Различия SPF и DKIM
SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail) — это технологии аутентификации электронной почты, которые защищают пользователей от спама и фишинга. Они работают по-разному, но часто используются вместе для создания многоуровневой защиты.
SPF (Sender Policy Framework)
SPF проверяет, разрешено ли указанному серверу отправлять письма от имени определенного домена. Для этого в DNS-домена создается специальная SPF-запись с перечнем авторизованных серверов. Если письмо отправлено с IP-адреса, который отсутствует в этой записи, оно может быть помечено как подозрительное.
Пример настройки SPF
1. Допустим, ваш домен: some-site.ru. Вы хотите, чтобы только сервер с IP-адресом 192.168.1.1 отправлял письма от имени вашего домена.
2. В DNS вы создаете запись:
v=spf1 ip4:192.168.1.1 -all— v=spf1 — версия SPF.
— ip4:192.168.1.1 — разрешенный IP-адрес.-all — запрещает отправку писем с других IP.
Проверка SPF
— Отправитель: mail.some-site.ru (IP: 192.168.1.1).
Получатель проверяет SPF-запись домена example.com и видит, что IP совпадает. Письмо считается допустимым.
— Если письмо отправлено с IP: 10.0.0.2, не указанного в записи, оно будет помечено как недоверенное.
DKIM (DomainKeys Identified Mail)
Пример настройки DKIM
1. Генерируйте пару ключей (приватный и публичный) с помощью утилиты, например, opendkim-genkey.
2. Публичный ключ добавляется в DNS вашего домена как TXT-запись:
default._domainkey.some-site.ru TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqh..."— v=DKIM1 — версия DKIM.
— k=rsa — алгоритм шифрования.
— p=... — публичный ключ.
3. Приватный ключ используется для подписания писем сервером отправителя.
Проверка DKIM
— Отправитель добавляет подпись в письмо:
DKIM-Signature: v=1; a=rsa-sha256; d=some-site.ru; s=default;
bh=Base64-Hash; b=Base64-Signature;— d=some-site.ru — домен отправителя.
— s=default — селектор, указывающий на соответствующую запись в DNS.
— Получатель проверяет подпись с использованием публичного ключа из DNS. Если подпись совпадает, письмо признается подлинным.
Основные отличия SPF и DKIM с примерами
| Характеристика | SPF | DKIM |
|---|---|---|
| Механизм проверки | Проверяет IP-адрес отправителя. | Проверяет цифровую подпись. |
| Цель защиты | От подделки отправителя по IP. | От подделки содержимого и отправителя. |
| Расположение данных | DNS-запись (SPF-запись). | DNS-запись (публичный ключ) и письмо. |
| Зависимость от IP | Зависит от IP-адреса отправителя. | Не зависит от IP-адреса. |
| Проверка целостности | Не проверяет содержимое письма. | Гарантирует неизменность письма. |
| Пример данных | v=spf1 ip4:192.168.1.1 -all | v=DKIM1; k=rsa; p=MIIBIjANBgkqh... |
| Пример отказа | Письмо с IP 10.0.0.2 помечено как спам. | Подпись не совпала — письмо отклонено. |
Использование совместно
Пример сценария
1. Домен some-site.ru настроен с SPF и DKIM.
2. Отправляется письмо:
— Сервер отправителя проверяется через SPF (IP в списке допустимых).
— Подпись DKIM проверяется через публичный ключ.
3. Получатель уверенно принимает письмо как надежное.
Заключение
Применяя SPF и DKIM в комплексе, вы обеспечиваете защиту как от подделки IP-адресов (SPF), так и от изменения содержимого письма (DKIM), создавая надежный уровень безопасности для вашего домена и репутации. Так же настоятельно реккомендуем ознакомиться со статьей что такое политика DMARC?
