Youtube что такое spf

Электронная почта — один из самых популярных каналов распространения спама, малвари и фишинговых ссылок. Существует куча софта, который защищает почтовые серверы от этих напастей, да вот незадача: большинство таких программ стоит денег, и порой немалых. В этой статье я расскажу, как усилить безопасность корпоративных почтовых серверов (MS Exchange и Postfix) с помощью доступных штатных средств — DKIM-, SPF- и DMARC-записей, не требующих использования дорогостоящих коммерческих продуктов.

Защита почтового сервера без использования антивируса

Итак, прежде чем мы приступим непосредственно к изменению настроек безопасности нашего почтового сервера, нужно разобраться с тем, что именно мы собираемся настраивать. Если тебя не пугают страшные на вид аббревиатуры, состоящие из трех и более заглавных букв латинского алфавита, ты можешь пропустить этот раздел. Остальных приглашаю освежить свои знания, ибо повторение, как гласит народная мудрость, мать учения.

What are SPF and DKIM?

Важно помнить, что, к сожалению, настройка DKIM-, SPF- и DMARC-записей не панацея от всех бед. Если почтовый сервер был взломан, эти функции безопасности не смогут защитить от нелегитимного трафика. Поэтому важно заранее продумать эшелонированную защиту системы, включая антиспам-фильтры, антивирусное детектирование и прочее.

Что такое DKIM?

DKIM (Domain Keys Identified Mail) — это, условно говоря, цифровая подпись, которая подтверждает подлинность отправителя и гарантирует целостность доставленного письма. Подпись добавляется в служебные заголовки сообщения и остается незаметной для самого пользователя. Поскольку в DKIM используется асимметричная система шифрования, репозиторий сервера всегда хранит два ключа шифрования — открытый (сертификат) и закрытый. С помощью закрытого ключа формируются заголовки для всей исходящей почты, а открытый ключ как раз добавляется в DNS-записи в виде TXT-файла.

Статус DKIM проверяется автоматически на стороне получателя при сохранении письма в контейнер (именной почтовый ящик). И если домен в письме не авторизован для отправки сообщений, то письмо может быть помечено подозрительным или же сразу помещено в папку «Спам», в зависимости от настроенной политики безопасности. Кстати, это одна из ключевых причин, почему письма определенных отправителей постоянно попадают в спам, даже несмотря на валидность домена отправителя.

Для работы с DKIM требуется выполнение следующих условий:

• поддержка DKIM почтовым сервером (а она есть у всех современных почтовиков);
• создание приватного и публичного ключа шифрования (это нужно сделать ручками);
• занесение в DNS домена записей, связанных с DKIM (и это тоже ручками).

What is SPF? Sender Policy Framework Explained

Что такое SPF?

SPF (Sender Policy Framework) — это еще одна специальная подпись, содержащая информацию о серверах, которые могут отправлять почту с твоего домена. То есть SPF позволяет владельцу домена указать в TXT-записи для DNS-домена специальным образом сформированную строку, содержащую весь список серверов, которые имеют право отправлять email-сообщения с обратными адресами в этом домене.

А если сказать то же самое понятными словами, то в этой записи мы сообщаем, с каких почтовых серверов можно посылать письма от имени сотрудников нашей компании. Воу! Вот так просто! В общем, наличие SPF снижает вероятность, что твое письмо попадет в спам.

Важно помнить, что SPF-запись должна быть только одна для одного домена, хотя уже в рамках одной SPF может содержаться несколько записей. И нужно сказать, что для поддоменов будут нужны свои записи. И никак иначе! Безопасность требует времени и усердия.

Что такое DMARC?

DMARC (Domain-based Message Authentication, Reporting and Conformance) — это еще одна подпись, которая позволяет серверу получателя принять решение, что делать с пришедшим письмом. Важно заметить, что DMARC — это скорее дополнительная фича к уже используемым DKIM и SPF. Например, если отправленное сообщение не прошло проверку DKIM и SPF, то оно не пройдет и DMARC. Все логично.

А вот если письмо успешно прошло хотя бы одну проверку (DKIM или SPF), то и проверку DMARC оно тоже преодолеет. Также при помощи DMARC можно получать репорты от почтовых систем с информацией, сколько через них пыталось пройти или прошло поддельных сообщений на ваш домен. Из сказанного становится понятно, что DMARC добавляется только после того, как уже настроены записи SPF и DKIM.

От чего нельзя защититься с помощью DKIM, SPF и DMARC

С использованием DKIM, SPF и DMARC можно противостоять email-спуфингу и распространению малвари. Однако важно понимать, что это не гарантирует безопасности в случае взлома сервера, например путем компрометации админки или применения эксплоита, а также если письма форвардятся через иные почтовые сервисы с сомнительной репутацией или с полностью отсутствующими записями DKIM, SPF и DMARC.

Некоторые полезные ссылки для проверки корректности настройки DKIM- и SPF-записей, а также репутации домена:

• SPF Policy Tester — онлайн-сервис проверки корректности SPF-записи. Для проведения теста на сайте указываешь почтовый адрес, с которого хочешь отправлять письма, и IP-адрес почтового сервера. Если все хорошо, то после нескольких секунд ожидания внизу страницы должна появиться зеленая надпись PASS .
• Dkimvalidator.com — разработчики этого сервиса дают тебе адрес почты, на который нужно выслать письмо. После этого можно просмотреть отчет о валидности DKIM. Все просто!
• Mail-tester.com — еще один вариант аналогичного сервиса, где тебе предоставляется адрес почты для отправки тестового сообщения, а после этого можно посмотреть отчет о доставке. Если возникли проблемы, из представленного репорта можно понять, в чем именно заключаются косяки.

Также не стоит забывать о регистрации своего сервера в службах постмастера для публичных почтовых серверов (если ты, конечно, администрируешь такой сервер). Это позволит тебе не только получать статистику по рассылкам, но и заработать чуть больше доверия от этого почтового сервиса. Вот самые известные и часто используемые постмастеры: Mail.RU, Yandex и Gmail.

Практика и еще раз практика

В практической части мы рассмотрим конфигурирование описанных выше настроек безопасности на примере двух наиболее популярных почтовых серверов — опенсорсного Postfix на Debian (ну, или Ubuntu Server) и проприетарного Microsoft Exchange Server 2013+. Предполагается, что почтовые серверы у тебя уже установлены и настроены под твой домен, поэтому рассматривать будем только само конфигурирование фич на обезличенных данных.

Настраиваем SPF, DKIM и DMARC на Postfix (Debian)

Общий принцип работы нашего почтового сервера будет таков:

1. Принимающий сервер получает письмо с адреса [email protected], отправленное с сервера mx.example.com.
2. Сервер получателя делает запрос к DNS для домена example.com и ищет записи SPF и DKIM.
3. В случае если записей нет, письму проставляется статус neutral (конкретно по этим проверкам) и письмо проверяется дополнительными фильтрами.
4. В случае если записи обнаружены, проверяется, разрешено ли серверу mx.example.com отправлять почту домена example.com.
5. Если домен mx.example.com не найден в списке разрешенных, то или письмо отбрасывается, или ему устанавливается статус neutral.
6. Если домен mx.example.com таки найден в списке разрешенных, письму устанавливается статус Pass и повышается его рейтинг при прохождении других фильтров.

Перед любыми операциями по конфигурированию системы не забывай сделать бэкап! Даже одна неправильно включенная опция может отрезать всех пользователей от получения и отправки почтовой корреспонденции. И обязательно тестируй все изменения перед переносом в их продакшен!

Настройка SPF-записи

Если ты отправляешь все сообщения только с одного сервера (почтовые клиенты не считаются), то в SPF-записи будет достаточно указать IP-адрес этого сервера:

Источник: tech-geek.ru

Как выбрать солнцезащитный крем для активного отдыха

Обгореть на солнце можно не только во время отпуска в тропиках. В горах получить ожог даже проще, ведь ультрафиолетовое излучение там никуда не исчезает и его интенсивность только усиливается из-за разрежённого воздуха и света, отражаемого от снега и льда. Не спасает и пасмурная погода — облака для УФ-лучей не самое большое препятствие.

Напротив, облачность в горах может сыграть злую шутку, и горовосходитель сам не заметит, как обгорел. Но даже на равнине, и в высоких широтах, и в пасмурную погоду, все туристы и путешественники-походники рискуют получить солнечные ожоги просто потому, что буквально все дни напролёт проводят на открытом воздухе. Солнечный ожог неприятен сам по себе, но ультрафиолет обладает более долгосрочными и более опасными последствиями, провоцируя преждевременное старение кожи и повышая риск развития рака кожи.

Спасение здесь одно — по возможности закрывать все участки кожи одеждой, а те, что остаются открытыми, мазать солнцезащитным кремом. Он же солнцезащитный фильтр, если следовать дословному переводу английского слова sunscreen.

Что такое SPF

Первое, что бросается в глаза при взгляде на упаковку солнцезащитного крема, — аббревиатура SPF. Расшифровывается она как Sun Protection Factor, или «коэффициент защиты от солнца». Маркировка показывает, насколько эффективно крем защищает кожу от воздействия ультрафиолетовых лучей. Формула её расчёта и способ записи были внедрены в США в 1974 году и регламентируются Управлением по санитарному надзору за качеством пищевых продуктов и медикаментов США (FDA, USFDA)

. Но сегодня эта методика определения SPF используется по всему миру и регламентируется международным стандартом ISO 24444.

Коэффициент SPF показывает долю УФ-излучения, что достигает поверхности кожи, смазанной солнцезащитным кремом из расчёта 2 мг на 1 см². Например, коэффициент SPF 15 означает, что покрытой кремом кожи достигнет только 1/15 часть УФ-лучей.

Конечно, такая система расчёта не очень-то интуитивно понятна, а ещё не учитывает индивидуальную чувствительность кожи — кто-то обгорает быстрее, кто-то медленнее. Поэтому оценивать эффективность крема по SPF проще так: нужно умножить коэффициент на время, которого достаточно вашей коже, чтобы получить солнечный ожог. Например, если обычно вы обгораете за 10 минут на ярком полуденном солнце, то с правильно нанесённым кремом с SPF 15 на это уйдёт 150 минут, то есть в 15 раз дольше.

Учитывайте, что эффективность крема растёт непропорционально увеличению его коэффициента SPF, что становится очевидно, когда речь идёт о проценте блокируемых УФ-лучей:

• SPF 15 — блокирует 93% УФ-лучей;
• SPF 30 — блокирует 97% УФ-лучей;
• SPF 50 — блокирует 98% УФ-лучей;
• SPF 100 — блокирует 99% УФ-лучей.

И здесь хорошо видно, что солнцезащитные кремы с коэффициентом SPF выше 30 уже не обеспечивают существенно большей защиты от ультрафиолета. Но вот ввести в заблуждение они могут, так как многие пользователи не вдаются в подробности и думают, что крем с SPF 100 вдвое эффективнее, чем крем с SPF 50. А это ведёт к опасным последствиям: зачастую крем с более высоким рейтингом защиты реже обновляют или, полагаясь на его свойства, начинают пребывать на солнце дольше разумного.

Из-за этого не затихают дискуссии о необходимости пересмотра самой системы рейтинга SPF или её замены на иную формулу расчёта. Пока что производители стараются просто печатать на своих кремах только верхнюю разумную границу коэффициента, например SPF 50+, но на рынке хватает кремов с заявленным фактором SPF 75 или SPF 100. Не вдаваясь в тонкости этих дебатов, отметим, что врачи-дерматологи рекомендуют солнцезащитные кремы с SPF 15 для регулярного использования и SPF 30 — для длительного пребывания на открытом воздухе. Крем с SPF 50 рекомендуют людям со светлой и чувствительной кожей или когда нужно подолгу находиться на открытом воздухе в местах, где УФ-излучение особенно сильно, например в высокогорье или тропиках. Гонка за более высоким коэффициентом SPF лишена смысла, и на практике куда важнее будут иные свойства солнцезащитного крема.

Источник: sport-marafon.ru

Что такое SPF, DKIM, DMARC и почему вы обязательно должны их настроить

Элементарная компьютерная грамотность важна для всех без исключения представителей сферы интернет-торговли. Это утверждение справедливо также для маркетологов, особенно работающих в сфере email-маркетинга. Необходимым в их повседневной работе является понимание технологий SPF, DKIM, DMARC. Отсутствие поддержки этих технологий может привести к тому, что письма попадут в спам и не будут прочтены получателями.

Политики SPF, DKIM, DMARC основаны на доменной системе имён, настроить их могут специалисты с доступом к DNS. Как правило это штатные программисты компании или её системные администраторы. Лучше всего подготовить техническое задание, которое поможет ИТ-службе внести в DNS необходимые записи.

SPF. Что это?

Sender Policy Framework — содержит сведения о серверах, с которых отправляются письма. Для каждого поддомена может существовать своя запись. SPF указывает на источники, которым разрешено отправлять письма от имени домена.

Для создания записи SPF используется следующий синтаксис:

• «+» — добавление разрешённых адресов;
• «?» — обозначает отсутствие записи, показывает, что результат не определён;
• «~» — тильда обозначает мягкий отказ, письмо будет принято, но с большой вероятностью попадет в спам;
• «-» — это знак твёрдого отказа, письмо не должно быть принято.

Список применимых механизмов SPF:

• «а» — используется для указания адресных записей A-типа;
• «mx» — указывает для записи MX-типа (mail exchanger);
• «include» — позволяет включать SPF-настройки другого домена;
• «ip» — с суффиксом 4 или 6 (версия протокола) добавляет IP-адрес(а) отправителя;
• «all» — показывает почтовому серверу-получателю как обрабатывать все остальные источники, не попавшие в перечисление ранее.

Также доступен модификатор «redirect». Он обеспечивает переключение на другой домен запросов к SPF и применение его политик. Используется в случае отправки писем через почтовый хостинг.

Рассмотрим запись «v=spf1 +a mx include:tendence.ru ~all». Для принимающего почтового сервера это команда действовать так: разрешить приём писем с хостов с A-записями домена, а также MX-записями. Включать в обработку SPF-политики домена tendence.ru. Сообщения от всех иных отправителей являются сомнительными и должны быть помечены как спам (мягкий отказ).

Онлайн-инструмент для проверки SPF-записей https://mxtoolbox.com/spf.aspx

DKIM. Что это?

Цифровая подпись DomainKeys Identified Mail — служит для подтверждения подлинности отправителя письма, а также обеспечивает гарантию его целостности. Она используется в служебных заголовках отправления, как правило не видна получателю по умолчанию. Подпись DKIM содержит два ключа асимметричного шифрования: открытый и закрытый. Первый содержится в DNS-записи типа TXT, второй хранится на почтовом сервере и используется для вычисления индивидуальной подписи каждого отправляемого сообщения.

Проверка подписи выполняется сервером-получателем в автоматическом режиме. При помощи открытой части ключа он выполняет шифрование сообщения и подтверждает (или не подтверждает) совпадение с контрольной суммой, содержащейся в подписанном DKIM-письме. При совпадении значений сообщение должно быть принято и может получить дополнительные баллы при проверке, подтверждающие легитимность отправителя. При несовпадении или отсутствии подписи письмо может быть отвергнуто как мошенническое или попадёт в спам — в зависимости от DKIM-политики отправителя.

При публикации в DNS-зоне домена политик DKIM указываются следующие значения:

• «v» — версия протокола, текущая DKIM1;
• «k» — тип ключа RSA;
• «p» — содержимое открытого ключа.

Для проверки корректности работы DKIM можно воспользоваться инструментом https://dkimcore.org/tools/.

DMARC. Что это?

DMARC — Domain-based Message Authentication, Reporting and Conformance, механизм, в котором сделана попытка объединить технологии SPF и DKIM и на их основании принимать решение о судьбе полученного сообщения. Политика DMARC предполагает несколько способов обращения с пришедшим письмом: пропустить, поместить в спам и отказать в приёме.

Наиболее строгой политикой и, как следствие, наиболее безопасной и рекомендуемой будет публикация DMARC-записи следующего формата:
«v=DMARC1; p=reject; aspf=s; adkim=s;», где:

• «v» — версия протокола;
• «p» — политика по отношению к не прошедшим проверку сообщениям. Reject — отклонять подобные сообщения;
• «aspf» — для успешного прохождения проверки письмо должно строго (значение «s») соответствовать SPF;
• «adkim» — для успешного прохождения проверки письмо должно строго (значение «s») соответствовать DKIM;

Опция «fo=1» позволяет настроить отправку на почту ежедневного отчёта владельцу домена о результатах. Отчёт имеет формат XML, что облегчает его автоматизированную обработку. Для проверки DMARC можно воспользоваться сервисом https://dmarcian.com/dmarc-inspector/.

Изложенная информация обеспечит минимальными знаниями, необходимыми для составления технического задания системному администратору на публикацию политик обработки почты. Специалист с легкостью внесёт необходимые записи в DNS.

При перепубликации статьи установка активной индексируемой гиперссылки на источник — сайт Tendence.ru обязательна!

Источник: tendence.ru