Архив новостей

Технология SPF — за и против. Комментарий читателя

Письмо читателя

Добрый день!

Есть еще один часто встречающийся случай, при котором письма отправляются не напрямую.

Речь идет о пользователях, которые подключаются к разным провайдерам. При грамотно настроенном ПО провайдера (простейший случай, когда не используется авторизация smtp) нет возможности отправить почту, скажем, через ips1.ru:25, будучи подключенным к isp2 и наоборот. Про open relays речь не идет. Если провайдеров несколько, каждый раз перенастраивать адрес smtp-сервера может быть затруднительным.

Другой вариант — почта, которая пишется из локальной сети наружу в условиях, когда применяется система прокси-серверов, а NAT отсутствует.

Решение давно известно — локальные smtp-серверы. Т.е. почта отправляется на localost или другой адрес из диапазона внутренних подсетей, а далее уже smtp-сервер подключается к серверам получателей и раскладывает почту. Плюсы и минусы такого решения очевидны и давно известны. Собственно, далее в статье на это есть косвенный намек там, где речь идет о механизме exists и приводится пример с адресом отправителя localhost. Реализация spf-политики, как я понимаю, поставит на этом крест, поскольку почта будет гарантированно отправляться не с адресов описанной в политике dns-зоны, иначе в таком решении нет смысла. Если же проверять не адрес smtp-сервера, а адрес отправителя в момент отправки письма (при этом мы хотим разрешить локальным серверам отправлять почту), то мы автоматически ставим крест на всей антиспамерской защите.

Best regards,
Alexey

Ответ автора статьи

Спасибо за Ваш комментарий.

На мой взгляд, какой-либо отдельной проблемы для SPF от использования дополнительного ISP не появляется. Даже если ISP у нас один, все равно бывают ситуации, когда через него посылается почта от «чужого» домена (скажем, диалап-провайдер isp1, а пользователь имеет адрес @mail.ru). Соответственно, появляются такие варианты:

  1. Пользователь использует собственный домен (которым сам управляет). Тогда в SPF-записях он может написать +ip:диапазон-ip-провайдера.

  2. Пользователь не управляет используемым доменом. Тогда в SPF-записях используемого домена должно быть что-то в духе ?all или ~all (или +all).

Появление второго ISP в схеме отсылки почты проблему никаким образом не меняет — пользователь или может описать и его тоже (собственный домен), или не может (чужой домен).

Вообще, схема внедрения SPF предполагает, что все «мобильные» (т.е. пользующиеся ISP-посредниками) пользователи будут переведены на SMTP с авторизацией. Т.е. user@company.ru, работая из дома через isp1, будет посылать свою почту не через SMTP провайдера, а через сервер компании (авторизуясь на нем). Естественно, для провайдеров бесплатной почты схема не сработает — и они будут исключениями из общей схемы.

Алексей Тутубалин

Технология SPF — за и против. Комментарий читателя

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике