4.4.4. Налаштування SPF

SPF (Sender Policy Framework) — розширення для протоколу надсилання електронної пошти через SMTP. Завдяки SPF можна перевірити, чи не підроблено домен відправника.

SPF дозволяє власнику домену вказати в TXT-записі, що відповідає імені домену, список серверів, які мають право надсилати електронну пошту зі зворотними адресами в цьому домені. Агенти передачі пошти, які отримують поштові повідомлення, можуть запитувати SPF-інформацію за допомогою простого DNS-запиту, верифікуючи таким чином сервер відправника.

Без наявності SPF-запису багато поштових сервісів можуть відправляти всю пошту, надіслану з поштових скриньок домену, в спам, незалежно від її вмісту.

Якщо поштові скриньки домену розміщені у нас на хостингу і домен обслуговується на наших NS, то для налаштування SPF встановіть наш MX-запис. При цьому в налаштуваннях домену також автоматично буде доданий і потрібний SPF-запис.

Як виглядає наш SPF-запис у налаштуваннях домену:

Якщо поштові скриньки домену розміщені у нас на хостингу, але домен обслуговується на NS іншого провайдера, в панелі власника цих NS додайте такий TXT-запис:

v=spf1 include:_spf.ukraine.com.ua ~all

Запис SPF складається з множини ключів, які використовуються для формування відповідних і коректних правил. Після зазначення ключа потрібно встановити символ : і вказати потрібний вузол.

Часто використовувані та важливі ключі:

• v=spf1 — версія SPF.
• Поведінка:
  • + — приймати листи (Pass). Використовується за замовчуванням, якщо немає інших ключів поведінки.
  • - — відхиляти листи (Fail). Листи не будуть прийняті.
  • ~ — «м'яке» відхилення (SoftFail). Листи будуть прийняті, але позначені як спам.
  • ? — нейтрально сприймати відправника.
• Вузли:
  • mx — містить усі адреси серверів, зазначені в MX-записах домену. ⚠️ Не використовуйте цей ключ для доменів з нашим MX-записом, тому що вказані в ньому адреси не беруть участі у надсиланні листів, і використання ключа може призвести до помилок.
  • ip4 — конкретні IP-адреси.
  • ptr — перевірка PTR-запису на наявність зазначеного домену.
  • exists — перевірка працездатності домену. Важливо враховувати, що ця перевірка даватиме позитивну відповідь для адрес на кшталт 127.0.0.1 тощо, через що її використання сумнівне.
  • a — застосування правил до конкретного домену, порівнюючи IP-адресу відправника з IP-адресою з А-записів домену. ⚠️ Не використовуйте цей ключ, якщо сайт розміщується на нашому хостингу, оскільки це може призвести до помилок.
  • include — використання дозволених вузлів, зазначених у SPF-записах іншого домену.
  • redirect — означає, що SPF-політика для цього домену вказана в іншому домені. Певною мірою аналог include з ігноруванням записів поточного домену.
  • all — усі адреси, не зазначені в записі.

Правило для надсилання листів з нашого хостингу зазвичай має такий вигляд:

v=spf1 include:_spf.ukraine.com.ua ~all

У цьому правилі задано, що листи, відправлені з хостів, зазначених у записі _spf.ukraine.com.ua, дозволені і будуть доставлені, а відправлені з інших серверів будуть доставлені, але позначені як спам.

Для вказання кількох серверів достатньо перерахувати їх. Приклади:

• Використовується надсилання з нашої пошти і з власного сервера mail.example.com:

  v=spf1 include:_spf.ukraine.com.ua a:mail.example.com ~all

  У такому разі листи, що надсилаються з серверів нашого хостингу, а також з сервера, IP-адресу якого вказано в А-записі домену mail.example.com, буде доставлено успішно.

• Використовується надсилання з нашої пошти і з Google:

  v=spf1 include:_spf.ukraine.com.ua include:_spf.google.com ~all

• Потрібно дозволити надсилання з одного домену, але заборонити з іншого:

  v=spf1 +a:mail.example.com -a:mail.example.org ~all

  У такому разі надсилання з серверів, на які вказує А-запис домену mail.example.org, буде заборонене, і листи відхилятимуться.

Щоб не складати запис вручну, можна використовувати онлайн-генератори SPF.

Наявність і коректність готового запису можна перевірити за допомогою онлайн-інструментів перевірки SPF.