Защита от спуфинга с помощью записей SPF

Защита от писем с поддельными адресами отправителей из вашего домена

Спамеры могут рассылать нежелательные письма якобы от отправителей из вашего домена. Это называется спуфингом. Для его предотвращения используется технология Sender Policy Framework (SPF). Добавление записи SPF на сайте регистратора домена позволяет указать, какие почтовые серверы могут отправлять почту из вашего домена.

Если вы приобрели домен у партнера Google, например GoDaddy.com, eNom.com или DomainDiscount24.com, при регистрации аккаунта G Suite, вам не нужно добавлять запись SPF. С подробной информацией можно ознакомиться в статье Настройки на сайте регистратора домена.

Как добавить запись TXT SPF на сайте регистратора домена

У вашего регистратора домена хранятся настройки, представляющие собой текстовые записи DNS. Они позволяют направлять интернет-трафик в ваш домен. Запись TXT SPF определяет почтовые серверы, которым разрешено отправлять электронную почту из домена. Если письмо отправлено с сервера, которого нет в записи, сервер получателя может классифицировать его как спам.

Примечание. В домене может использоваться только одна запись SPF, но она может включать несколько серверов. Подробная информация приведена в разделе Как добавить в запись SPF несколько серверов.

  1. Войдите в аккаунт своего домена на сайте регистратора (не в консоли администратора Google).
  2. Перейдите на страницу, где можно обновить записи DNS.
    Эта страница может называться DNS management (Управление DNS), Name server management (Управление серверами доменных имен) или Advanced settings (Расширенные настройки).
  3. Найдите записи TXT и проверьте, есть ли среди них запись SPF.
    Она начинается с "v=spf1".
  4. Если в домене есть запись SPF, удалите ее. В противном случае переходите к шагу 5.
  5. Создайте запись TXT с указанными ниже значениями.
    • Введите в поле Name/Host/Alias (Имя/хост/псевдоним) знак @ или оставьте его пустым.
      Верное значение может быть указано в других записях DNS для вашего домена.
    • В поле Time to Live (TTL) (Время жизни) введите 3600 или оставьте значение по умолчанию.
    • В поле Value/Answer/Destination (Значение/ответ/назначение) введите v=spf1 include:_spf.google.com ~all.
  6. Сохраните изменения.

Новая запись SPF начнет действовать в течение 48 часов.

Как управлять записью SPF

Развернуть все  |  Свернуть все

Как проверить запись SPF
Запись SPF можно проверить с помощью приложения "Проверка MX", которое входит в Набор инструментов G Suite.
  1. Откройте Набор инструментов G Suite.
  2. Введите доменное имя.
  3. Нажмите Начать проверку.
  4. После ее окончания нажмите Диапазоны действующих адресов SPF.
  5. Проверьте результаты.
    Среди них должны быть следующие:
    • _spf.google.com
    • _netblocks.google.com и несколько IP-адресов
    • _netblocks2.google.com и несколько IP-адресов
    • _netblocks3.google.com и несколько IP-адресов
Как добавить в запись SPF несколько серверов
В домене может быть только одна запись SPF, но в нее можно включить все свои почтовые серверы. Например, если вы настроили шлюз исходящей почты, запись SPF будет содержать адрес сервера Gmail и адрес SMTP-сервера этого шлюза.
Чтобы добавить почтовый сервер в существующую запись SPF, введите перед аргументом ~all IP-адрес этого сервера в формате ip4:адрес или ip6:адрес, как показано в этом примере:
v=spf1 ip4:172.16.254.1 include:_spf.google.com ~all
Чтобы добавить домены почтового сервера, используйте для каждого из них выражение include. Например:
v=spf1 include:serverdomain.com include:_spf.google.com ~all

Статьи по теме

Как управлять механизмами и квалификаторами
Механизмы записи SPF определяют серверы, которым разрешено отправлять электронную почту от имени домена. Каждый механизм в записи оценивается слева направо.
Вот пример записи SPF:
v=spf1 ip4:172.16.254.1 include:_spf.google.com ~all
IP-адреса, которым разрешено отправлять электронную почту от имени домена, определяются следующими механизмами:
  • a
  • mx
  • ip4
  • ip6
  • include
  • all

Если сервер не соответствует одному из механизмов в записи SPF, то необходимость проверки SPF определяется механизмом all

Чтобы определить, как электронные письма будут проходить проверку SPF, в записи SPF можно добавить к механизмам квалификаторы.
Квалификатор Описание
Допуск (+) Письмо с сервера, который соответствует механизму с квалификатором "+" (или без квалификатора), пройдет проверку SPF. Получатель должен принять это письмо.
Отказ (-) Письмо с сервера, который соответствует механизму с квалификатором "-", не пройдет проверку SPF. Получатель должен отклонить это письмо.
Неполный отказ (~) Письмо с сервера, который соответствует механизму с квалификатором "~", пройдет проверку SPF, но будет рассматриваться как подозрительное.
Нейтральный (?) Механизмы с квалификатором "?" не влияют на прохождение проверки SPF.
Ограничение числа DNS-запросов и проверок SPF
Максимально допустимое количество DNS-запросов для одной записи SPF равно 10. При этом также учитываются вложенные запросы. После выполнения 10 запросов дальнейшие механизмы рассматриваются как недействительные, так что проверка SPF для них не выполняется.
Проверить количество запросов для записи SPF можно с помощью приложения "Проверка MX".

Механизмы и модификаторы записи SPF

С помощью механизмов и модификаторов, используемых в записи SPF, можно поддерживать количество DNS-запросов ниже 10.
Учитываются в ограничении на количество запросов Не учитываются в ограничении на количество запросов
  • a
  • exists
  • include
  • mx
  • ptr
  • require
  • all
  • exp
  • ip4
  • ip6

 

Вот несколько способов уменьшить количество запросов в записи SPF:

  • Удалите лишние выражения include.
  • По возможности используйте вместо выражения include механизм ip4 или ip6.
  • Не используйте механизм ptr. Он генерирует много DNS-запросов.
  • Удалите повторяющиеся механизмы или механизмы, которые относятся к одному и тому же домену.
  • Указывайте только домены, активно использующиеся для отправки писем.
  • Удалите все выражения include с переадресацией на записи SPF партнеров, которые больше не отправляют письма из вашего домена.

Статьи по теме

Как использовать SPF с DKIM и DMARC
Помимо SPF, рекомендуем использовать проверки DomainKeys Identified Mail (DKIM) и Domain-based Message Authentication, Reporting & Conformance (DMARC).
  • SPF определяет серверы, которые могут отправлять почту от имени домена.
  • DKIM позволяет предотвратить изменение сообщения после отправки.
  • DMARC позволяет определить, что делать с подозрительными письмами.

Статьи по теме

 Статьи по теме

Эта информация оказалась полезной?
Как можно улучшить эту статью?