Статья размещена автором Бетке Сергей Сергеевич

SPF и Sender-ID

Безусловно, о SPF и Sender ID написано всё, что можно и нельзя. Однако постоянно натыкаюсь на непонимание либо ограниченное понимание этих технологий, и, соответственно, ограниченное применение.

Приведу несколько зон для понимания:

nslookup -type=ANY novgaro.ru
novgaro.ru      nameserver = ns.natm.ru
novgaro.ru      nameserver = ns.novgaro.ru
ns.natm.ru      internet address = 213.148.160.1
ns.novgaro.ru   internet address = 213.148.164.198
ns.novgaro.ru   text = "v=spf1 -all"
novgaro.ru      internet address = 213.148.164.198
novgaro.ru
        primary name server = ns.novgaro.ru
        responsible mail addr = hostmaster.novgaro.ru
        serial  = 2010092001
        refresh = 7200 (2 hours)
        retry   = 120 (2 mins)
        expire  = 1209600 (14 days)
        default TTL = 3600 (1 hour)
hostmaster.novgaro.ru
        RP mailbox = hostmaster.novgaro.ru
        text location = hostmaster.novgaro.ru
hostmaster.novgaro.ru   text =
        "IT department of GARO group."
        "+7 (999) 9999999"
        "hostmaster@novgaro.ru"
novgaro.ru      text = "v=spf1 redirect=_spf.novgaro.ru"
novgaro.ru      text = "spf2.0/mfrom,pra redirect=_spf.novgaro.ru"
novgaro.ru      MX preference = 10, mail exchanger = mx.novgaro.ru
mx.novgaro.ru   internet address = 213.148.164.198
mx.novgaro.ru   text = "v=spf1 +a -all"
www.novgaro.ru  internet address = 188.120.32.245
www.novgaro.ru  text = "v=spf1 -all"
nslookup -type=ANY _spf.novgaro.ru
_spf.novgaro.ru nameserver = ns.novgaro.ru
ns.novgaro.ru   internet address = 213.148.164.198
_spf.novgaro.ru
        primary name server = ns.novgaro.ru
        responsible mail addr = hostmaster.novgaro.ru
        serial  = 2010081701
        refresh = 7200 (2 hours)
        retry   = 600 (10 mins)
        expire  = 1209600 (14 days)
        default TTL = 3600 (1 hour)
_spf.novgaro.ru text = "v=spf1 +mx:novgaro.ru +include:bounces.spamcop.net +include:abuse.net -all exp=explain._spf.novgaro.ru."
_spf.novgaro.ru text = "spf2.0/mfrom,pra +mx:novgaro.ru +include:bounces.spamcop.net +include:abuse.net -all exp=explain._spf.novgaro.ru."
explain._spf.novgaro.ru text = "For sender %{s} server %{h} (%{p} [%{i}]) - is illegal MTA. Checked by %{r}. Please, contact postmaster@novgaro.ru for resolving this problem."

Обращу внимание только на те моменты, которые регулярно вызывают недопонимание:

  • Правило +mx в политиках требует указания после : не FQDN сервера, а ДОМЕНА, mx сервера которых (в соответствии с mx записями) и будут соответствовать правилу
  • SPF политика применяется не только при проверке глагола MAIL FROM, но и при проверке глагола EHLO (HELO). Поэтому прописывать политику SPF следует не только для домена, но и для того FQDN, которым будет представляться сервер.
  • Сервер в HELO (EHLO) предложении обязан представиться действительным FQDN, который, кроме всего прочего, будет возвращён на RDNS запрос по ip адресу сервера
  • И для всех A записей следует по-хорошему определять политику v=spf1 -all, указывая, что от их имени SMTP сессий быть не может. Массу получал спама с @www.domain доменов, и даже с @ns.domain.
  • И в конце концов, указывайте в SOA записи действительный почтовый адрес (или действительную RP запись с действительным адресом). Речь идёт о RP и TXT записи hostmaster.domain, в данном примере. В 30% случаях нет никакой возможности связаться с администраторами домена по координатам из SOA записи! По этой теме написал отдельную статью

Если будет интерес, добавлю необходимые ссылки на RFC в этот пост.

Опубликовать комментарий

XHTML: Вы можете использовать следующие HTML теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Tags Связь с комментариями статьи:
RSS комментарии
Обратная ссылка