SPF и Sender-ID
Безусловно, о SPF и Sender ID написано всё, что можно и нельзя. Однако постоянно натыкаюсь на непонимание либо ограниченное понимание этих технологий, и, соответственно, ограниченное применение.
Приведу несколько зон для понимания:
nslookup -type=ANY novgaro.ru novgaro.ru nameserver = ns.natm.ru novgaro.ru nameserver = ns.novgaro.ru ns.natm.ru internet address = 213.148.160.1 ns.novgaro.ru internet address = 213.148.164.198 ns.novgaro.ru text = "v=spf1 -all" novgaro.ru internet address = 213.148.164.198 novgaro.ru primary name server = ns.novgaro.ru responsible mail addr = hostmaster.novgaro.ru serial = 2010092001 refresh = 7200 (2 hours) retry = 120 (2 mins) expire = 1209600 (14 days) default TTL = 3600 (1 hour) hostmaster.novgaro.ru RP mailbox = hostmaster.novgaro.ru text location = hostmaster.novgaro.ru hostmaster.novgaro.ru text = "IT department of GARO group." "+7 (999) 9999999" "hostmaster@novgaro.ru" novgaro.ru text = "v=spf1 redirect=_spf.novgaro.ru" novgaro.ru text = "spf2.0/mfrom,pra redirect=_spf.novgaro.ru" novgaro.ru MX preference = 10, mail exchanger = mx.novgaro.ru mx.novgaro.ru internet address = 213.148.164.198 mx.novgaro.ru text = "v=spf1 +a -all" www.novgaro.ru internet address = 188.120.32.245 www.novgaro.ru text = "v=spf1 -all"nslookup -type=ANY _spf.novgaro.ru _spf.novgaro.ru nameserver = ns.novgaro.ru ns.novgaro.ru internet address = 213.148.164.198 _spf.novgaro.ru primary name server = ns.novgaro.ru responsible mail addr = hostmaster.novgaro.ru serial = 2010081701 refresh = 7200 (2 hours) retry = 600 (10 mins) expire = 1209600 (14 days) default TTL = 3600 (1 hour) _spf.novgaro.ru text = "v=spf1 +mx:novgaro.ru +include:bounces.spamcop.net +include:abuse.net -all exp=explain._spf.novgaro.ru." _spf.novgaro.ru text = "spf2.0/mfrom,pra +mx:novgaro.ru +include:bounces.spamcop.net +include:abuse.net -all exp=explain._spf.novgaro.ru." explain._spf.novgaro.ru text = "For sender %{s} server %{h} (%{p} [%{i}]) - is illegal MTA. Checked by %{r}. Please, contact postmaster@novgaro.ru for resolving this problem."Обращу внимание только на те моменты, которые регулярно вызывают недопонимание:
- Правило +mx в политиках требует указания после : не FQDN сервера, а ДОМЕНА, mx сервера которых (в соответствии с mx записями) и будут соответствовать правилу
- SPF политика применяется не только при проверке глагола MAIL FROM, но и при проверке глагола EHLO (HELO). Поэтому прописывать политику SPF следует не только для домена, но и для того FQDN, которым будет представляться сервер.
- Сервер в HELO (EHLO) предложении обязан представиться действительным FQDN, который, кроме всего прочего, будет возвращён на RDNS запрос по ip адресу сервера
- И для всех A записей следует по-хорошему определять политику v=spf1 -all, указывая, что от их имени SMTP сессий быть не может. Массу получал спама с @www.domain доменов, и даже с @ns.domain.
- И в конце концов, указывайте в SOA записи действительный почтовый адрес (или действительную RP запись с действительным адресом). Речь идёт о RP и TXT записи hostmaster.domain, в данном примере. В 30% случаях нет никакой возможности связаться с администраторами домена по координатам из SOA записи! По этой теме написал отдельную статью
Если будет интерес, добавлю необходимые ссылки на RFC в этот пост.
RSS комментарии
Обратная ссылка