Как добавить spf запись в домен: Настройка DKIM/SPF/DMARC записей или защищаемся от спуфинга / Хабр

Настройка DKIM/SPF/DMARC записей или защищаемся от спуфинга / Хабр

Приветствую, Хабр! В этой статье будет инструкция по настройке DKIM/SPF/DMARC записей. А побудило меня написать эту статью полное отсутствие документации на русском языке. Все статьи на эту тему, которые были мной найдены, были крайне не информативны.

1. DKIM

DKIM (DomainKeys Identified Mail) — это метод e-mail аутентификации, основанный на проверке подлинности цифровой подписи. Публичный ключ хранится TXT записи домена.

Зачем же он нужен?

DKIM необходим для того, чтобы почтовые сервисы могли проверять, является ли отправитель достоверным или нет. Т.е. защищает получателя письма от различных мошеннических писем (которые отправлены с подменой адреса отправителя).

Настройка DKIM подписи и DNS записей

Для это нам необходимо создать пару ключей:

openssl genrsa -out private.pem 1024 //генерируем секретный ключ длинной 1024

openssl rsa -pubout -in private.pem -out public.pem //получаем публичный ключ из секретного

Или можно воспользоваться онлайн-сервисом, чего я крайне не советую.

Далее необходимо указать путь с секретному ключу в файле конфигурации (для этого лучше почитать документацию) почтового сервера и публичный ключ в DNS.

Примером записей является
mail._domainkey.your.tld TXT "v=DKIM1; k=rsa; t=s; p=<публичный ключ>"


где
mail — селектор. Можно указать несколько записей с разными селекторами, где в каждой записи будет свой ключ. Применяется тогда, когда задействовано несколько серверов. (на каждый сервер свой ключ)
v — версия DKIM, всегда принимает значение v=DKIM1. (обязательный аргумент)
k — тип ключа, всегда k=rsa. (по крайней мере, на текущий момент)
p — публичный ключ, кодированный в base64. (обязательный аргумент)
t — Флаги:
t=y — режим тестирования. Такие отличают отличаются от неподписанных и нужны лишь для отслеживания результатов.
t=s — означает, что запись будет использована только для домена, к которому относится запись, не рекомендуется, если используются субдомены.

возможные:
h — предпочитаемый hash-алгоритм, может принимать значения h=sha1 и h=sha256
s — Тип сервиса, использующего DKIM. Принимает значения s=email (электронная почта) и s=* (все сервисы) По-умолчанию «*».
; — разделитель.

Так же стоит прописать ADSP запись, которая позволяет понять, обязательно должно быть письмо подписано или нет.
_adsp._domainkey.example.com. TXT "dkim=all"

Значений может быть три:
all — Все письма должны быть подписаны
discardable — Не принимать письма без подписи
unknown — Неизвестно (что, по сути, аналогично отсутствию записи)

2. SPF

SPF (Sender Policy Framework) — расширение для протокола отправки электронной почты через SMTP. SPF определен в RFC 7208 (Wiki). Если простым языком, то SPF — механизм для проверки подлинности сообщением, путем проверки сервера отправителя. Как по мне, данная технология полезна в связке в другими (DKIM и DMARC)

Настройка SPF записей

Примером обычной SPF записи является your.tld. TXT "v=spf1 a mx ~all"
Здесь:
v=spf1 является версией, всегда spf1
a — разрешает отправляет письма с адреса, который указан в A и\или AAAA записи домена отправителя
mx — разрешает отправлять письма c адреса, который указан в mx записи домена
(для a и mx можно указать и другой домен, например, при значении a:example.com, будет разрешена а запись не домена отправителя, а example.com)
Так же можно добавлять и отдельные ip адреса, используя ip4: и ip6:. Например, ip4:1.1.1.1 ip6: 2001:0DB8:AA10:0001:0000:0000:0000:00FB. Еще есть include: (include:spf.example.com), позволяющий дополнительно подключать spf записи другого домена. Это все можно комбинировать через пробел. Если же нужно просто использовать запись с другого домена, не дополняя её, то лучше всего использовать redirect: (redirect:spf.example.com)
-all — означает то, что будет происходить с письмами, которые не соответствуют политике: «-» — отклонять, «+» — пропускать, «~» — дополнительные проверки, «?» — нейтрально.

3.DMARC

Domain-based Message Authentication, Reporting and Conformance (идентификация сообщений, создание отчётов и определение соответствия по доменному имени) или DMARC — это техническая спецификация, созданная группой организаций, предназначенная для снижения количества спамовых и фишинговых электронных писем, основанная на идентификации почтовых доменов отправителя на основании правил и признаков, заданных на почтовом сервере получателя (Wiki). То есть почтовый сервер сам решает, хорошее сообщение или плохое (допустим, исходя из политик выше) и действует согласно DMARC записи.

Настройка DMARC записей

Типичная запись выглядит так: _dmarc.your.tld TXT "v=DMARC1; p=none; rua=mailto:[email protected]"
В ней не предпринимаются никакие действия, кроме подготовки и отправки отчета.

Теперь подробнее о тегах:
v — версия, принимает значение v=DMARC1 (обязательный параметр)
p — правило для домена. (Обязательный параметр) Может принимать значения none, quarantine и reject, где
p=none не делает ничего, кроме подготовки отчетов
p=quarantine добавляет письмо в СПАМ
p=reject отклоняет письмо

Тэг sp отвечает за субдомены и принимает такие же значения, как и p
aspf и adkim позволяют проверять соответствиям записям и могут принимать значения r и s, где r — relaxed более мягкая проверка, чем s — strict.
pct отвечает за кол-во писем, подлежащих фильтрации, указывается в процентах, например, pct=20 будет фильтровать 20% писем.
rua — позволяет отправлять ежедневные отчеты на email, пример: rua=mailto:[email protected], так же можно указать несколько email через пробел (rua=mailto:[email protected] mailto:[email protected])

Пример отчета

<record>
 <row>
 <source_ip>1.1.1.1</source_ip>
 <count>1</count>
 <policy_evaluated>
 <disposition>none</disposition>
 </policy_evaluated>
 </row>
 <identities>
 <header_from>your.tld</header_from>
 </identities>
 <auth_results>
 <dkim>
 <domain>your.tld</domain>
 <result>pass</result>
 <human_result></human_result>
 </dkim>
 <spf>
 <domain>your.tld</domain>
 <result>pass</result>
 </spf>
 </auth_results>
 </record>
 <record>
 <row>
 <source_ip>1.1.1.1</source_ip>
 <count>1</count>
 <policy_evaluated>
 <disposition>none</disposition>
 <reason>
 <type>forwarded</type>
 <comment></comment>
 </reason>
 </policy_evaluated>
 </row>
 <identities>
 <header_from>your.tld</header_from>
 </identities>
 <auth_results>
 <dkim>
 <domain>your.tld</domain>
 <result>pass</result>
 <human_result></human_result>
 </dkim>
 <spf>
 <domain>your.tld</domain>
 <result>pass</result>
 </spf>
 </auth_results>
 </record> 

ruf — отчеты писем, не прошедшие проверку DMARC. В остальном все так же, как и выше.

Эпилог

Мы научились настраивать DKIM/SPF/DMARC и противостоять спуфингу. К сожалению, это не гарантирует безопасность в случае взлома сервера или же отправки писем на серверы, не поддерживающие данные технологии. Благо, что популярные сервисы все же их поддерживают (а некоторые и являются инициаторами данных политик).

Эта статья — лишь инструкция по самостоятельной настройке записей, своего рода документация. Готовых примеров нет намеренно, ведь каждый сервер уникален и требует своей собственной конфигурации.

Буду рад конструктивной критике и правкам.

Создать SPF: Как сделать так, чтобы письма не попадали в СПАМ | Блог о email маркетинге

SPF — это не только уровень защиты от солнечных лучей. Это еще и мощная технология, которая ограждает домен отправителя от действий мошенников. О том, как она работает и почему без настроенной SPF все меры по защите почтовой репутации летят коту под хвост — рассказываем.

P.S. будет много технических терминов, но мы их просто объясним.:)

SPF: что? зачем? и как?

SPF (Sender Policy Framework/структура политики отправителя) — это метод борьбы со спамом, который работает по принципу паспорта. Как главный документ удостоверяет нашу личность, так SPF подтверждает, что емейл пришел с проверенного надежного адреса. Но в отличие от объемной книжечки, Sender Policy Framework представляет собой одну строку в TXT-записи домена. Например, такую:

 

example.org. IN TXT «v=spf1 +a +mx -all»,

где v=spf1 — это используемая версия SPF, а  +a +mx -all — механизм и условия защиты домена от мошенников.

Это самый простой пример записи, который говорит о том, что отправлять письма от имени домена example.org могут все все сервера, указанные в записях a и mx. Другие же адреса должны быть удалены: -all.

Более сложный уровень SPF-защиты для того же домена может выглядеть так:

 

example.org. IN TXT «v=spf1 mx ip4:195.3.159.250 +a:smtp.mail.ru include:gmail.com ~all»

и означает, что отправлять сообщения от имени домена example.org. могут все сервера, указанные в mx-записях, а также отправленные с IP 195.3.159.250. Кроме того, можно принимать письма с серверов, указанных в SPF-записи домена gmail.com. Письма со всех остальных серверов нужно отправить в спам без проверки: ~all«.

И это далеко не самая сложная SPF-запись. При необходимости, она может вмещать до 10 параметров. Для удобства, мы собрали их все в одном месте:

Главная функция SPF — предотвратить попытки спуфинга и других атак на репутацию отправителя. Ее длина и сложность зависит от нужного уровня защиты и навыков специалиста. Зачастую ее можно прописать самостоятельно, и мы расскажем как — чуть дальше:)

Как SPF защищает домен от спуфинга?

Как известно, основной метод спуфинга — это подмена адреса в поле “FROM”. SPF-запись, как противоядие, направлено именно на это поле, поскольку оно содержит главный критерий для проверки: домен отправителя и его IP адрес. Сопоставляя его с теми айпишниками, которые прописаны в SPF-записи как разрешенные, сервер-получатель принимает решение о безопасности сообщения.

Коротко, алгоритм работы SPF проходит четыре этапа. Для примера, возьмем отправку сообщения с адреса  [email protected] на адрес [email protected] через почтовый сервис Estismail:

1. сервер Estismail с IP (для примера) 1.3.4.7 отправляет письмо с адреса [email protected] на адрес [email protected];

2. почтовый сервер beispiel.com проверяет DNS запись о типе TXT для домена example.com и определяет IP отправляющего домена;

3. мейл-сервер beispiel.com ищет IP адрес 1.3.4.7, среди тех, которым SPF-запись example.com разрешает делать отправку от своего имени;

4. если IP отправителя есть в списке “правильных” айпишников, письмо поступает во “Входящие”. Если нет — “отбивается” или попадает в СПАМ.  

И такие этапы проходит каждое письмо. Графически, преодоление SPF-фильтра выглядит следующим образом:

Базовую роль в проверке домена играет список IP адресов, указанных в SPF-записи. Именно он подтверждает честные намерения отправителя. Поэтому постарайтесь вписать в этот список все возможные IP, которым вы разрешаете отправку: все корпоративные адреса, а также не забудьте о сервисах почтовых рассылок.

Как настроить и проверить SPF-запись для своего домена самостоятельно?

Создание SPF — простая операция. В большинстве случаев для установки базовой защиты достаточно прописать одну строку в TXT-записи домена. Но и здесь есть много подводных камней:

• SPF работает на уровне домена и не передается на поддомены. Это значит, что на каждый уровень нужно создавать свою SPF-запись.

• В проверке домена SPF ориентируется исключительно на поле “FROM”, поэтому она работает вместе с DKIM и DMARC, которые задают параметры поиска мошенника не только в поле “Отправитель”, но и в тексте сообщения.

Процесс настройки SPF-записи проходит на сайте провайдера и состоит из 5 этапов. Последний из них — проверка работоспособности и правильности SPF. Ее можно провести на одном из специальных сервисах:

или в личном аккаунте почтового сервиса Estismail. Зеленая галочка в разделе “Статус” означает, что SPF прописана и внедрена в TXT — запись домена верно:

Поздравляем, теперь Вы можете самостоятельно за несколько минут настроить SPF-запись для своего домена и обеспечить мощную защиту репутации отправителя. Тем не менее, одному лишь SPF не под силу полностью оградить домен от фишинга и спуфинга. Для полной защиты нужно действие трех магов: SPF, DMARC и DKIM. Если хотя бы один из них будет не настроен, то в защите отправляющего домена образуется брешь, через которую спуферы смогут подменить информацию об отправителе. В результате — ваши клиенты от вашего же имени получают спам или вирус, а вы —  ни сном ни духом.  Чтобы избежать такой ситуации — проверьте все записи или обратитесь в нашу службу поддержки. Мы всегда поможем.

Безопасных рассылок и высоких конверсий Вам!

А ваш сайт защищен от спуфинга? SPF простым языком.

Сегодня хочу рассказать вам о таком понятии, как Sender Policy Framework или, сокращенно, SPF.

Прежде всего эта статья будет полезна тем, у кого есть собственный сайт, а особенно тем, кто ведет свои Email-рассылки.

Чтобы понять, для чего все это нужно, начнем с того, что в области электронной почты есть одна большая проблема, которую до появления SPF невозможно было решить.

Суть проблемы в том, что при отправке электронного письма мы можем указать в качестве отправителя любой почтовый ящик.

Так, злоумышленник может купить базу email-адресов какого-то сайта, найти или арендовать smtp-сервер и разослать по этой базе сообщение от имени владельца этого сайта.

Пару лет назад такой случай произошел с моим коллегой.

Предположим, его звали Иван Иванов, а его сайт назывался ivanivanov.ru.

Он уже несколько лет пользовался одним известным сервисом рассылок, назовем его для примера «сервис X» с адресом xservicex.ru, и с помощью него отправлял письма десяткам тысяч своих подписчиков, указывая в качестве обратного адреса ящик [email protected].

В один «прекрасный» день сервис Х был взломан, и базу подписчиков Ивана оттуда украли. Далее по украденной базе была произведена мошенническая рассылка. При этом для рассылки использовались разные спамерские сервера, а в качестве обратного адреса было указано имя Ивана и его e-mail ящик [email protected].

Письмо было составлено от имени Ивана и написано в его стиле. В письме «Иван» предлагал купить все его товары с огромной скидкой. Мошенники даже купили очень похожий домен и разместили на нем продающую страницу с распродажей, на которую и отправляли людей из письма.

SPF у нашего героя настроен не был, поэтому многие письма благополучно попали во Входящие, и люди приняли их за реальные письма от Ивана. Имя отправителя привычное, ящик верный, стиль письма совпадает — как тут заподозришь неладное? Многие подписчики были рады такому щедрому предложению от «Ивана», и оформили заказ, лишившись своих денег. Иван за счет этого взлома сильно потерял в репутации.

Процесс такого обмана называется спуфингом (spoofing от англ. — подмена).

Чтобы бороться с этим явлением был разработан стандарт SPF.

Он позволяет владельцу сайта четко прописать — кому можно отправлять письма от имени его домена, а кому нет. В нашем примере, если бы Иван знал про SPF, он мог бы указать, что только сервис X может слать письма от имени его сайта, а всем остальным серверам это делать запрещено.

Таким образом, даже если бы мошенники начали рассылать письма по его базе от его имени, то их спамерские сервера не прошли бы проверку SPF, и почтовые сервисы скорее всего просто отклонили бы такие письма.

Как работает SPF?

Думаю, вы знаете, что у любого домена есть так называемые DNS-записи, которые доступны всем желающим. В этих записях хранится разная служебная информация, необходимая для правильной работы сайта. Владелец сайта может добавлять, изменять, удалять эти записи. Это обычно делается либо у регистратора домена, либо в панели управления хостинг-провайдера.

Например, у вашего сайта есть А-запись. В ней прописано на сервере с каким IP-адресом живет ваш сайт.

Когда потенциальные клиенты обращаются к вашему сайту по имени (например, site.ru), то браузер сначала
обращается к DNS-серверу и запрашивает значение А-записи, из которой узнает IP-адрес сервера, на котором живет ваш сайт, и уже у этого сервера запрашивает весь HTML-код, картинки, таблицы стилей и т.д.

И таких DNS-записей у сайта может быть много. Значение этих записей у любого сайта можно посмотреть через сервис mxtoolbox.com

Как вы уже поняли, одной из таких служебных записей для сайта является SPF-запись, в которой владелец сайта указывает, кто имеет право слать письма от имени его сайта. 

Чуть позже мы с вами научимся генерировать SFP-записи и прописывать их для вашего домена. А сейчас давайте разберемся, как используют SPF все современные почтовые сервисы.

Любой современный почтовый сервис (Google mail, Яндекс.Почта, Mail.ru и т.д.) при получении письма сначала смотрит на домен ящика отправителя и на сайт (сервер), с которого пришло письмо. Например, письмо пришло с сайта сервиса рассылок xservicex.ru, а в поле отправитель стоит ящик [email protected].

Теперь почтовому сервису надо понять, разрешил ли владелец сайта site.ru отправлять письма от имени его домена сервису xservicex.ru. Для этого почтовый сервис обращается к DNS-серверу и запрашивает у него значение SPF-записи для сайта site.ru, по которой он сможет понять, разрешено ли сайту xservicex.ru слать письма от имени site.ru или нет.

В зависимости от ответа почтовый сервис присвоит письму SPF-статус, который может принимать одно из следующих значений:

— Pass — отправитель сообщения разрешен (согласно анализу SPF-политики).
— Softfail — сообщение не отвечает «жестким» критериям достоверности отправителя, но нельзя и быть уверенным, что отправитель подделан.
— Fail — отправитель подделан.
— Прочие варианты на тот случай, когда у домена нет SPF-записи. Например, None, Neutral, Unknown и т.д.

После того, как письму присвоен SPF-статус, оно передается следующим фильтрам почтового сервиса для дальнейших проверок.

Пример SPF-статуса письма в почтовой службе Gmail:

Среди прочей информации по письму, вы увидите такую строку:

Поэтому очень важно, чтобы у вашего сайта такая запись была, и там были перечислены доверенные отправители. Иначе, почтовому сервису придется действовать вслепую и самому решать, что делать с письмом.

Как составить SPF-запись для вашего сайта?

Возьмем для примера такую SPF-запись:

site.ru. IN TXT «v=spf1 a mx -all»

Разберем ее по частям:

site.ru. — означает, что SPF запись относится к домену site.ru.

IN TXT — означает, что это текстовая запись (это нам пригодится дальше).

v=spf1 — используется первая версия протокола SPF.

a — означает, что мы разрешаем слать письма с сервера, который указан в A-записи домена site.ru. По сути, этим мы разрешаем слать письма с того сервера, на котором и расположен сайт. Эту опцию полезно указать, если движок вашего сайта шлет какие-то письма или вы используете почту от вашего хостинг-провайдера, или, если ведете почтовую рассылку через скрипт, который живет на вашем основном домене. В общем, этот параметр обычно указывается. Если вам надо, наоборот, запретить принимать письма от сервера, указанного в A-записи, то поставьте знак минуса перед параметром -a.

mx — означает, что мы разрешаем слать письма с сервера, который указан в MX-записи для нашего домена. MX-запись указывает на сервер, который занимается обработкой входящей почты для нашего домена. Например, если вы захотите использовать яндекс.почту для создания почтовых ящиков вашего сайта, то в процессе настройки вас попросят добавить в DNS-записи вашего сайта mx-запись с таким значением: mx.yandex.net, которая указывает, что почту для вашего сайта надо пересылать на почтовые сервера яндекса. А когда мы указываем параметр mx в SPF-записи, то этим мы говорим, что разрешаем домену mx.yandex.net отправлять почту от имени нашего домена. 

-all — этим мы говорим почтовым сервисам, что все письма, которые приходят от имени нашего домена с серверов, которые не указаны в нашей SPF-записи, нужно отклонять. Кроме этого, данный параметр может принимать вид ~all — мягкое отклонение, т.е. письмо будет принято, но будет помечено как СПАМ, а также есть вариант ?all — нейтральное отношение, здесь уже почтовый сервер будет действовать на свое усмотрение.

Теперь давайте разберем еще один пример, в котором будет больше параметров:

site.ru. IN TXT «v=spf1 a mx ip4:176.9.92.131 include:_spf.mlsend.com -all»

Из нового здесь появились два момента:

ip4:176.9.92.131 — означает, что мы разрешаем слать письма от имени нашего сайта с сервера с IP-адресом 176.9.92.131. Это может пригодиться во многих ситуациях. Например, если поддомен вашего сайта расположен на другом сервере, но с этого поддомена идет отправка писем, в которых в качестве обратного адреса используется корневой домен. Или, например, если на каком-то сервере находится сразу несколько доменов, с которых вы разрешаете отправку. Чтобы не перечислять их все, достаточно указать лишь IP-адрес сервера, на котором они находятся.

include:_spf.mlsend.com — этой записью мы говорим следующее — все сервера, которые указаны в SPF-записи для домена mlsend.com, также имеют право отправлять письма от имени моего домена. Это обычно используется в тех случаях, когда вы ведете рассылку, используя сторонний сервис рассылок. Т.к. сервисы рассылок шлют письма со многих разных серверов и они у них постоянно меняются, то было бы неудобно указывать все эти сервера в нашей SPF-записи. Для таких случаев гораздо удобнее использовать опцию include, которой мы разрешаем слать письма от имени нашего домена всем серверам, указанным в SPF-записи нашего сервиса рассылок. В данном случае приведен пример для сервиса Mailerlite.

И последний пример, который познакомит нас с еще одним параметром:

site.ru. IN TXT «v=spf1 redirect=site.com -all»

redirect=site.com — это уже не параметр, а так называемый модификатор. Он заменяет SPF-запись для домена site.ru SPF-записью, которая прописана для домена site.com. Это может пригодиться в том случае, если у нас много доменов в разных языковых зонах, а обработкой и отправкой почты для всех этих доменов занимается один сервер. Чтобы нам не прописывать SPF для всех доменов, мы прописываем их только для одного, а для всех остальных прописываем модификатор redirect. Теперь, если нам надо будет что-то изменить в SPF-записи, то нам не надо будет менять ее во всех наших доменах, а достаточно будет поменять в одном. Этот модификатор похож на параметр include, но отличается от него тем, что он просто заменяет всю текущую запись, а include лишь добавляет параметры целевого домена к существующим параметрам.

О других, более редких параметрах и модификаторах SPF-записи, вы можете почитать на официальном сайте.

Таким образом, чтобы составить верную SPF-запись, вам надо определиться с тем, какие сервера имеют право слать почту от имени вашего домена, а затем указать их в качестве параметров.

Самое простое, что вы можете сейчас прописать для защиты вашего сайта от спуфинга, это:

site.ru. IN TXT «v=spf1 a mx -all»

Вместо site.ru. будет ваш домен. Если, например, вы используете Яндекс.почту для создания почтовых ящиков своего домена, то запись нужно расширить до такой:

site.ru. IN TXT «v=spf1 a mx include:_spf.yandex.net -all»

Если вы ведете почтовую рассылку через сторонние сервисы, то уточните у них, какие сервера они используют для отправки вашей рассылки, и пропишите их либо через параметр ip4, либо через include.

Например, если я веду рассылку через сервис MailerLite и при этом для этого домена использую яндекс.почту, то SPF-запись у меня будет выглядеть так:

site.ru. IN TXT «v=spf1 a mx include:_spf.yandex.net include:_spf.mlsend.com -all»

Как настроить SPF для вашего сайта?

Шаг 1. Добавляем новую DNS-запись.
Зайдите в интерфейс добавления новых DNS-записей у вашего регистратора или хостинг-провайдера. Найдите там возможность добавить новую DNS-запись.

Это может выглядеть так:

Шаг 2. Заполняем поля и добавляем запись

В поле Хост укажите @ или название вашего домена с точкой на конце, например site.ru.
Тип записи укажите TXT. В поле Значение пропишите получившуюся у вас SPF-строку в кавычках.

Пример:

Шаг 3. Ждем обновления. Проверяем результат

После добавления записи вы увидите ее в списке ваших DNS-записей.

Это может выглядеть так:

Теперь надо подождать, пока эти изменения станут видны на всех DNS-серверах сети Интернет. Обычно этот процесс занимает от нескольких секунд до 72 часов. Далее можно проверить вашу SPF-запись, через этот сервис:

mxtoolbox.com

Пример проверки:

Учтите, что SPF-запись у домена может быть только одна. Если вы добавите несколько SPF-записей, это будет считаться ошибкой.

Итоговые мысли

SPF — это только первый этап защиты от спуфинга. Это один из параметров, который учитывает почтовый сервис в своей комплексной антиспам-политике при обработке входящей почты. Итоговое решение о том, поместить письмо в папку «Входящие», отправить его в спам или вовсе отклонить, почтовый сервис принимает по совокупности всех параметров, которые он учитывает.

В любом случае, я советую вам настроить SPF-политику для вашего домена. Чем больше людей будет использовать данную технологию, тем она быстрее станет массовой и станет работать гораздо эффективнее.

В следующих статьях мы с вами поговорим о других инструментах защиты от спуфинга таких, как: DKIM и DMARC.

 Загрузка …

Настройка TXT (SPF) записи | SendPulse

Технология Sender Policy Framework (SPF) используется, чтобы снизить риск отправки спама от имени вашего домена.

SPF-запись добавляется на хостинге домена и определяет список серверов, которые могут отправлять письма от имени этого домена, и как обрабатывать письма, которые были отправлены с других серверов.

Как найти SPF-запись в SendPulse аккаунте

Необходимая SPF-запись находится в настройках SMTP сервиса.

Как добавить SPF-запись

Рассмотрим добавление SPF-записи на примере регистратора http://www.nic.ru.

На странице редактирования DNS настроек домена кликните кнопку «Добавить новую запись в указанную позицию» внизу таблицы.

Затем выберите тип записи TXT и кликните «Продолжить».

В параметрах новой TXT записи в поле «Name» укажите полное имя вашего домена с точкой в конце, а в поле «Text» — SPF-запись из настроек SMTP в аккаунте SendPulse.

Сохраните запись. После этого она появится в списке DNS-записей для вашего домена.

Если вы отправляете почту не только с сервиса SendPulse, но и с других серверов, укажите IP-адреса серверов в SPF-записи.

Например: v=spf1 ip4:IP-1 ip4:IP-2 ip4:IP-3 include:mxsmtp.sendpulse.com +a +mx ~all

где IP-1, IP-2, IP-3 — IP-адреса дополнительных серверов.

Как создать текстовую запись вы можете прочитать здесь — для Gmail, здесь — для Yandex, здесь — для Mail.ru

Отправить рассылку

Обновлено: 2019-11-12

Настройка SPF, DKIM, DMARC — Help Mail.ru. Постмастер

SPF-запись

SPF-запись защищает от подделки вашего домена и позволяет предотвратить попадание в спам писем, отправленных с ваших адресов. SPF настраивается для адреса, используемого в envelope-from (SMTP конверте). Подробнее об SPF-записи вы можете прочитать здесь. Для того, чтобы узнать о распространённых заблуждениях относительно SPF и часто встречающихся ошибках при её настройке, прочтите нашу статью.

Чтобы настроить SPF-запись:

1. Перейдите на сайт провайдера, у которого находится DNS-зона управления вашим доменом;
2. Введите логин и пароль для входа в «Панель управления»;
3. Перейдите в раздел управления DNS-зонами необходимого домена;
4. Добавьте новую ТХТ-запись. Пример такой записи: «v=spf1 ip4:165.165.165.0/24 ip4:136.136.136.0/20 a mx ~all»

Некоторые провайдеры ставят кавычки для SPF-записи самостоятельно, поэтому вы можете уточнить необходимость кавычек у вашего хостинг-провайдера или поступить по аналогии с другими ТХТ-записями домена, если они присутствуют.

Если вы не знаете, где находятся настройки SPF-записи у вашего провайдера, воспользуйтесь инструкциями для пользователей biz.mail.ru. Не забудьте заменить содержимое TXT-записи на актуальное для вас.

Постмастер проверяет наличие SPF-записи раз в неделю.

DKIM-подпись

DKIM-подпись позволяет подтвердить, что адрес, указанный в поле «От кого», является реальным адресом отправителя письма, а также повышает «доставляемость» писем. Подробнее о DKIM вы можете прочитать здесь.

Чтобы настроить DKIM-подпись:

1. Сгенерируйте ключевую пару DKIM (приватный и публичный ключи).

2. Поместите приватный ключ в файл в директории с ограниченным доступом на вашем отправляющем сервере. Обратите внимание, почтовый сервер должен иметь доступ к этому файлу.

3. Включите поддержку DKIM в вашем почтовом сервере. В некоторых серверах поддержка встроена, в некоторых может быть реализована с помощью бесплатных программ.

4. Перейдите на сайт  провайдера, у которого находится DNS-зона управления вашим доменом.

5. Введите логин и пароль для входа в «Панель управления».

6. Перейдите в раздел управления DNS-зонами домена.

7. Добавьте новую ТХТ-запись, указав в теге «p» сгенерированный публичный ключ. Помните, что время обновления записи может занимать до 48 часов. Пример TXT-записи: 

8. Некоторые регистраторы ставят кавычки для TXT (SPF и DKIM)-записи самостоятельно, поэтому для надежности впишите или скопируйте ее так, как представлено в инструкции — с кавычками.

Корректность настройки подписи DKIM можно узнать по наличию подписи DKIM-Signature в заголовках письма, а также строчке dkim=pass в заголовке «Authentication-Results».

Пример DKIM-подписи в заголовках письма:

В DKIM-подписи параметр [d] должен совпадать с именем вашего домена, по которому вы хотите просматривать статистику в Постмастере Mail.ru.

Если вы не знаете, как устанавливать подпись в письмо, обратитесь к своему системному администратору или в службу поддержки вашего хостинга.

Без DKIM-подписи просматривать статистику в Постмастере невозможно.

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) — это техническая спецификация, созданная группой организаций для борьбы со спамерами, подделывающими адреса отправителей.

Благодаря настройке DMARC владельцы доменов могут создавать правила обработки писем, которые поступили с доменов, не прошедших авторизацию. Воспользуйтесь нашей статьей  для того, чтобы продумать все этапы настройки политики DMARC заранее.

Подготовка к настройке DMARC

Перед настройкой DMARC необходимо:

1. Настроить SPF-запись;
2. Настроить DKIM-подпись.

Это связано с тем, что технология DMARC использует данные средства. Если отправленное сообщение не прошло проверку DKIM и SPF, то оно не пройдет и DMARC. Если же сообщение успешно прошло хотя бы одну проверку (DKIM или SPF), то и проверку DMARC сообщение пройдет успешно.

Настройка DMARC 

Чтобы настроить политику DMARC:

1. Перейдите на сайт провайдера, у которого находится DNS-зона управления вашим доменом;
2. Введите логин и пароль для входа в «Панель управления»;
3. Перейдите в раздел управления DNS-зонами необходимого домена.
4. Добавьте новую TXT-запись вида _dmarc.example.com (где вместо example.com должен быть ваш домен), соответствующую выбранной политике.

Пример записи: «v=DMARC1;p=none;rua=mailto:[email protected];ruf=mailto:[email protected];fo=s»

Некоторые провайдеры ставят кавычки для TXT-записи самостоятельно. Вы можете уточнить необходимость кавычек у хостинг-провайдера или взять за образец другую ТХТ-запись домена, если она есть.

В TXT-записи можно использовать следующие теги:

Если вы хотите получать отчеты (rua) на домен, который отличается от домена DMARC, необходимо разместить TXT запись для почтового домена специального вида. Например, если домен с DMARC — example.com, а получать отчеты вы хотите на домен test.ru, необходимо в DNS домена test.ru добавить следующую TXT-запись: example.com._report._dmarc.test.ru со значением «v=DMARC1»

Примеры  

1. Отклонять все сообщения, не прошедшие проверку DMARC: «v=DMARC1; p=reject» 
2. Отклонять все сообщения, не прошедшие проверку DMARC, и отправлять все отчеты на ящик [email protected]: «v=DMARC1; p=reject; rua=mailto:[email protected]»
3. 30% сообщений, которые приходят от вашего домена, но не проходят проверки DMARC, помещаются в карантин: «v=DMARC1; p=quarantine; pct=30»

Политика DMARC: «v=DMARC1; p=none» не защищает вас от спуфинга. Используйте ее только как промежуточный этап при настройке DMARC.

Настройка почты на хостинге — как создать и настроить почтовый ящик, spf-запись на корпоративном домене

Как создать корпоративную почту со своим доменом? Чтобы узнать, как создать почтовый ящик на своем домене, воспользуйтесь инструкцией.

Этапы настройки корпоративной почты на домене:

1. Закажите услугу хостинга;
2. Добавьте MX-записи на домене;
3. Создайте почтовый ящик в панели управления хостингом.

Этап 1. Заказ хостинга

Настройка почты на хостинге начинается с заказа услуги хостинга. Если у вас уже есть хостинг, то переходите ко второму этапу.

Этап 2. Добавление MX-записей

MX-запись отвечает за сервер, через который будет работать почта. Пропишите MX-записи для домена, на котором вы установили хостинг.

Этап 3. Создание почтового ящика на хостинге

Как создать почтовый ящик:

1. На странице услуги войдите в Панель управления:

2. Перейдите в раздел «Почтовые домены». Нажмите Создать:

Как сделать почтовый домен

3. Введите имя домена, для которого заводите почту с доменным именем:

4. Перейдите в раздел «Почтовые ящики». Нажмите Создать:

Как настроить почту на своем домене

5. Введите имя почтового ящика и сгенерируйте пароль. В примере создаётся ящик [email protected]. Нажмите Ok:

Готово, вы создали почту со своим доменом бесплатно.

Как добавить SPF-запись для домена

SPF-запись позволяет указать в TXT-записи домена список серверов, которые имеют право отправлять сообщения от имени вашей почты. Она поможет защититься от злоумышленников, которые рассылают СПАМ.

В SPF-записи необходимо указать серверы, с которых могут быть отправлены сообщения. Если сообщения будут отправляться только с одного сервера, то в SPF-записи надо указать IP-адрес этого сервера. Вместо 123.123.123.123 пропишите IP-адрес вашего сервера:

Если сообщения будут отправляться с нескольких серверов, укажите в SPF-записи все остальные IP-адреса:

Как отправлять письма с домашнего компьютера

Чтобы использовать свою почту на сайте на домашнем компьютере, проведите настройку почтового клиента на хостинге.

Как купить доменную почту

Почта на 2domains создается бесплатно, достаточно выполнить все этапы выше.

Значимость SPF / Хабр

Хочу обратить ваше внимание на важную, на мой взгляд, проблему, которой пренебрегают даже самые крупные и инновационные компании мира. Проблема заключается в отсутствии у большинства доменов SPF-записи, которая защищает домен от его несанкционированного использования в электронной почте.
SPF (Sender Policy Framework) представляет из себя текстовую запись в TXT-записи DNS домена. Запись содержит информацию о списке серверов, которые имеют право отправлять письма от имени этого домена и механизм обработки писем, отправленных от других серверов.
Например, SPF-запись «example.com. TXT «v=spf1 +a +mx -all»» говорит о том, что отправлять письма от имени домена «example.com» могут сервера, указанные в A и MX-записях этого домена, а письма, отправленные от других серверов должны быть удалены (Fail).

Важно понимать:

1. SPF-запись не наследуется на поддомены. Для каждого домена третьего (и ниже) уровней необходима своя запись.
2. SPF проверяет только HELO и MAIL FROM поля.

Всю подробную информацию о данной технологии можно найти на сайте проекта «Sender Policy Framework».

Почему это важно?

На текущий момент все продвинутые анти-спам системы используют 3 основных типа анализа писем (и их вариации):

1. Анализ IP-адреса сервера отправителя: его репутация, корректность A и PTR-записей.
2. Анализ SPF/DMARC записей домена и цифровой подписи DKIM.
3. Анализ содержимого: заголовки, тема, текст, ссылки и т.д.

Чтобы успешно пройти анти-спам систему спамеру (или мошеннику) будет необходимо: «чистый ip», красивое письмо и домен без защиты (примеры №1 и №3). Чтобы предотвратить отправку писем от «вашего имени» (фишинг) достаточно лишь добавить соответствующую TXT-запись к домену (пример №2).

Примеры

В качестве примера я отправил 3 простых письма с помощью telnet и SMTP команд. 2 письма покажут работу спам-фильтра SpamAssassin (сервис mail-tester.com), а последнее письмо будет проходить анти-спам фильтр Gmail. Для чистоты экспериментов я использовал «чистый» IP-адрес (найти его было не так и сложно) и текст без ссылок и HTML.

Письмо №1:

Письмо №2:

Письмо №3:

Как видно из результатов, письмо от домена «microsoft.com» не прошло бы анти-спам фильтр, даже если у него идеально чистое содержание. А вот письмо от имени домена «microsoft.ru» прошло проверку и у SpamAssassin и у Gmail, так как оно не защищено.

Советы

1. Перед установкой SPF-записи удостоверьтесь, что учтены все сервера, отправляющие письма в интернет. Не забудьте про web-сервера и другие внешние системы, иначе вы можете потерять часть писем, и тем самым навредить себе и бизнесу.
2. Правильно выбирайте механизм обработки писем (Pass, Fail, SoftFail, Neutral). При безусловной переадресации вашего письма из одной почтовой системы в другую может возникнуть проблема, так как SPF проверяет только последний «хоп».
3. Рекомендуется создавать SPF-записи для всех доменов второго уровня, которые принадлежат вам или вашей компании, даже если вы не отправляете от их имени письма. Для таких доменов желательно использовать простую запись «v=spf1 -all», которая говорит, что никто не можем отправлять письма от этих доменов.
4. Домены третьего уровня защитить можно с помощью wildcard-записи типа «*.example.com. IN TXT «v=spf1 -all»». Но, обратите внимание на то, что wildcard работает только для несуществующих поддоменов. Например, если у вас есть поддомен moscow.example.com с MX-записями, запись «*.example.com. IN TXT «v=spf1 -all»» не будет на нее распространяться. Подробнее описано в статье на Wikipedia и RFC 1034.
   

   Moreover, the wildcard is matched only when a domain does not exist, not just when there are no matching records of the type that has been queried for. Even the definition of «does not exist» as defined in the search algorithm of RFC 1034 section 4.3.2 can result in the wild card not matching cases that one might expect with other types of wildcards.

5. SPF-записи рекомендуется создавать не только для доменов, но и для почтовых серверов, которые занимаются отправкой писем в интернет. Это необходимо, чтобы пройти HELO/EHLO Test принимающего сервера. Стандартная запись: «mx.example.com. IN TXT «v=spf1 a -all»».
6. Если у вас много доменов, которые обслуживаются несколькими основными MX-серверами, то советую использовать механизм «redirect». Например, основной домен «example.com» имеет SPF-запись «v=spf1 +a +mx -all», то остальным доменам (example1.com, example2.com и т.д.), для упрощения обслуживания, можно прописать запись «v=spf1 redirect=example.com».
7. Если у вас много доменов и много почтовых серверов отправителей, распределенных географически и организационно, то можно использовать механизм «include» и отдельную зону «_spf.example.com». Как пример можно посмотреть запись для домена gmail.com – «v=spf1 redirect=_spf.google.com».
8. Кроме защиты своих доменов рекомендуется защитить свою почтовую систему и пользователей, включив проверку SPF/DKIM/DMARC записей на ваших внешних почтовых серверах. Это будет хорошим дополнением даже для таких мощных программно-аппаратных комплексов, как Cisco IronPort.
9. Как только полностью разберетесь с SPF, советую изучить вопрос подписи ваших электронных писем с помощью технологии DKIM и политики DMARC, это существенно увеличит репутацию ваших исходящих писем.

Товарищи айтишники, не подставляйте себя и свою компанию – установите SPF-записи для всех своих доменов и MX-серверов.

Полезные сервисы

Тестирование SPF-записи
Анализ письма анти-спам фильтром SpamAssassin
Много полезных тестов (MX, SPF, Blacklist, DKIM Lookup и т.д.)
Проверка репутации почтовых серверов и доменов
Проверка домена и серверов-отправителей (здесь вы увидите кто отправляет письма от имени вашего домена)
MS Sender ID Framework SPF Record Wizard

Добавление записи SPF в домен

Общий

VPS

Выделенный

SPF, или «Структура политики отправителя», — это запись DNS, которая может помочь предотвратить спам и предотвратить использование вашего адреса электронной почты в качестве прикрытия для спама. Спамеры иногда пытаются подделать адрес отправителя и ответить на электронные письма, чтобы они выглядели так, как будто они исходят с уважаемого адреса. Вы можете воспрепятствовать этой практике, добавив запись SPF. В вашей записи SPF перечислены все серверы, которые могут корректно отправлять почту для вашего доменного имени.Это позволяет получателям электронной почты проверить, что сообщение пришло с допустимого сервера.

Есть два метода добавления записей SPF в ваш Центр управления учетными записями. Существует простой метод, в котором используется предварительно настроенная запись SPF, и более продвинутый метод, позволяющий создать собственную настраиваемую запись SPF. Вы можете найти оба руководства ниже:

Добавление записи SPF в ваш домен (новичок)

Если вы хотите использовать возможности SPF, но не очень знакомы с аспектами записи SPF, вы можете использовать нашу предварительно настроенную запись SPF.

Предварительно настроенная запись SPF разработана на основе типа вашей учетной записи и конфигурации нашего почтового сервера. Большинство клиентов смогут без проблем использовать эту предварительно настроенную запись SPF. Однако, если в вашей учетной записи установлено стороннее программное обеспечение, вы можете выбрать индивидуальную запись SPF для обеспечения совместимости.

Предварительно настроенные записи SPF могут быть изменены без предварительного уведомления в связи с изменениями учетной записи или сервера электронной почты.

Включение предварительно настроенной записи SPF

Чтобы включить предварительно настроенную запись SPF в вашем домене, выполните следующие действия:

1. Войдите в свой Центр управления счетами (ACC)
2. На левой боковой панели щелкните Domains , затем выберите Manage Your Domain Names из раскрывающегося списка
3. Щелкните имя домена, в который требуется добавить запись SPF в
4. На странице «Управление доменом» найдите раздел «Структура политики отправителя (SPF)» и нажмите Изменить параметры SPF.
   На следующей странице отобразится предварительно настроенная запись SPF.
5. Чтобы активировать его, нажмите кнопку Активировать SPF

Это включит запись SPF.

Отключение предварительно настроенной записи SPF

Чтобы отключить предварительно настроенную запись SPF в вашем домене, выполните следующие действия:

1. Войдите в свой Центр управления счетами (ACC)
2. На левой боковой панели щелкните Domains , затем выберите Manage Your Domain Names из раскрывающегося списка
3. Щелкните имя домена, в который требуется добавить запись SPF в
4. На странице «Управление доменом» найдите раздел «Структура политики отправителя (SPF)» и щелкните Изменить параметры SPF
5. Нажмите кнопку Деактивировать SPF

Вариант отказа SPF: жесткий или мягкий отказ

На странице «Настроить запись SPF по умолчанию» есть кнопка для изменения записи SPF для использования жесткого или мягкого сбоя.Эти два параметра называются «квалификаторами» и определяют, насколько строгая запись SPF относится к электронным письмам, не прошедшим проверку SPF. Вот разница:

Жесткий отказ

Если запись SPF использует жесткий сбой, получатели отклонят любое электронное письмо от хостов, не указанных в записи SPF. Это означает, что электронное письмо никогда не будет доставлено полностью и не может быть получено получателем.

Мягкий отказ

Если запись SPF использует мягкий сбой, то сообщения электронной почты с ошибками все равно будут доставляться, но получатель может рассматривать их как нежелательную почту.

Как правило, мягкий отказ является предпочтительным вариантом, поскольку он более мягкий, но при этом защищает от спама и спуфинга электронной почты.

Добавление настраиваемой записи SPF в домен (дополнительно)

1. Войдите в Центр контроля счетов (ACC)
2. Нажмите Домены
3. Нажмите Управляйте своими доменными именами
4. Щелкните имя домена, для которого вы хотите поместить запись SPF на
5. Нажмите Управление настраиваемыми записями DNS
6. Нажмите Добавить записи DNS
7. Рядом с Тип записи щелкните раскрывающийся список и выберите TXT
8. Нажмите Продолжить
9. Рядом с Hostname вы можете ввести конкретное имя хоста или оставить поле пустым, чтобы создать SPF для всего домена

   Имя хоста будет поддоменом основного домена, например ns1 .example.com .

10. Рядом с Text Record введите запись SPF. См. Пример того, как это может выглядеть ниже
11. Нажмите Создать запись

Нарушение синтаксиса SPF. См. Что такое запись SPF? Больше подробностей.

.

Как я могу создать запись SPF для своего домена?

Обзор

Sender Policy Framework (SPF) — это метод борьбы со спамом. По прошествии времени этот протокол будет использоваться как один из стандартных методов борьбы со спамом в Интернете. Запись SPF — это запись TXT, которая является частью файла зоны DNS домена. Запись TXT определяет список авторизованных имен хостов / IP-адресов, с которых может исходить почта для данного доменного имени. После того, как эта запись будет помещена в зону DNS, дальнейшая настройка не требуется, чтобы воспользоваться преимуществами серверов, которые включают проверку SPF в свои системы защиты от спама.Эта запись SPF добавляется так же, как обычная запись A, MX или CNAME.

Авторитетный источник этой информации можно найти здесь: http://www.openspf.net/SPF_Record_Syntax.

Требования

Ваш домен должен использовать (mt) серверы имен:

• NS1.MEDIATEMPLE.NET
• NS2.MEDIATEMPLE.NET

Для получения информации о том, как подтвердить это для вашего домена, см. Эту статью: Выполнение поиска в WHOIS.

ПРОЧИТАЙТЕ МЕНЯ ПЕРВЫЙ

Эта статья предоставлена ​​любезно.(Mt) Media Temple не поддерживает установку, настройку и устранение неполадок пользовательских параметров DNS. Найдите минутку, чтобы ознакомиться с нашим Заявлением о поддержке.

Видео

Посмотрите это видео, чтобы узнать, как создать запись SPF.

Пример записи

В качестве любезности мы придумали универсальную запись SPF, которая должна работать для вас достаточно эффективно.

 v = spf1 включает: spf.mail01.mtsvc.net -all 

Обязательно замените xxx.xxx.xxx.xxx на IP-адрес вашего сервера.

  v = spf1 a mx ip4: xxx.xxx.xxx.xxx -all  

ПРИМЕЧАНИЕ:

Если вы отправляете электронную почту через свои почтовые серверы в Media Temple, а также через другой почтовый сервер (например, почтовый сервер вашего интернет-провайдера в случае ограниченного доступа к порту 25), вы можете добавить механизм «include:» в свою запись SPF, чтобы включить записи SPF для используемых серверов. Например:

  v = spf1 включает: spf.mail01.mtsvc.net включает: adelphia.net -all  

Приведенное выше будет работать, если ваше доменное имя gs-example.com и вы также отправляете почту через почтовые серверы adelphia.net.

Перед тем, как включить вашего интернет-провайдера таким образом, вы должны убедиться, что в предоставляемом вами домене также настроена запись SPF. Вы можете проверить это на http://dnsstuff.com/, http://www.kitterman.com/spf/validate.html или в других сторонних сервисах, выполнив поиск в DNS для TXT. Если вы используете Google Apps для своего домена, см. Следующее руководство по адресу http: // www.google.com/support/a/bin/answer.py?answer=178723

Инструкции

1. Войдите в свой аккаунт-центр.
2. Щелкните домен, к которому вы хотите добавить SPF.

3. Щелкните опцию Edit DNS Zone File в меню DNS & Zone Files.

4. Щелкните + Добавить строку, чтобы создать новую запись. Установите тип TXT и введите свою запись SPF в правом столбце.

     v = spf1 включает: spf.mail01.mtsvc.net -all  

   Обязательно замените xxx.xxx.xxx.xxx на IP-адрес вашего сервера.

     v = spf1 a mx ip4: xxx.xxx.xxx.xxx -all  

5. Щелкните Сохранить, чтобы сохранить изменения.

Вы также можете использовать этот мастер SPF: http://spfwizard.com/.

Прекратить получать поддельные электронные письма и сообщения о возврате

Спам с поддельным (вашим) адресом для ответа называется «спуфингом». Поскольку письмо, похоже, приходит с вашего сервера, жалобы и отзывы от спама часто будут перенаправляться на ваш сервер, а не на фактического спамера.Вы также можете получать часть исходного спама — спама, который, похоже, исходит от вас!

Добавление записи SPF в файл зоны — лучший способ остановить спамеров от использования этого метода с вашим доменом. Запись SPF устранит большую часть получаемых вами возвратов, потому что другие почтовые провайдеры сразу же отклонят письмо, не отправляя возврат на (поддельный) адрес для ответа. Хотя запись SPF не эффективна на 100%, поскольку не все почтовые провайдеры проверяют ее, вы должны заметить резкое уменьшение количества получаемых вами возвратов.

Если вы также получаете оригинальные поддельные электронные письма (которые выглядят как спам, исходящий от вас), вы можете добавить спамера в свой черный список. Вам нужно будет посмотреть заголовок одного из писем со спамом. Ищите самую последнюю строку, которая начинается с Received. Вы хотите проверить IP-адрес или домен, с которого приходит сообщение, а не на него или которое он получает. Добавьте этот IP-адрес или домен в свой черный список в спам-фильтре.

Если вы посмотрите на свой заголовок и обнаружите, что спам на самом деле идет с вашего собственного сервера, вам следует перейти к нашей статье о ресурсах безопасности, так как это может указывать на компромисс.

Активировать SPF фильтрацию входящей почты на DV

Plesk

Включить входящую фильтрацию SPF

Ваш DV может быть настроен на прием сообщений только от отправителей, которые могут пройти различную степень проверки SPF. Это полезно для предотвращения большого количества нежелательных сообщений об ошибках, спама с поддельных адресов электронной почты и прочего беспорядка с автоответчиками.

1. Перейдите в раздел «Управление сервером — Инструменты и настройки» Plesk

2. Войдите в настройки почтового сервера из меню «Почта».

3. Включите опцию Включить защиту от спама SPF.

С этого момента вы можете выбирать между несколькими различными типами режимов проверки SPF.

Вот еще немного информации о различных параметрах фильтрации SPF:

• Параметр «Создавать только заголовки Received-SPF, никогда не блокировать» будет принимать все входящие сообщения независимо от результатов проверки SPF.
• Параметр «Использовать временные уведомления об ошибках при возникновении проблем с поиском в DNS» будет принимать все входящие сообщения, независимо от результатов проверки SPF.Он отправит уведомление об ошибке, если проверка SPF не удалась из-за проблем с поиском DNS.

Параметр

Отклонять почту, когда SPF принимает решение «сбой» (отказать)

(deny) будет отклонять сообщения от отправителей, не авторизованных для использования данного домена. Это было бы хорошим вариантом, если вы заметили большое количество спама с подделкой.
• Параметр «Отклонять почту, когда SPF разрешает сбой» (отклонять), отклоняет сообщения, которые, скорее всего, исходят от отправителей, не имеющих прав на использование данного домена.Это немного более строго, и, возможно, не нужно его активировать. Мы рекомендуем подождать некоторое время с менее строгими настройками, чтобы сначала посмотреть, решит ли это проблему.
• Чтобы отклонять сообщения от отправителей, которые не могут быть идентифицированы системой SPF как авторизованные или не авторизованные, поскольку в домене нет опубликованных записей SPF, выберите параметр «Отклонять почту, когда SPF становится нейтральным». Этот параметр обычно не рекомендуется, поскольку не все домены имеют записи SPF, и вы можете пропустить трафик из законных источников.
• Чтобы отклонять сообщения, не прошедшие проверку SPF по какой-либо причине (например, когда домен отправителя не реализует SPF, а проверка SPF возвращает статус «неизвестно»), выберите параметр «Отклонять почту, если SPF не разрешает ошибку». (отрицать). Такой уровень строгости обычно не рекомендуется.
1. Если вам нужно указать дополнительные правила, которые применяются фильтром нежелательной почты до того, как проверка SPF будет фактически выполнена почтовым сервером, введите нужные правила в поле Локальные правила SPF.Хотя конфигурация на этом уровне выходит за рамки того, что поддерживает (mt) Media Temple, для получения дополнительной информации о правилах SPF посетите: http://tools.ietf.org/html/rfc4408.
2. Чтобы указать правила, которые применяются к доменам, которые не публикуют записи SPF, введите правила в поле «Предполагаемые правила SPF».
3. Если вы хотите указать уведомление, которое возвращается отправителю, когда сообщение отклоняется из-за сбоя SPF, введите его в текстовое поле объяснения SPF. Если ничего не указано, для уведомления будет использоваться текст ошибки возврата по умолчанию.
4. Чтобы сохранить изменения, нажмите «ОК» в нижней части меню.

cPanel

cPanel предоставляет простой интерфейс для создания SPF для защиты исходящей почты. Эти шаги необходимо выполнить для каждого домена, для которого вы хотите включить защиту.

Для записей SPF

1. Войдите в cPanel и выберите «Аутентификация» в меню электронной почты.

2. Прокрутите вниз до раздела SPF и нажмите Включить .

3.Прокрутите вниз и примените новые настройки, нажав Обновить .

Чтобы включить защиту DKIM для входящей почты, повторите эти шаги, но выберите DKIM.

Альтернативные / дополнительные домены

Если вы хотите настроить записи SPF для альтернативного домена, убедитесь, что вы добавляете запись TXT в соответствующую зону. Запись SPF для my-example-domain-2.com не входит в список зоны DNS example.com, а скорее находится в зоне DNS того же домена.Это необходимо сделать для каждого домена, для которого вы хотите использовать SPF. Простая настройка только для основного домена вашего сервера не повлияет на статус SPF других ваших доменных имен на том же сервере.

.

Как добавить запись SPF к вашему доменному имени

Шаг 1 из 6

Сначала вам нужно будет сгенерировать запись, это можно сделать в SPFwizard.

Шаг 2 из 6

После того, как у вас есть запись, вам нужно будет применить ее к своему доменному имени, это делается в панели управления 123 Reg.

В разделе Доменные имена выберите соответствующее доменное имя в раскрывающемся списке и нажмите кнопку Управление .

Шаг 3 из 6

Прокрутите вниз до раздела Advanced Domain Settings и щелкните ссылку Manage DNS (A, MX, CNAME, TXT) .

Шаг 4 из 6

На вкладке Advanced DNS .

Шаг 5 из 6

Выберите TXT / SPF из раскрывающегося списка Тип в разделе Добавить новую запись .

В поле Hostname введите символ @ .

В поле Destination TXT / SPF введите свою запись SPF.

Обратите внимание: Если вы используете электронную почту 123, вам следует использовать следующую запись SPF:

v = spf1 mx a ip4: 94.136.40.163 a: mailex.mailcore.me -all

Шаг 6 из 6

Нажмите кнопку Добавить новую запись , чтобы сохранить новую запись.

Обратите внимание: Некоторые пользователи могут захотеть добавить несколько записей SPF к своему доменному имени. Мы не рекомендуем добавлять несколько записей SPF, а вместо этого предлагаем объединить записи SPF в одну.

.

Как настроить запись DNS SPF (структура политики отправителя)

Защитите свою репутацию электронной почты и борйтесь с подделкой электронной почты, установив запись структуры политики отправителя (SPF). Это тип DNS-записи, которая уведомляет почтовый хост получателя, какие почтовые серверы уполномочены отправлять электронную почту с вашего доменного имени, что значительно затрудняет подделку вашего адреса электронной почты, пытаясь выдать себя за вас.

В этой статье рассказывается, что вам нужно знать о записях SPF и о том, как их можно реализовать в Bluehost для общего и облачного хостинга.

---

---

Использование записей SPF с общим и облачным хостингом

Устаревшие учетные записи

Каждый хост использует собственный набор правил фильтрации спама для своих серверов входящей почты. Это означает, что в зависимости от правил, один сервер исходящей почты может быть лучше для доставки почты на хост XYZ, а другой сервер лучше для доставки почты на хост ABC. Поскольку мы хотим, чтобы ваши показатели доставки были как можно более высокими, мы используем целую сеть серверов для отправки почты, чтобы наша система могла выбрать почтовый сервер, наиболее подходящий для отправки сообщения в конкретное место назначения.

Чтобы это работало, мы ведем список утвержденных серверов и IP-адресов в записи SPF на bluehost.com, которая затем включается в запись SPF по умолчанию для каждого домена в наших планах общего или облачного хостинга. Запись по умолчанию выглядит так:

v = spf1 a mx ptr включает: bluehost.com? Все

Запись состоит из трех частей:

1. v = spf1 идентифицирует запись TXT как запись SPF.
2. mx ptr включает: bluehost.com указывает утвержденный список исходящих серверов.
   • Если у вас есть сервер, отличный от Bluehost, с которого вы хотите разрешить отправку почты, вы можете добавить его сюда. Также сюда входит список одобренных исходящих серверов Bluehost. ( включает: bluehost.com )
   • Сторонние инструменты электронного маркетинга часто требуют, чтобы вы обновили свою запись SPF для соответствия их серверам.
3. ? Все определяют, как хосты должны относиться к серверам, которых нет в списке.Здесь вы можете использовать несколько модификаторов:
   • -all «Жесткий сбой» означает отклонение всей почты, которая не входит в разрешенный список.
   • ~ все «Мягкий сбой» означает принятие почты, не входящей в разрешенный список, но к ней следует относиться более внимательно.
   • — все «Нейтрально» означает принимать всю почту; нет политики для серверов, которых нет в списке. Это значение по умолчанию.

Rock Счета

Эти учетные записи не используют unifiedlayer.com прокси IP в качестве сервера исходящей электронной почты. Вместо этого учетные записи Rock используют IP-адреса прокси websitewelcome.com в качестве сервера исходящей электронной почты. Поскольку электронная почта не отправляется с IP-адресов прокси-сервера unifiedlayer.com, запись SPF должна быть настроена с использованием websitewelcome.com вместо URL-адресов для конкретных брендов. Например:

v = spf1 a mx include: spf.websitewelcome.com? Все

Запись состоит из трех частей:

1. v = spf1 идентифицирует запись TXT как запись SPF.
2. a mx включает: spf.websitewelcome.com указывает утвержденный список исходящих серверов.
   • Если у вас есть сервер, отличный от Bluehost, с которого вы хотите разрешить отправку почты, вы можете добавить его сюда. Также сюда входит список одобренных исходящих серверов Bluehost. ( включает: spf.websitewelcome.com )
   • Сторонние маркетинговые инструменты электронной почты часто требуют, чтобы вы обновили свою запись SPF для соответствия их серверам.
3. ? Все определяют, как хосты должны относиться к серверам, которых нет в списке.Здесь вы можете использовать несколько модификаторов:
   • -all «Жесткий сбой» означает отклонение всей почты, которая не входит в разрешенный список.
   • ~ все «Мягкий сбой» означает принятие почты, не входящей в разрешенный список, но к ней следует относиться более внимательно.
   • — все «Нейтрально» означает принимать всю почту; нет политики для серверов, которых нет в списке. Это значение по умолчанию.

Настройка записей SPF

— все — это настройка по умолчанию, поскольку мы не знаем, будете ли вы использовать другую почтовую службу, кроме Bluehost, с вашим доменным именем.Для более подробного изучения синтаксиса и механизмов SPF см. Open-spf.org.

Если вы используете другой хост для отправки электронной почты для своего домена, настройте запись SPF, добавив дополнительные серверы и IP-адреса во вторую часть записи. И если вы хотите сделать свою запись более строгой, чтобы защитить домен от подделки электронной почты, настройте политику на «все».

Например, если вы используете Bluehost только для отправки электронной почты из своего домена и хотите сделать политику отправки как можно более строгой, мы рекомендуем использовать эту запись SPF:

  v = spf1 и mx ptr включают: Bluehost.com -all  

Эта запись разрешает серверу вашего веб-сайта и списку серверов исходящей почты Bluehost отправлять электронную почту. Все остальные серверы исходящей почты неавторизованы. Чтобы добавить новую запись SPF к вашему доменному имени, выполните следующие действия.

Добавить запись SPF

записи SPF добавляются в ваш файл зоны как записи TXT. Имейте в виду, что по умолчанию Bluehost добавляет запись SPF в файл зоны для каждого домена; поэтому, если вы хотите добавить еще одну запись, лучше всего удалить запись по умолчанию из вашей cPanel.

1. Войдите в свою панель управления Bluehost.
2. Перейдите в меню Domains вверху и щелкните подменю Zone Editor .
3. Выберите свое доменное имя из раскрывающегося списка.
4. Если вы удаляете существующую запись SPF, прокрутите вниз, чтобы найти ее в разделе записи TXT, и нажмите Удалить .
5. Чтобы добавить новую запись SPF, введите эту информацию в поле Добавить запись DNS в верхней части редактора зоны:
   • Имя: Введите свое доменное имя (без www)
   • TTL: 14400
   • Тип: TXT
   • Значение TXT: Здесь вы должны вставить новую запись SPF.
6. Щелкните Добавить запись .

Готово!

.

No related posts.