Что такое spf запись в dns

Обновлено: 06.07.2024

SPF — это не только уровень защиты от солнечных лучей. Это еще и мощная технология, которая ограждает домен отправителя от действий мошенников. О том, как она работает и почему без настроенной SPF все меры по защите почтовой репутации летят коту под хвост - рассказываем.

P.S. будет много технических терминов, но мы их просто объясним.:)

SPF (Sender Policy Framework/структура политики отправителя) — это метод борьбы со спамом, который работает по принципу паспорта. Как главный документ удостоверяет нашу личность, так SPF подтверждает, что емейл пришел с проверенного надежного адреса. Но в отличие от объемной книжечки, Sender Policy Framework представляет собой одну строку в TXT-записи домена. Например, такую:

example.org. IN TXT "v=spf1 +a +mx -all",

где v=spf1 - это используемая версия SPF, а +a +mx -all - механизм и условия защиты домена от мошенников.

Более сложный уровень SPF-защиты для того же домена может выглядеть так:

И это далеко не самая сложная SPF-запись. При необходимости, она может вмещать до 10 параметров. Для удобства, мы собрали их все в одном месте:

принять емейл, но пометить как СПАМ.

all - отправлять все письма в СПАМ;

mx все адреса, указанные в MX-записях домена;

ip4 указывает конкретный IP-адрес. Например: ip4:195.3.156.134 - принимать письма с IP 195.3.156.134;

a указывает действие, которое нужно сделать при получении письма от конкретного домена. Например: +a - принять все письма, которые присланы с IP, который совпадает с IP-адресом в записи отправляющего домена;

all все остальные IP, которые не указаны в SPF-записи;

exists проверяет работоспособность доменного имени;

spf.example.org. IN TXT "You host not allowed e-mail to me from this domain!"

Главная функция SPF — предотвратить попытки спуфинга и других атак на репутацию отправителя. Ее длина и сложность зависит от нужного уровня защиты и навыков специалиста. Зачастую ее можно прописать самостоятельно, и мы расскажем как - чуть дальше:)

И такие этапы проходит каждое письмо. Графически, преодоление SPF-фильтра выглядит следующим образом:

Базовую роль в проверке домена играет список IP адресов, указанных в SPF-записи. Именно он подтверждает честные намерения отправителя. Поэтому постарайтесь вписать в этот список все возможные IP, которым вы разрешаете отправку: все корпоративные адреса, а также не забудьте о сервисах почтовых рассылок.

Как настроить и проверить SPF-запись для своего домена самостоятельно?

Создание SPF — простая операция. В большинстве случаев для установки базовой защиты достаточно прописать одну строку в TXT-записи домена. Но и здесь есть много подводных камней:

Процесс настройки SPF-записи проходит на сайте провайдера и состоит из 5 этапов. Последний из них — проверка работоспособности и правильности SPF. Ее можно провести на одном из специальных сервисах:

или в личном аккаунте почтового сервиса Estismail. Зеленая галочка в разделе “Статус” означает, что SPF прописана и внедрена в TXT - запись домена верно:

Поздравляем, теперь Вы можете самостоятельно за несколько минут настроить SPF-запись для своего домена и обеспечить мощную защиту репутации отправителя. Тем не менее, одному лишь SPF не под силу полностью оградить домен от фишинга и спуфинга. Для полной защиты нужно действие трех магов: SPF, DMARC и DKIM. Если хотя бы один из них будет не настроен, то в защите отправляющего домена образуется брешь, через которую спуферы смогут подменить информацию об отправителе. В результате - ваши клиенты от вашего же имени получают спам или вирус, а вы - ни сном ни духом. Чтобы избежать такой ситуации - проверьте все записи или обратитесь в нашу службу поддержки. Мы всегда поможем.

SPF (Sender Policy Framework) - это DNS-запись, содержащая список доверенных серверов, с которых может отправляться почта данного домена, и сведения о механизме обработки писем, отправленных с других серверов. Корректная настройка SPF позволит снизить вероятность рассылки спама злоумышленниками от вашего имени.

В панели Timeweb SPF настраивается в разделе "Домены и поддомены" - "Настройки DNS" - "Добавить DNS запись" - "TXT". Если TXT-запись с параметрами SPF уже создана, необходимо ее отредактировать. Не рекомендуется создавать несколько SPF-записей для домена, так как это может вызывать проблемы с доставкой почты.

Для доменов, делегированных на наши NS-серверы, SPF-запись указывается автоматически и выглядит примерно следующим образом:

Такая запись означает, что письма с данного домена могут отправляться из подсетей 176.57.223.0/24 и 92.53.116.0/22, а письма, пришедшие с других серверов (all), должны проходить дополнительную проверку (

Основной синтаксис

Любая SPF-запись начинается с v=spf1, этот параметр не изменяется. Он указывает на версию записи, и в настоящее время поддерживается только spf1.

Далее указываются параметры (механизмы). Чаще всего используются следующие: all, ip4, ip6, a, mx, include, redirect. Также существуют, но используются значительно реже: ptr, exists, exp. Они все будут рассмотрены ниже.

Помимо механизмов используются префиксы (определители):

"+" - Pass, принимать почту. Прописывать этот параметр необязательно, он установлен по умолчанию (т.е. значения "+a +mx" и "a mx" - идентичны).
"-" - Fail, отклонять почту.
"

Параметр "all" подразумевает все серверы, не упомянутые отдельно в SPF-записи. "All" задает обработку полученных с них писем и указывается в конце записи.

— принимать почту только из подсети 176.57.223.0/24; письма с других адресов должны быть помечены как спам.

— принимать почту только с A-записи домена; письма с других адресов должны отвергаться.

— отвергать все письма с домена. Такую настройку можно использовать для доменов, с которых не должна отправляться вообще никакая почта.

В последующих примерах мы не будем дополнительно комментировать значения параметров

all и -all в SPF-записях.

ip4 / ip6

Используется для указания конкретных адресов и подсетей, из которых могут отправляться письма. Синтаксис для IPv4 и IPv6 идентичен.

— принимать почту из подсети 176.57.223.0/24.

— принимать почту с IPv6-адреса 2001:db8::10.

IP отправителя проверяется на соответствие A-записи домена.

— принимать почту с A-записи текущего домена.

IP отправителя проверяется на соответствие IP-адресам серверов, указанных в MX-записях домена. На текущий день для многих современных сервисов эта директива уже не так важна, так как серверы входящей и исходящей почты зачастую имеют разные IP.

— принимать почту из подсети, в которую входят MX-серверы текущего домена.

include

Позволяет учитывать в SPF-записи настройки SPF другого домена.

redirect

Технически, redirect является модификатором, а не механизмом. Он выполняет одну основную функцию: сообщает, что необходимо применять настройки SPF другого домена.

Прочие механизмы

Здесь мы рассмотрим оставшиеся механизмы, которые используются в настройках значительно реже.

PTR-запись IP-адреса отправителя проверяется на соответствие указанному домену. Данный механизм требует большого количества DNS-запросов при проверке, поэтому без острой необходимости использовать его в SPF не рекомендуется.

exists

Запрашивается А-запись указанного домена; если она существует, проверка считается пройденной. Другими словами, проверяется, резолвится ли домен на какой-либо (любой) IP-адрес.

Параметр "exp" всегда указывается в конце записи (после all).

Примеры настроек

Если вы отправляете почту так же и с других серверов (укажите IP-адреса или подсети вместо IP1, IP2 и т.д.):

Настройка SPF для Яндекс.Почты

(подробнее о настройке DNS для Яндекса см. здесь)

При использовании только серверов Яндекса:

При использовании также и других серверов (укажите IP-адреса или подсети вместо IP1, IP2 и т.д.):

Настройка SPF для Google

(подробнее о настройке DNS для Google см. здесь)

При использовании только серверов Google:

При использовании также и других серверов (укажите IP-адреса или подсети вместо IP1, IP2 и т.д.):

Другие примеры

Видеоинструкция

SPF-запись помогает снизить риск того, что письмо, отправленное с адреса на вашем домене, попадет в спам у адресата. Чтобы настроить SPF-запись, нужно создать TXT-запись со списком серверов, которые отвечают за отправку почты с вашего домена.

Если вы делегировали домен на серверы Яндекса, SPF-запись будет настроена автоматически.

Общая инструкция по настройке SPF-записи

Войдите в панель управления на сайте компании, которая предоставляет вам DNS-хостинг.

Если вы делегировали домен на серверы Яндекса, перейдите в DNS-редактор Коннекта.

Создайте TXT-запись со следующими значениями полей (в разных панелях управления названия полей могут различаться):

Если вы хотите отправлять письма не только с серверов Яндекса, укажите дополнительные серверы в таком формате: Где IP-1 , IP-2 , IP-3 — IP-адреса дополнительных серверов.

Имя поддомена (или Хост ) — @

Если это поле отсутствует в панели управления, можно его не указывать.

Подождите, пока изменения в DNS вступят в силу. Может потребоваться до 72 часов, чтобы DNS-серверы в интернете обменялись данными о новых DNS-записях.

Инструкции по настройке SPF-записи у некоторых хостинг-провайдеров

Нажмите ссылку с именем нужного домена. Откроется страница Управление .

Выберите DNS-серверы и управление зоной .

На панели справа выберите DNS-зоны .

Нажмите ссылку с именем нужного домена. Откроется страница Просмотр DNS-зоны .

Поле MX preference оставьте пустым.

В разделе Управление хостингом нажмите ссылку DNS .

В выпадающем списке выберите нужный домен.

Технология Sender Policy Framework (SPF) позволяет защитить домен от спуфинга и предотвратить попадание писем, отправляемых из организации, в папку "Спам". SPF определяет почтовые серверы, которые могут отправлять почту от имени домена. Почтовые серверы, принимающие электронные письма от вашего домена, с помощью SPF могут убедиться, что они отправлены с разрешенных вами серверов.

Если SPF не используется, система с большей вероятностью будет помечать письма из организации или домена как спам.

С чего начать

Если электронные письма в вашей организации отправляются только с помощью Google Workspace, следуйте инструкциям по базовой настройке записи SPF.

Аутентификация электронной почты для Gmail

Помимо SPF, мы рекомендуем настроить DKIM и DMARC. Эти методы аутентификации повышают уровень безопасности домена и помогают обеспечить правильную доставку отправляемых из него писем. Дополнительную информацию о технологиях DKIM и DMARC можно найти в статьях раздела Как улучшить защиту от спуфинга, фишинга и спама.

Аутентификация электронной почты снижает вероятность того, что письма от вашей организации будут помечены как спам.

SPF и DKIM помогают защититься от попыток спамеров выдать себя за вашу организацию в электронных письмах.

Как SPF защищает домен от спуфинга и предотвращает попадание подлинных писем в спам

Как SPF защищает домен от спуфинга

Спамеры могут сфальсифицировать ваше доменное имя или название организации и рассылать поддельные письма якобы от вашей компании. Это называется спуфингом. Поддельные письма могут использоваться со злым умыслом, например для передачи ложной информации, рассылки вредоносного ПО или получения конфиденциальной информации обманным путем. SPF помогает серверам получателей убедиться, что письма, якобы отправленные из домена организации, являются настоящими, а не поддельными.

Чтобы защитить домен организации от спуфинга и других атак через электронную почту, рекомендуем также настроить DKIM и DMARC.

Как SPF помогает с безошибочной доставкой писем

Технология SPF предотвращает доставку почты из домена организации в папку "Спам". Если в вашем домене не используется SPF, почтовый сервер получателя не сможет проверить, действительно ли письма отправлены из вашего домена.

В результате сервер может отклонить подлинные письма или поместить их в папку "Спам".

Что нужно сделать

Подготовка к настройке записи SPF

Найдите учетные данные для входа на сайт регистратора вашего домена
Узнайте, что такое IP-адреса.
Ознакомьтесь с информацией о том, что такое TXT-записи DNS.
Необязательно: проверьте, есть ли у вас действующая запись SPF.
Определите всех отправителей электронной почты в своем домене.

Базовая настройка записи SPF

Примечание. Эта статья адресуется тем, у кого нет опыта с настройкой записи SPF или почтовых серверов.

Пример записи SPF для отправки электронной почты только через серверы Google Workspace.
Примеры записей SPF для отправки почты с помощью Google Workspace и других серверов и сервисов.

Расширенная настройка записи SPF

Примечание. Эта статья адресуется тем, кто имеет опыт настройки почтовых серверов.

Читайте также: