SPF – ochrona przed spamem przy pomocy DNS

  Domeny

Wraz z rosnącą liczbą spamu oraz sposobów na obejście istniejących przeciwko niemu zabezpieczeń, przybywa nowych technologii i metod obrony przed spamem. Częstym problemem jest to, że nadawca spamu (czy też jakiegokolwiek e-maila), może w nagłówku wiadomości podać dowolny e-mail nadawcy. Z analogiczną sytuacją mamy do czynienia w przypadku tradycyjnej, papierowej poczty, gdzie na kopercie możemy podać dowolne informacje o nadawcy, nic temu nie broni i nikt nie jest w stanie zweryfikować poprawności tych informacji. Dopiero odbiorca wiadomości jest w stanie stwierdzić, że są one nieprawdziwe. Oczywiste jest, że spamerzy nie podają w danych nadawcy własnych adresów e-mail, ale dowolne adresy z losowo wybranymi domenami.

Ma to dodatkowo nieprzyjemne następstwa – jeśli nie powiedzie się dostarczenie spamu do odbiorcy, serwer SMTP doręczający wiadomość, prześle komunikat o błędzie na użyty przez spamera e-mail nadawcy. Niechcianymi wiadomościami są więc zasypywani nie tylko odbiorcy, ale też osoby, których adres e-mail został użyty do rozsyłania spamu. Abonenci i zarządcy domen z pewnością wiedzą o tym najlepiej. Aby zapobiec otrzymywaniu tego typu komunikatów, warto jest zadbać o poprawną konfigurację serwera poczty naszej domeny. Istnieje wiele powodów przemawiających za nie korzystaniem z kosza domenowego (doręczania wiadomości dla nieznanego odbiorcy są doręczane do konkretnej skrzynki), ale za utworzeniem przejrzystej listy nadawców akceptowanych przez naszą domenę, i odrzucaniu tych, którzy na wspomnianej liście nie figurują. Pozwala to w znaczny sposób zmniejszyć prawdopodobieństwo, że spamer wybierze adres nadawcy, który faktycznie istnieje.

Wspomniane powyżej rozwiązania pozwolą jedynie na zmniejszenie ilości spamu otrzymywanego przez losowo generowanych odbiorców na naszej domenie oraz zmniejszenie liczby otrzymywanych komunikatów o braku możliwości dostarczenia spamu. Rozsyłanie spamu z wykorzystaniem Twojej domeny będzie jednak trwało w dalszym ciągu. W wyniku tego często zdarza się, że administratorzy serwerów zasypywanych niechcianymi wiadomościami, winią  nas o rozsyłanie spamu. Przy tym nie mamy z tym nic wspólnego.

Próbą rozwiązania tego problemu jest wykorzystanie tzw. systemu SPF (Sender Policy Framework), który jest zdefiniowany w RFC 7208. Jest to system, który umożliwia właścicielom domen definiowanie reguł określających, które węzły w Internecie mogą wysyłać e-maile z adresem nadawcy danej domeny.  W praktyce wygląda to tak, że Abonent domeny wprowadzi do strefy specjalny rekord TXT zawierający listę adresów IP komputerów, z których mogą być wysyłane e-maile z daną domeną. Zazwyczaj będzie to lista adresów IP firmowych komputerów, serwerów czy bram SMTP itp. System ten musi być oczywiście obsługiwany przez inne serwery. Jeśli serwer SMTP otrzyma wiadomość e-mail, a w odpowiedzi na zapytanie do DNS domeny uzyska rekord typu TXT, który będzie zawierał reguły SPF, przeprowadzi kontrolę. Wiadomość zostanie przyjęta tylko w przypadku, gdy będzie zgodna z regułami. W przeciwnym razie zostanie odrzucona. Kontrola jest przeprowadzana jeszcze przed wysłaniem treści wiadomości (po wysłaniu komendy MAIL FROM). Serwer SMTP, który nie obsługuje SPF, nie dokona sprawdzenia i przekaże wiadomość dalej.

Pierwotnie planowano używać specjalnego rekordu DNS typu SPF dla reguł SPF. Ostatecznie jednak z tego zrezygnowano i rekord ten został zastąpiony rekordem TXT.

W związku z tym, że system SPF jest stosunkowo młody i do niedawna nazywany był eksperymentalnym, technologia ta nie jest jeszcze bardzo rozpowszechniona. Aby za jego pomocą zlikwidować spam, wszystkie domeny na świecie musiałyby mieć odpowiednie (i poprawnie zdefiniowane) rekordy SPF, a wszystkie serwery SMTP na świecie musiałyby przeprowadzać odpowiednie kontrole. Istotne jest, aby przy definiowaniu reguł w rekordzie SPF nie popełnić błędu. Jeśli przypadkowo pominiemy jakiś komputer lub podsieć, może pojawić się problem z dostarczaniem standardowych e-maili.

Poniżej zamieszczamy przykład rekordu TXT dla domeny ietf.org (w skrócie):

v=spf1 ip4:64.170.98.0/26 ip6:2001:1890:1112:1::0/64 -all

W przykładzie widzimy jasno określone podsieci, które są uprawnione do wysyłania wiadomości z adresu zawierającego nazwę domeny ietf.org.

UWAGA: U danej domeny nie może być ustawiony więcej niż jeden rekord TXT(SPF), adresy serwerów muszą być wprowadzone do jednego wspólnego rekordu!

Dodatkowe informacje:

http://pl.wikipedia.org/wiki/Sender_Policy_Framework

http://tools.ietf.org/html/rfc7208 (angielski)

Jak ustawić SPF u WEDOS?

Skorzystaj z przygotowanej przez nas instrukcji ustaweinie SPF.