Печать
Категория: Network
Просмотров: 3159

Отличная статья и комментарии к ней относительно заблуждений и правильного использования SFP (Sender Policy Framework) записи.

Оригинал тут https://habrahabr.ru/company/mailru/blog/338700/

 

Выводы:

Обязательно создайте политику для всех MX- и, желательно, A-записей.

Добавьте SPF-политики для имен, используемых в HELO/EHLO почтового сервера.

Публикуйте SPF-политику как TXT-запись с v=spf1 в DNS.
В политике преимущественно используйте адреса сетей заданные через ip4/ip6. Располагайте их в начале политики, чтобы избежать лишних DNS-запросов. Минимизируйте использование include, не используйте без необходимости a, без крайней и непреодолимой необходимости не используйте mx и никогда не используйте ptr.

Указывайте ~all для доменов, с которых реально отправляются письма, -all — для неиспользуемых доменов и записей.

Используйте маленькие TTL на период внедрения и тестирования, затем повысьте TTL до разумных значений. Заблаговременно снижайте TTL при необходимости внесения изменений.

Обязательно тестируйте правильность SPF-политики, например, здесь.

Не ограничивайтесь только SPF, постарайтесь внедрить DKIM и обязательно внедрите DMARC. DMARC поможет защитить ваши письма от подделок и позволит вам получать информацию по нарушениям SPF. Это позволит выявить подделки, непрямые потоки писем и ошибки конфигурации.

После внедрения SPF, DKIM и/или DMARC проверьте их с помощью сервиса https://postmaster.mail.ru/security/.

SPF и DMARC проверяются по текущему состоянию, наличие DKIM проверяется по статистическим данным за предыдущий день и будет показываться только при наличии переписки с ящиками на Mail.Ru в предшествующий день или ранее.

Пример политики SPF: @ IN TXT "v=spf1 ip4:1.2.3.0/24 include:_spf.myesp.example.com ~all"