Sender Policy Framework, или SPF, является одним из наиболее часто используемых стандартов для аутентификации электронной почты. Внедрение SPF может повысить безопасность вашего домена от поддельщиков, но он имеет определенные ограничения, если используется изолированно, без DKIM и DMARC.
Преимущества
Пресечение фишинговых атак
SPF проверяет подлинность вашей электронной почты, поэтому, когда злоумышленник пытается отправить поддельное письмо с вашего домена, принимающий почтовый сервер видит, что оно исходит от вредоносного источника, и помечает его.
Повышает репутацию вашего домена
Внедряя SPF, вы сигнализируете провайдерам электронной почты о своей приверженности делу предотвращения кибератак на электронную почту, что повышает вероятность того, что подлинные письма из вашего домена дойдут до адресатов, а не будут ложно отмечены.
Недостатки
Пересылаемые электронные письма не проходят проверку подлинности
Когда кто-то другой пересылает письмо, отправленное с вашего домена, его IP-адрес не будет указан в вашей записи SPF. Получающий почтовый сервер видит это и ошибочно отмечает его, и письмо не проходит SPF.
Трудности с ведением записей SPF
Владельцы доменов часто требуют, чтобы авторизованные сторонние поставщики отправляли электронную почту с их домена. Это означает, что записи SPF придется постоянно обновлять при каждом изменении IP-адреса или сторонних поставщиков.
Большинство пользователей не видят, кто на самом деле отправляет электронное письмо
SPF-аутентификация происходит на конкретном домене Return-Path/mailfrom, а не на адресе From, который обычно видит большинство пользователей. Это означает, что злоумышленник может просто отправить письмо с контролируемого им домена, но использовать другой адрес отправителя. Обычный пользователь не потрудится проверить Return-Path/mailfrom, открывая себя для фишинговой атаки.
Ограничение на 10 DNS-поисков для записей SPF
Каждая запись SPF допускает 10 DNS-поисков. Если ваша SPF-запись превышает этот лимит, принимающие серверы автоматически не проходят SPF-аутентификацию.
В PowerDMARC есть новый уникальный инструмент PowerSPF, который позволяет оптимизировать и упростить запись SPF, чтобы не превысить лимит, и всего за один клик.
Сам по себе SPF ограничен в том, насколько эффективно он предотвращает подмену домена, но в сочетании с DKIM и технологией DMARC вы получаете надежную защиту от подмены.