Despre SPF

Ce este SPF-ul?
SPF sau Sender Policy Framework este un tip de protocol de autentificare a email-ului sau pur si simplu o modalitate de a confirma pentru persoana care a primit mail-ul faptul ca sursa mail-ului este cu adevarat cel care detine adresa de mail si nu este un mail de tip spam sau chiar atac de tip phishing.




Sunt mai multe tipuri de autentificare a mail-urilor folosite pentru a proteja utilizatorii contra spam-ului, incluzand DomainKeys Identified Mail (DKIM) si Domain-based Message Authentification and Conformance (DMARC). Fiecare protocol de autentificare a mail-urilor foloseste o metoda diferita si are un scop diferit.

In cazul SPF-ului, rolul lui principal este de a preveni persoanele care incearca sa faca spam folosind domeniul dumneavoastra si persoanele care trimit mail-uri de tip spoof. Spoofing-ul este un tip de atac prin care atacatorul se identifica ca o o alta persoana (in acest caz al utilizatorului de mail) astfel falsificand datele pentru a primi un avantaj ilegitim.

SPF-ul verifica adresa de IP a persoanei care a trimis mail-ul. El ofera avantajul persoanei care a primit mail-ul sa stie ce adresa de IP a autorizat trimiterea mail-ului in numele lor. Daca mail-ul vine de la un IP care nu este listat in record-ul de SPF, destinatarul marcheaza mesajul ca spam sau chiar blocheaza automat mesajul.

Cum functioneaza SPF-ul?

Expeditorul trebuie sa isi seteze un record in care listeaza ce adrese de IP sau servere pot trimite mail-uri de la domeniul lor. Record-ul SPF este un record de tip TXT care se adauga in Zona DNS a domeniului (Domain Name System).

Ce este Zona DNS si cum se poate modifica?

In mod normal Zona DNS se poate modifica direct la registrarul dumneavoastra de domeniu, daca domeniul dumneavoastra este deja inregistrat la Hosterion sau este mutat la noi si este adaugat pe un pachet de shared hosting se poate modifica Zona DNS la noi din contul dumneavoastra de cPanel/Plesk. Putem afla unde este zona DNS cautand domeniul pe site-uri gen intodns.com

De exemplu, pentru domeniul hosterion.ro vedem ca domeniul are ns-urile Hosterion ceea ce inseamna ca este hostata la noi zona DNS: intodns.com/hosterion.ro

Iar pentru a afla registrarul pentru un domeniu .ro il putem cauta pe rotld.ro
Din care observam registrarul este Hosterion SRL.





Cum setam un SPF si cum putem citi un SPF?

Un SPF de baza poate arata ca:

“v=spf1 +a +mx ip4:188.241.118.64 -all”

  • v= defineste versiunea de SPF folosita
  • +a si ipv4 specifica sistemul permis de trimis mesaje pentru un domeniu anume
  • -all specifica ce sa se intample cu mesajele in cazul in care sistemele nu sunt respectate

Mecanisme

  • ALL Mail-ul este permis tot timpul, aceasta este setarea default, opusul ei este -all
  • A Daca record-ul din zona DNS de tip A sau AAA se potriveste cu IP-ul care trimite IP-ul atunci mail-ul este permis
  • IP4 Daca IP-ul persoanei care trimite are acelasi IP cu range-ul specificat, mail-ul este permis
  • IP6 Daca IP-ul persoanei care trimite are acelasi IP cu range-ul specificat, mail-ul este permis
  • MX Daca domeniul are un record de tip-ul MX care coincide cu IP-ul persoanei care trimite mail-ul, mail-ul este permis
  • PTR Daca inregistrarea PTR a domeniului rezolva catre acelasi IP cu care se trimite mail-ul, mail-ul este permis (aceasta metoda nu este recomandata)
  • EXISTS Daca domeniul rezolva la orice adresa IP, mail-ul este permis (indiferent de adresa IP catre care pointeaza)
  • INCLUDE Se refera la politica unui alt domeniu. Daca politica acelui domeniu este conforma, mecanismul este permis

Calificari

Fiecare mecanism poate fi combinat cu una dintre cele patru calificari:

  • + pentru un rezultat pozitiv, acesta poate fi omis, de exemplu +mx e la fel cu mx
  • ? pentru un rezultat neutru
  • ~ pentru softfail, in cazul in care mesajul returneaza un softfail de obicei sunt acceptate dar sunt categorizate ca spam
  • - pentru rezultat negatic, mail-ul este respins

Cum putem verifica SPF-ul?

Cel mai usor mod de a verifica SPF-ul unui domeniu este cu o utilitara online gen MXToolBox: https://mxtoolbox.com/spf.aspx
Aici putem testa un domeniu si sa vedem mai exact daca si ce SPF are setat.

Dezavantajele SPF-ului

E important sa mentionam faptul ca SPF-ul nu este metoda perfecta de a autentifica mail-urile. Nu poate preveni in totalitate spammerii sa trimita mail-uri cu un numele dumneavoastra (in formularul header-ului) care este vizibil in casuta de mail.

SPF nu functioneaza in cazurile mail-urilor forwardate.

Avand toate aceste lucruri in vedere, este important sa folosim si alte modalitati de autentificare a mail-urilor. Alte metode sunt DKIM si DMARC iar toate 3 combinate asigura faptul ca mail-urile dumneavoastra ajung la destinatie si sunteti protejati impotriva spoofing-ului.