В этой статье я предоставлю Вам некоторые сведения о SPF — Sender Policy Framework (структура политики отправителя) и об её применении. Ряд статистических исследований сообщают, что примерно 75% всего трафика электронной почты(e-mail traffic)-это спам, иногда называемый UCE (Unsolicited Commercial Email-незапрашиваемая коммерческая электронная почта). Для борьбы с этой угрозой некоторые вендоры развивают решения против спама. Одно из решений-это SPF. Что такое SPF? SPF-это решение для борьбы против подделки email-адресов. SPF упрощает распознавание почты, содержащей спам, вирусы и черви(саморазмножающиеся вирусы).
Какие проблемы с e-mail и SMTP?
SMTP был разработан в те времена, когда существовало немного клиентов и серверов. SMTP содержит очень мало средств безопасности. Изначально любой сервер SMTP должен бы принимать почту от кого угодно и для кого угодно — это называется открытой ретрансляцией (open relay). Это не было проблемой в ранние дни Internet-а, но некоторое время назад это стало реальной угрозой. Сегодня открытая ретрансляция больше не является проблемой для ведущих компаний, потому что администраторы сделали свою работу и закрыли открытые ретрансляции. Если появляются какие-нибудь открытые ретрансляции, то они будут относительно быстро внесены в списки Open Relay blocklists(списки блокировки), такие как http://ordb.org и многие другие.
Важнейшая проблема сегодня-это почта, которая корректно адресована на допустимые почтовые адреса, но приходит из сомнительных источников (от спамеров).
Что такое SPF?
Sender Policy Framework (SPF), ранее называвшаяся Sender Permitted From(разрешённый отправитель), это расширение стандарта SMTP. SPF упрощает противодействие большинству поддельных адресов в электронной почте, а это помогает в борьбе со спамом. Комбинация также называется SMTP+SPF.
Вы можете распознать защищённые SPF домены по наличию следующего логотипа:
SPF первоначально была разработана Менгом Уэнгом(Meng Weng) из POBOX. Вы можете прочитать больше о POBOX здесь.
POBOX и Microsoft скомбинировали SPF и решение Microsoft под названием Sender ID, получившуюся спецификацию назвали Submitter Optimization to Sender ID Framework.
SIDF отражает слияние многочисленных стандартов и вводится Интернетом и коммуникационными сообществами…
- SPF Менга Уэнга из pobox.com
- Microsoft Caller ID для электронной почты
Как работает SPF?
Принцип работы SPF понять просто. «Internet» использует DNS (Domain Name System-система имён доменов) для преобразования имён доменов(Domain Names) (например, www.msexchange.org в IP адреса. DNS также используется для прямых запросов к различным сервисам, таким как e-mail (электронная почта) и Web сервера. Для каждого домена по всему миру должна существовать запись MX (Mail Exchanger-почтовый обмениватель). Запись MX сообщает отправителю электронной почты, где расположен сервер назначения для приёма почты.
SPF опубликовывает «обратные MX»-записи в DNS, которые сообщают отправителю почты, какие машины посылают почту из домена.
Получатель электронной почты может теперь проверить эти записи и убедиться, что почта приходит от «пользующегося доверием(trusted)» отправителя из этого домена.
Эти «обратные MX»-записи могут быть легко изданы в DNS. Требуется всего одна строка в DNS, чтобы выполнить все требования. Я приведу Вам пример далее в этой статье.
SPF действует на уровне транзакций SMTP и требует самое большее трёх блоков информации:
- MAIL FROM(почта от): параметр входящей почты
- Параметры HELO или EHLO рассылающего SMTP сервера (используется для Mailer-Deamon bounces, которые посылают письма с пустым полем MAIL FROM)
- IP-адрес рассылающего SMTP сервера
Выгоды от использования SPF
SMTP без SPF позволяет любому компьютеру посылать запросы электронной почты, могущие быть от кого угодно, что облегчает для спамеров рассылку email с поддельных адресов.
Из-за этого проследить, с какой системы приходит спам, становится очень трудно. С другой стороны, для спамеров очень просто фальсифицировать их рассылочные адреса, поэтому получатель доверяет этим адресам e-mail.
Сейчас наступило время SPF. SPF позволяет администратору Internet домена определить, какие машины авторизованы для отправки e-mail из этого домена.
SPF затрудняет спамерам рассылку спама, потому что если они просто подделывают адрес «От» из адреса, который осуществляет SPF, то получатели, которые осуществляют SPF, проигнорируют эту электронную почту.
SPF предотвращает подделку спамерами имён доменов, даваемых в «От»-адресах электронной почты. Но если спамер имеет законный доступ в этот домен или он является собственником домена, то он может рассылать электронную почту.
Это реальная проблема, так как некоторые эксперты ожидают массового роста регистраций односторонних доменов для спамеров, что обходит SPF и другие методы.
SPF в DNS
Включить записи SPF в DNS очень просто.
Запись SPF — это простая строка(точка входа) TXT в базе данных DNS каждого домена. TXT-точки входа являются стандартными типами записей в DNS с тех пор, как DNS была разработана.
SPF имеет набор механизмов, определённых в проекте стандарта SPF; вообще SPF такая гибкая и расширяемая, что новые механизмы могут быть включены без переписывания всего стандарта.
Наиболее широко используемым механизмом для определения сервера e-mail указанного домена будет запись ’MX’ (Mail Exchanger), которая объявляет сервер предназначенным для приёма электронной почты Вашего домена.
Запись ’PTR’ (Указатель) инструктирует приёмник, чтобы тот проверил имя домена рассылающего хоста через DNS и убедился, что эта запись соответствует проверяемому имени домена. Если есть соответствие, то эта электронная почта из допустимого источника, но если его нет, то это подделка. Записи ’PTR’ используются в Reverse Lookup zones(зоны обратного поиска).
Запись ’A’ (Хост(Host)) позволяет Вам определить, что какой-то машине с адресной записью в базе данных DNS, которая соответствует Вашему домену, позволено посылать электронную почту.
Это немного отличается от механизма PTR, потому что не требуется специальная запись PTR DNS, вместо этого выполняются дополнительные исследования.
Таким образом, ключевая проблема в SPF-это спецификация для новой информации DNS, которую домены устанавливают, а получатели используют. Точные спецификации могут изменяться(текущая спецификация от 04/25/2004), вот один пример:
; зональный фрагмент файла(zone file fragment) для msexchange.org
IN MX 10 mail.msexchange.org.
.......
mail(почта) IN A 192.168.1.2
; SPF entries(точки входа)
; domain(домен) SPF
Msexchange.org. IN TXT "v=spf1 mx -all"
; mail host(почтовый хост) SPF
mail(почта) IN TXT "v=spf1 a -all"
Рис. 2: точки входа SPF в DNS(в скобках пояснения)
msexchange.org IN TXT "v=spf1 mx -all""v=""mx""ptr""-all"Определены следующие методы:
A — если имя домена имеет запись A, соответствующую адресу отправителя, то будет соответствие.
MX — если имя домена имеет запись MX, разрешённую адресу отправителя, то будет соответствие.
PTR — если отправитель reverse-resolves к конечной области в имени домена, есть соответствие.
IP4 — если отправитель в допустимом диапазоне IPv4, есть соответствие.
IP6 — если отправитель в допустимом диапазоне IPv6, есть соответствие.
EXISTS — если данный домен разрешён, есть соответствие.
Для получения дополнительной информации о конфигурации SPF DNS просмотрите следующую статью.
Распределение записей SPF в DNS
SPF использует функциональные возможности DNS для распределения записей SPF в иерархиях DNS. Записи SPF будут кэшироваться несколькими провайдерами Интернет. Это уменьшает требуемую пропускную способность для запросов SPF в DNS.
Как опубликовать запись SPF
Публикация(Publishing) записей — это первый шаг в использовании SPF. На сегодняшний день зарегистрировано более 8.000 доменов.
Способ регистрации зависит от размера Вашей организации. POBOX рекомендует следующее:
Если Ваша организация:
- посылает почту с не более чем 5 серверов,
- не имеет большого штата технических специалистов, или
- не критична к потерям почты,
то самопубликация(Self-publishing)-это лучший выбор для Вас, используйте быстрый и простой мастер. На следующем рисунке Вам приведён пример этого мастера:
Если Ваша организация:
- нуждается в комплексной рассылке,
- рассылает много почты, или
- входит в список компаний Fortune 1000,
то Вы можете получить пользу от SPF-сертификации или обратитесь за консультацией. Для получения большей информации зайдите на вебсайт POBOX http://spf.pobox.com.
Прохождение почты
Следующий рисунок показывает прохождение почты в среде SPF:
Что делать с неподдерживаемыми системами сообщений?
В то время как я пишу эту статью, системы обмена сообщениями, такие как Microsoft Exchange и Lotus Notes, не поддерживают SPF.
Пока такие вендоры, как IBM и Microsoft не поддерживают SPF, можно установить MTA, допускающую SPF, перед Вашей неподдерживаемой системой. Едиственное, что Вам придётся сделать, это перенаправить поток почты, чтобы вся входящая почта посылалась в MTA, знающую SPF. Эта MTA проверит электронную почту и отправит её во внутреннюю почтовую систему.
Прблемы SPF
SPF прерывает отправление SMTP, если MTA отправляет кому-нибудь электронную почту без изменения адреса «от». Одним из решений этой проблемы является методика под названием Sender Rewriting Scheme(схема перезаписи отправителя) (SRS). SRS-это механизм для перезаписи адреса отправителя, при этом почта отправляется таким способом, что рассылка продолжает работать в пределах выполнения SPF. Узнайте больше о SRS здесь.
Если спамер имеет законный доступ в этот домен или он является собственником домена, то он может произвольно рассылать электронную почту. Это реальная проблема, так как некоторые эксперты ожидают массового роста регистраций односторонних доменов для спамеров, что обходит SPF и другие методы. Но это не является проблемой относительно выполнения SPF — это проблема вообще.
Состояние стандартизации
Пока я пишу эту статью, SPF не является стандартом IETF, но это одно из решений с наилучшими шансами на то, чтобы стать стандартом. Есть ещё несколько инструментов, таких как Microsoft Sender ID, Yahoo DomainKeys и RMX. Другим обнадёживающим решением было MARID, но 09/23/2004 рабочая группа MARID прекратила работу из-за разногласий по поводу, какие будут использованы методики и типы записей.
MTA знающие SPF
Плагины для MTA могут быть найдены здесь. Там много плагинов к MTA для хорошо известных почтовых серверов, таких как EXIM, Postfix, Windows 2000 SMTP.
Вендоры антиспама и MTA, которые поддерживают SPF
Существуют несколько вендоров антиспама и MTA, которые поддерживают SPF. Вот некоторые из них: Brightmail, Ciphertrust, Communigate Pro, Declude, IronPort, MailArmory, MailFrontier, Penguin Software, Sophos и Symantec.
Несколько хорошо известных имён, защищённых SPF
Пока я пишу эту статью, следующие «Big Players»(крупные компании) были защищены SPF:
AOL.com, Altavista.com, DynDNS.org, eOnline.com, Google.com, GNU.org, LiveJournal.com, OReilly.com, SAP.com, Spamhaus.org, Symantec.com, Ticketmaster.com и w3.org
Как Вы можете видеть на следующем рисунке, число защищённых SPF доменов растёт.
Заключение
SPF имеет хорошие шансы на то, чтобы стать стандартом IETF. SPF не сможет полностью уничтожить спам, но это мощное решение для борьбы со спамом.
http://www.msexchange.org