый сервис ищет этот домен и проверяет, есть ли IP-адрес отправителя в списке разрешенных. Убедитесь, что Return-Path исходящих писем соответствует домену, который указан в SPF-записи.
Создайте SPF-запись
Рассмотрим на примере Selzy. В настройках аккаунта откройте раздел аутентификации домена, добавьте домен и получите нужные настройки.
Сервис сформирует SPF-запись, которую нужно перенести в DNS-зону вашего хостинга. Если вы используете другой email-сервис, логика будет похожей: добавьте домен, получите запись и скопируйте ее в DNS.
Обновите DNS-настройки
Для следующего шага нужен доступ к редактированию DNS-записей домена.
Общий порядок:
- зайдите в панель DNS-хостинга или регистратора домена;
- создайте TXT-запись;
- вставьте SPF-строку в поле значения;
- сохраните изменения;
- дождитесь обновления DNS.
DNS-серверам нужно время, чтобы обменяться информацией о новой записи. Обычно это занимает до 72 часов. Если аутентификация прошла успешно, статус домена в email-сервисе изменится на Enabled или аналогичный.
Как проверить SPF-запись
Чтобы убедиться, что SPF настроен правильно, используйте онлайн-инструменты для проверки SPF или DNS-записей:
- DNSWatch;
- MxToolbox;
- SPF Record Checker;
- SPF Syntax Validator.
Например, в MxToolbox введите домен, откройте выпадающее меню и выберите SPF Record Lookup. В результате вы увидите найденные SPF-записи или сообщение, что запись не обнаружена.
Также можно проверить синтаксис. Вставьте SPF-строку в валидатор: если появляется зеленое сообщение, синтаксис корректен; если красное — в записи есть ошибка, которую нужно исправить.
Итоги
SPF — метод защиты email-адресов от мошенников и спамеров. Технически это TXT-запись с набором команд, которую публикуют в DNS-зоне сайта.
SPF позволяет указать, с каких серверов письма могут считаться отправленными от имени бренда или компании. Если письмо якобы пришло от домена, но было отправлено с неразрешенного сервера, оно может быть обработано как спам.
SPF помогает:
- снизить риск spoofing и фишинга;
- защитить домен от спамных рассылок от вашего имени;
- улучшить доставляемость;
- укрепить репутацию отправителя.
После настройки проверяйте запись через бесплатные инструменты вроде DNSWatch, MxToolbox, SPF Record Checker и SPF Syntax Validator. Для максимальной защиты используйте SPF вместе с DKIM, DMARC и другими методами email-аутентификации.
Новое и интересное в нашем блоге. 