Безопасность электронной почты – Часть 3. Структура политики отправителя (SPF)

Sender Policy Framework (структура политики отправителя) помогает бороться со Спамом, Фишингом, определяя с каких IP-адресов веб-сайт или компания отправляет электронные письма.

---

Сегодня технологический климат в значительной степени ориентирован на безопасность. Цифровые сертификаты играют решающую роль. Этот рынок требует много маркетинга. А это, в сочетании со многими другими аспектами данного бизнеса, выливается в большое количество электронных писем. И мы возвращаемся к вопросу, который был задан в начале этой серии статей: как убедить получателей электронной почты, что ваши электронные письма настоящие, а не пришли от какого-нибудь мошенника, притворяющегося магазином SSL? Краткий ответ: существует несколько способов, как это можно сделать. Мы рассмотрим одно из решений в этом посте, где речь будет идти о протоколе под названием SPF (SenderPolicy Framework).

Откуда это?

Когда речь заходит о проверке подлинности, разве не каждый задает такой вопрос? Кажется, этот вопрос справедливый. Если я получаю электронное письмо от Интернет-магазина, я хочу знать, откуда оно пришло, поскольку это доказывает законный характер отправителя. Если я получу электронное письмо от Американской компании, которое пришло из Куала-Лумпура, мы бы с подозрением к нему отнеслись(не в обиду Малайзии, просто у Куала-Лумпура забавное название). Итак, где же вступает в игру SPF?

SPF – это протокол, на который ссылается запись DNS, указывающая действительные IP-адреса, с которых могут приходить электронные письма от данного домена. В записи DNS указываются конкретные IP-адреса, блоки IP-адресов(часто обозначаемые в CIDR(Classless Inter-Domain Routing)) или другие доменные имена. Например, все следующее будет действительным:

• IP-адрес с нотацией CIDR: 54.208.121.145 /32
• Блок IP-адресов с нотацией CIDR: 199.127.232.0 /22
• Доменные имена: domainname.com

Таким образом, если электронное письмо приходит с IP-адреса,указанного в записи SPF DNS, оно будет соответствовать требованиям SPF с точки зрения получателя. Если сообщение электронной почты приходит с IP-адреса, неуказанного в записи DNS, оно не получит доверия. Таким образом, имеет смысл иметь полный список всех IP-адресов, с которых может приходить электронное письмо, перечисленных в записи DNS. Звучит проще, чем это есть на самом деле? Так и есть. У вас когда-нибудь было дежавю? Это как раз тот случай.

Больше адресов, чем в телефонной книге

Некоторые компании могут иметь свой собственный почтовый сервер. В этом случае настройка Sender Policy Framework должна быть простой, если почта не проходит через какой-либо другой почтовый обменник. У некоторых компаний может быть сторонний хостинг для их почтового сервера. В этом случае SPF также может быть простым, просто включается имя хоста почтовой службы или блок/список IP-адресов. Также может возникнуть необходимость в списке промежуточных или обменных IP-адресов. 

Однако, некоторые компании, ориентированные или неориентированные на маркетинг, рассылают электронные письма отовсюду. В этих случаях каждый домен электронной почты должен иметь запись SPF, чтобы гарантировать, что электронные письма не являются ненадежными и ваш рейтинг в DMARC (Domain-based Message Authentication, Reporting and Conformance) не повысится (не беспокойтесь, мы обсудим DMARC через 2 поста).

Например, мы рассылали электронные письма через AmazonSES, MailChimp и Freshdesk. MXToolbox имеет множество инструментов, которые помогают искать информацию DNS, включая записи Sender Policy Framework, для данного домена. Таким образом, записи DNS для таких электронных писем должны иметь список IP-адресов для всех этих сервисов. Занести в список все IP-адреса может показаться немного проблематичным, но простое доменное имя для каждого из этих сервисов требует поиска DNS, что увеличивает количество таких поисков. К сожалению, у SPF возникают проблемы, когда ему нужно выполнить более 10 поисков DNS. Такие сервисы, как Google Mail, добавляют множество поисков всего лишь с одной записью доменного имени. Подобные сервисы лучше всего отображены в их IP-блоках. На это может понадобиться множество IP-адресов. И это так. К счастью, у этих служб часто есть блоки, перечисленные на их веб-сайтах, поэтому вам не нужно ворошить ваши знания о подсети. Опять же, MXToolbox и другие сервисы, такие, как DMarcian или DMARC Analyzer, проверят, превышает ли количество поисков десять и какие проблемы могут возникнуть. Лучше, чтобы все было на месте, и вы играли по правилам.

Такие сервисы, как Google Mail, добавляют множество поисков всего лишь с одной записью доменного имени. Подобные сервисы лучше всего отображены в их IP-блоках. На это может понадобиться множество IP-адресов. И это так. К счастью, у этих служб часто есть блоки, перечисленные на их веб-сайтах, поэтому вам не нужно ворошить ваши знания о подсети. Опять же, MXToolbox и другие сервисы, такие, как DMarcian или DMARC Analyzer, проверят, превышает ли количество поисков десять и какие проблемы могут возникнуть. Лучше, чтобы все было на месте, и вы играли по правилам.

Давайте рассмотрим по подробнее

Поскольку записи Sender Policy Framework общедоступны, давайте взглянем на нашу основную запись SPF:

v=spf1 a mx include:spf.mtasv.net include:emailsrvr.com include:mailspf.smtp.com include:site2max.com include:servers.mcsv.net ip4:54.223.121.145/32 ip4:156.255.192.0/22 ip4:199.156.462.0/22 ip4:54.235.0.0/18 ip4:205.85.156.0/17 ip4:192.88.675.27/32 ~all

Наши объяснения параметров:

a – будет соответствовать записи «a» домена

mx – будет включать в себя IP-адрес записи почтового обменника домена

Эти первые 2 параметра обычно являются стандартными, но их можно точно настроить, чтобы сделать больше ограничений относительно того, что является приемлемым.

include – существует ряд квалификаторов include:, за которыми следуют доменные имена, где перечислены приемлемые отправители почты для этого почтового домена. Здесь будет включен и поиск DNS, упомянутый ранее в этом посте.

ip4 – Эта серия списков представляет собой конкретные IP-адреса и IP-блоки. Некоторые из них дляAmazonSES, а некоторые для Gmail. У Amazon и Gmail высокий уровень поисков DNS,и поэтому мы выбрали IP-адреса. Их также можно использовать с ip6, но мир по какой-то причине еще не полностью принял IPv6…

~all – Современное ханжество. Мы все еще находимся в стадии «~», потому что есть оценка того, где именно мы находимся в нашем массовом движении почты. Вопросительный знак «?» можно заменить несколькими другими символами с другими правилами. Вот что означают другие символы - квалификаторы:

+ Передача IP, который соответствует IP

– Сбой IP, который соответствует IP

~ Запуск правил SPF для электронной почты, но не принудительный. Ошибка SPF пропустит письмо

? Ни проходит, не терпит неудачу. По сути, отключает SPF

Эти квалификаторы могут применяться к каждому заявлению include:или ipv4:. Использование all будет применяться ко всем включенным адресам/доменным именам.

Мы рекомендуем всем, кто хочет узнать больше, посмотреть на Sender Policy Framework различных доменов веб-сайтов через MXToolbox и попытаться понять, как они настроены. MXToolbox, помимо других сайтов, имеет инструменты, помогающие создавать записи SPF, поэтому не бойтесь использовать их, если это необходимо.

Спасибо за внимание и счастливого изучения этой темы.