SPF (Sender Policy Framework)
Что такое SPF (Sender Policy Framework)?
SPF (Sender Policy Framework)Механизм аутентификации почты по RFC 7208, позволяющий домену публиковать в DNS, какие IP-адреса и хосты вправе отправлять письма с его доменом в envelope MAIL FROM.
SPF (Sender Policy Framework), описанный в RFC 7208, позволяет владельцу домена опубликовать TXT-запись (например, v=spf1 ip4:192.0.2.0/24 include:_spf.example.net -all) с перечнем разрешённых отправителей. Принимающие MTA сверяют домен SMTP MAIL FROM (return-path) с этой политикой и выдают результат: pass, fail, softfail, neutral или temperror. SPF аутентифицирует только конверт, а не видимый пользователю From:, поэтому сам по себе не пресекает подмену отображаемого имени. Вместе с DKIM это одна из основ DMARC. Важно не превышать предел в 10 DNS-запросов, использовать правильные квалификаторы и предпочитать -all (hard fail) вместо ~all для реального применения.
● Примеры
- 01
Публикация v=spf1 include:_spf.google.com -all для разрешения исходящих IP Google Workspace и отказа всем остальным.
- 02
Использование стороннего сервиса SPF flattening, чтобы оставаться в пределах 10 DNS-запросов.
● Частые вопросы
Что такое SPF (Sender Policy Framework)?
Механизм аутентификации почты по RFC 7208, позволяющий домену публиковать в DNS, какие IP-адреса и хосты вправе отправлять письма с его доменом в envelope MAIL FROM. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает SPF (Sender Policy Framework)?
Механизм аутентификации почты по RFC 7208, позволяющий домену публиковать в DNS, какие IP-адреса и хосты вправе отправлять письма с его доменом в envelope MAIL FROM.
Как работает SPF (Sender Policy Framework)?
SPF (Sender Policy Framework), описанный в RFC 7208, позволяет владельцу домена опубликовать TXT-запись (например, v=spf1 ip4:192.0.2.0/24 include:_spf.example.net -all) с перечнем разрешённых отправителей. Принимающие MTA сверяют домен SMTP MAIL FROM (return-path) с этой политикой и выдают результат: pass, fail, softfail, neutral или temperror. SPF аутентифицирует только конверт, а не видимый пользователю From:, поэтому сам по себе не пресекает подмену отображаемого имени. Вместе с DKIM это одна из основ DMARC. Важно не превышать предел в 10 DNS-запросов, использовать правильные квалификаторы и предпочитать -all (hard fail) вместо ~all для реального применения.
Как защититься от SPF (Sender Policy Framework)?
Защита от SPF (Sender Policy Framework) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия SPF (Sender Policy Framework)?
Распространённые альтернативные названия: Sender Policy Framework.
● Связанные термины
- network-security№ 333
DMARC
Стандарт аутентификации почты по RFC 7489, позволяющий владельцу домена опубликовать политику, какой обработке подвергать сообщения, не прошедшие SPF/DKIM и проверку выравнивания.
- network-security№ 330
DKIM
Стандарт аутентификации почты (RFC 6376), позволяющий отправляющему домену снабжать исходящие сообщения криптографической подписью, чтобы получатели могли удостовериться в неизменности заголовков и тела.
- attacks№ 375
Подмена адреса электронной почты
Подделка заголовков письма так, чтобы оно выглядело отправленным доверенным отправителем, обычно для фишинга, мошенничества или доставки вредоносного ПО.
- attacks№ 135
Компрометация деловой переписки
Целенаправленное мошенничество: злоумышленник имитирует или захватывает корпоративный почтовый ящик, чтобы заставить сотрудника перевести деньги, изменить платёжные реквизиты или раскрыть данные.
- network-security№ 984
Защитный почтовый шлюз
Периметровый или облачный сервис, фильтрующий входящую и исходящую почту на спам, фишинг, вредоносное ПО, утечки данных и нарушения политик до доставки в почтовые ящики.
- network-security№ 095
BIMI
Почтовый стандарт, позволяющий отображать проверенный логотип бренда рядом с аутентифицированными сообщениями в поддерживаемых клиентах при условии DMARC-политики quarantine или reject.