Що е то SPF и как ще ни помогне да се защитим от спам
	от vesso(15-06-2004) рейтинг (31)   [ добре ]  [ зле ]  Вариант за отпечатване SPF означава "Sender Policy Framework" (а в близкото минало - "Sender Permitted From"). Ще си позволя да го преведа по смисъл като "система за проверка на подателя". Системата се състои от два елемента: Към DNS записа на всеки домеин трябва да се добави кои интернет адреси могат да изпращат електронна поща от името на домеина. Пощенския сървер трябва на направи справка в DNS за да провери дали подателя е всъщност този за който се представя. Пример: Хост 1.2.3.4 иска да се свърже с poluchatel.bg и да изпрати поща от името на niakoi@podatel.bg. В момента "диалогът" между пощенските сървъри изглежда така: poluchatel.bg: 220 Готов 1.2.3.4: HELO имам поща за теб poluchatel.bg: 250 няма проблеми 1.2.3.4: MAIL FROM: niakoi@podatel.bg poluchatel.bg: 250 няма проблеми 1.2.3.4: RCPT TO: pesho@poluchatel.bg 1.2.3.4: RCPT TO: gosho@poluchatel.bg 1.2.3.4: RCPT TO: ivan@poluchatel.bg ..... След което спамът е успешно доставен до всички получатели. А сега - същият пример но с разрешен SPF: poluchatel.bg: 220 Готов 1.2.3.4: HELO имам поща за теб poluchatel.bg: 250 няма проблеми 1.2.3.4: MAIL FROM: niakoi@podatel.bg Дотук е същото, но в този момент poluchatel.bg се обръща към DNS: poluchatel.bg: DNS, кажи кой може да изпраща поща от името на podatel.bg DNS: Всички сървъри с адрес 7.8.9.0/24 Сега poluchatel.bg може да прецени че 1.2.3.4 не може да изпраща поща от името на podatel.bg. Връзката с 1.2.3.4 се прекъсва преди спам-съобщенивто да е задръстило връзката с Интернет и харддиска на сървъра. Промяната на DNS записа се свежда до добавяне на ново поле от тип TXT към всеки домеин. Ако притежавате домеин podatel.bg, ползвате BIND и имате само един пощенски сървър с адрес 7.8.9.10 добавете следния ред към Вашия zone file: podatel.bg. IN TXT "v=spf1 ip4:7.8.9.10 -all" Ако ситуацията Ви е по-сложна - консултирайте се с "магьосника". Можете да видите примери на SPF записи с командата dig - за debian тя е част от пакета dnsutils а за windows може да се зареди от тук: ~$ dig google.com TXT ... ;; ANSWER SECTION: google.com. 300 IN TXT "v=spf1 ptr ?all" ... ~$ dig aol.com TXT ... ;; ANSWER SECTION: aol.com. 300 IN TXT "v=spf1 ip4:152.163.225.0/24 ip4:205.188.139.0/24 ip4:205.188.144.0/24 ip4:205.188.156.0/23 ip4:205.188.159.0/24 ip4:64.12.136.0/23 ip4:64.12.138.0/24 ptr:mx.aol.com ?all" ... Постарайте се да добавите въпросните полета към DNS записа на домеините които администрирате. Хората от spf.pobox.com се надяват да включат най-големите доставчици на 4-ти юли тази година, след което SPF записа ще може да се промени от ?all (неуточнен) на -all (откажи пощата). Ако не го направите рискувате някой от тези сценарии да Ви се случи: Търговският директор праща електронна поща на партньор и получава автоматичен отговор в духа на "Вашият домеин няма SPF запис. След 2 седмици ще спрем да получаваме поща от такива домеини". След което въпросния директор разучава набързо какво е това SPF и изнася лекция на сисадмина как да си върши работата. Електронната поща пратена от вашата фирма до партньор отвъд океана като че ли изчезва в небитието. Започват да се губят пари, да хвърчат факсове и т.н. докато се окаже че въпросния партньор е решил да игнорира поща пратена от домеини без SPF запис. Сисадминът (ако не е уволнен) ще трябва да обясни на шефа "... аз свърших каквото трябва но още 2 дни няма да можем да им пращаме поща защото кеширания DNS запис още не е затрит..." Всичко описано дотук защитава Вашите домеини от злоупотреба, т.е. спамърите няма да могат да изпращат спам от името на Вашия домеин. За да филтрирате получените съобщения ще трябва да си заредите плъгин и да си конфигурирате пощенския сървър. Можете да започнете да четете от ръководството на Вашия пощенски сървър или от тук. SPF няма да реши проблема със спама но - ако достатъчно сървъри го ползват - ще може да реши проблема със подправените e-mail адреси. В момента огромната част от спам съобщенията са точно с такива адреси. Спамърите ще могат да изпращат спам от техните си домеини но това лесно се филтрира с "черен списък". Ако имате въпроси проверете първо във FAQ. По материали от spf.pobox.com Автор: Веселин Костадинов 15 юни 2004 << VPN на базата на OpenSwan, OpenSSL, L2TPD | Инсталиране на Debian >>

Коментари: (общо 8)	Оценени с -1 0 1 2 3 4 5 или повече	[Кратък преглед>>]
[Добави коментар]

>Ako mobilen klient se svyrzhe sys korporativnija si poshtenski server toj shte pyde otfvyrlen tochno ot SPF zashto naj-verojato se svyrzva ot ne-registriran address.

Не и ако се свърже чрез SASL и се представи с паролата си.


>... ako imame proverka na bazata na parola ili cifrof sertifikat, za kakvo ni e SPS?

1. За да провери подателя на пощата идваща от клиент който не се е представил с SASL парола - това са останалите пощенски сървъри, спамъри и т.н.

2. За да укаже на получателя на нашата поща кои са легитимните сървъри които могат да изпращат поща от наше име. Естествено това работи само ако въпросните сървъри са с фиксирани ИП адреси - което почти винаги е така.


[Отговори на този коментар]