SPF: как работает аутентификация email
SPF (Sender Policy Framework) — один из трёх ключевых механизмов аутентификации электронной почты. Он позволяет владельцу домена указать, каким серверам разрешено отправлять письма от его имени. Получающий почтовый сервер может проверить это и отклонить письмо от неавторизованного источника.
Как работает SPF
Владелец домена (например, sberbank.ru) публикует в DNS специальную TXT-запись, которая выглядит примерно так:
v=spf1 ip4:195.34.100.0/22 include:_spf.google.com -all
Эта запись говорит: «Письма от sberbank.ru могут отправляться только с IP-адресов 195.34.100.x и серверов Google. Всё остальное — не авторизовано (-all)».
Когда получатель получает письмо с From: @sberbank.ru, его почтовый сервер запрашивает DNS-запись sberbank.ru и проверяет, совпадает ли IP-адрес отправляющего сервера с разрешённым списком. Если нет — письмо получает отметку SPF fail.
Что SPF защищает, а что нет
SPF защищает от:
Отправки писем с нелегитимных серверов от имени домена. Если сервер не в списке SPF — письмо с этим адресом отправителя должно быть помечено как подозрительное или отклонено.
SPF не защищает от:
- Подмены отображаемого имени (display name spoofing). SPF проверяет технический домен отправителя (envelope-from), но не отображаемое имя в заголовке From:. Мошенник может отправить письмо с sber-alert@legit-looking.ru, SPF пройдёт, а отображаемое имя будет «Сбербанк».
- Анализа содержимого письма. SPF только проверяет источник, не анализирует ссылки и текст.
- Перехода по вредоносным ссылкам. Если письмо прошло SPF, это не значит, что ссылки в нём безопасны.
Как мошенники обходят SPF
Регистрация собственного домена
Мошенник регистрирует sber-security.ru и настраивает корректную SPF-запись для него. Письма с этого домена успешно проходят SPF — потому что отправляются с авторизованного сервера. SPF не оценивает, насколько «похожее» имя домена.
Использование взломанных аккаунтов
Письмо отправляется с реального аккаунта на Gmail или Mail.ru — SPF Google или Mail.ru разрешён, всё проходит. Содержимое — фишинг.
Рассылка через легитимные ESP
Email Service Provider'ы (платформы рассылок) часто добавляются в SPF через include:. Мошенник, зарегистрировавшийся на таком сервисе, получает авторизацию через SPF.
SPF как часть общей защиты
SPF эффективен только в связке с DKIM и DMARC. SPF один без DMARC почти не имеет смысла — получатель видит SPF fail, но без инструкции в DMARC не знает, что с ним делать.
Правильная цепочка: SPF + DKIM + DMARC p=reject. В этом случае письмо, не прошедшее аутентификацию, будет отклонено на уровне почтового сервера.
Как проверить SPF-запись домена
Через командную строку (Windows/Mac/Linux):
nslookup -type=TXT sberbank.ru
Или через онлайн-инструменты: mxtoolbox.com/spf.aspx — удобный SPF-анализатор с объяснением каждого элемента записи.
Проверьте подозрительную ссылку
Вставьте URL, SMS или QR-код в 2check.click — сервис проверит домен, редиректы, возраст домена и другие признаки фишинга.
Часто задаваемые вопросы
Означает ли «SPF pass» в заголовках письма, что оно безопасно?
Нет. SPF pass означает только то, что письмо отправлено с авторизованного сервера для указанного домена. Это не гарантирует, что домен легитимный или что содержимое письма безопасно.
Что значит SPF softfail (~all) vs hardfail (-all)?
-all означает «все остальные серверы запрещены, письмо должно быть отклонено». ~all означает «мягкий запрет — пометить как подозрительное, но не отклонять». Для серьёзной защиты рекомендуется -all.
Что такое SPF permerror?
Ошибка конфигурации SPF-записи (например, слишком много DNS-запросов — максимум 10). При permerror поведение зависит от получающего сервера.
Может ли у домена не быть SPF-записи?
Да. Многие домены (особенно новые или плохо настроенные) не имеют SPF. Отсутствие SPF означает, что любой сервер может отправить письмо от имени этого домена — получатель не может проверить подлинность.
Как проверить SPF письма, которое я получил?
В Gmail: «Показать оригинал» → ищите строку «Received-SPF: pass» или «fail». В Яндекс.Почте: «Свойства письма» → заголовки Authentication-Results.