Afsenderpolitikramme

Sender Policy Framework , SPF ( Sender Policy Framework [1] ) er en udvidelse til protokollen til afsendelse af e- mail over SMTP . SPF er defineret i RFC 7208 .

Takket være SPF kan du tjekke, om afsenderens domæne er blevet spoofet.

Sådan virker det

SPF giver en domæneejer mulighed for at angive en TXT [K. 1] svarende til domænenavnet , en liste over servere, der har ret til at sende e -mail -beskeder med returadresser i dette domæne .

Mailoverførselsagenter, der modtager mailmeddelelser, kan forespørge SPF-oplysninger med en simpel DNS -forespørgsel og dermed verificere afsenderens server.

Et eksempel på SPF-data i en DNS TXT-post:

Tegnet "+" er standardkvalifikationen og kan udelades. Følgende eksempel ligner det foregående:

v=angiver den version af SPF, der skal bruges. Det følgende er en liste over verifikationsmekanismer: i dette tilfælde tillader "a" at modtage breve fra en vært, hvis IP-adresse matcher IP-adressen i A-recorden for eksempel.org; "mx" tillader modtagelse af e-mails, hvis den afsendende vært er angivet i en af ​​MX-posterne for eksempel.org. Linjen slutter med "-all", hvilket indikerer, at meddelelser, der ikke består verifikationen ved hjælp af de anførte mekanismer, skal afvises. "~alle" kan også bruges - i dette tilfælde skal brevet, der ikke bestod verifikation, ikke afvises, men kan studeres mere omhyggeligt (SoftFail).

Bemærk, at RFC 7208 definerer forskellige valideringsresultater, herunder "Permerror" i tilfælde af en ugyldig SPF-record. Et af tilfældene med ukorrekt registrering er tilstedeværelsen af ​​mere end én post "v=spf1" (3.2. Flere DNS-poster). Der skal udvises forsigtighed ved generering af posten og henvise til RFC 7208 . På nettet kan du finde onlinetjenester til kontrol af SPF-posten.

Formater

TXT-posten for SPF begynder med en "v"-parameter, hvis værdi er versionen af ​​spf-standarden: v=spf1[2] .

Dernæst er mellemrumsadskilte kommandoer til at tillade afsendere og accept-afvis-politikker for breve fra uspecificerede afsendere [2] listet :

• mx - angiver mailservere, der er opført i poster af typen "MX" for domænezonen;
• a - angiver en server med et navn, der matcher navnet på domænezonen (for eksempel for expamle.net-domænezonen vil dette være expamle.net-serveren);
• a:domænenavn - angiver serveren eller undernettet ved domænenavnet på værten, eventuelt angiver undernetmasken i CIDR -format ;
• ip4:adresse/maske - angiver serverens IPv4-adresse eller IPv4-undernet (undernetmasken er angivet i CIDR -format );
• ip6:adresse/maske - angiver serverens IPv6-adresse eller IPv6-undernet (undernetmasken er angivet i CIDR -format );
• alle - angiver alle andre afsenderværter, bruges til at beskrive politikken for accept af e-mail fra andre afsendere.

Der er modifikatorer i spf-notationsformatet:

• omdirigering - bruges til at pege på en anden SPF-post, som beskriver de faktiske regler for politikbehandling;
• exp - ( engelsk  forklaring ), brugt i tilfælde af fejl i henhold til andre regler i SFP-posten;
• inkludere - supplerer reglerne beskrevet fra den aktuelle post med regler fra en anden post (for eksempel fra posten fra e-mail-operatøren på hostingen);

Makroer findes i kommandoer og modifikatorer, hver makro består af et "%"-tegn og et bogstav:

• s – afsenderens e-mailadresse;
• l er den lokale del af afsenderens e-mailadresse;
• o – domænedel af afsenderens e-mailadresse;
• d—domæne;
• i - IP-adresse
• p - (anbefales ikke til brug) afsenderens domænenavn efter validering ( engelsk  valideret )
• v er strengen "in-addr" i tilfælde af en IPv4-adresse og strengen "ip6" i tilfælde af en IPv6-adresse;
• h er domænenavnet angivet af afsenderen i HELO- eller EHLO-kommandoen;
• c - (kun tilladt i exp-kommandoen) IP-adressen på SMTP-klienten (serveren, der har forbindelse til vores);
• r – (kun tilladt i exp-kommandoen) domænenavnet på værten (serveren), der udfører kontrollen;
• t - (kun tilladt i exp-kommandoen) det aktuelle tidspunkt.

Eksempel på optagelse

Prævalens

SpamAssassin spamfiltreringssoftware version 3.0.0 ASSP SPF Mange mailoverførselsagenter (MTA'er) har indbygget SPF-understøttelse ( CommunGate Pro , Wildcat , Exim , Microsoft Exchange Server ). For andre MTA'er er der patches eller udvidelser, der giver SPF-implementeringer ( mailfromd til Postfix , Sendmail og MeTA1 ; SPF-implementering til qmail ).

I øjeblikket giver de fleste velkendte internettjenester ( Amazon , AOL , EBay , Google , Hotmail , Microsoft , W3C ) og Runet ( Mail.ru , Yandex , Rambler , Pochta.ru ) SPF oplysninger om deres domæner.

Se også

• DMARC
• DomainKeys Identified Mail (DKIM)
• Afsender ID

Kommentarer

1. ↑ RFC 4408 introducerede SPF RR - konceptet, men RFC 7208 fordømte brugen af ​​SPF RR

Noter

1. ↑ Brug af en Sender Policy Framework Record til at validere e-mail sendt fra et domæne, MSDN . Hentet 16. september 2014. Arkiveret fra originalen 16. oktober 2014. (ubestemt)
2. ↑ 1 2 rfc7208

Litteratur

• RFC 4408
• RFC 6652
• RFC 7208
• RFC 7372
• RFC 8553
• RFC 8616

Links

• Afsenderpolitikramme: [ eng. ]  : [ bue. 16. januar 2012 ]. — SPF-projektet, 2008.
• Google Apps - "Hvad er SPF Records, Creating an SPF Record"
• Tutubalin, A. SPF-teknologi - at introducere eller vente?  : [ bue. 25. juni 2010 ] // Securelist. - Kaspersky Lab, 2004. - 30. august.
• Master hos Microsoft