SPF - cela limite-t-il les adresses IP autorisées à relayer?

0

Est-ce que quelque chose me manque ou est-ce que SPF est simplement un moyen de dire "seuls les clients des réseaux suivants sont autorisés à envoyer des emails via ce serveur"?

Qui - pour un Comcast ou pour une personne qui possède les adresses IP de tous ses clients, peut dire "vous devez être au sein de mon réseau pour pouvoir envoyer des courriels par mon intermédiaire"?

Ou est-ce que je me trompe totalement?

Mon scénario est que je configure un Synology NAS pour qu'il exécute un serveur de messagerie et je veux absolument permettre à mon ordinateur portable d'envoyer des courriels via mon serveur SMTP, peu importe d'où je me connecte.

Donc, si SPF me limite tellement que je dois être dans une zone IP avant de pouvoir envoyer au travers, alors en quoi cela est-il utile?

Ou est-il en train de dire que le domaine de l'expéditeur doit se trouver dans les enregistrements énumérés? tel que l'expé[email protected] peut uniquement relayer via ce serveur SMTP est foo.bar est un enregistrement spf valide?

Je dois être incompris quelque chose?

Mordachai
la source
2
Avez-vous déjà lu la page Wikipedia sur le SPF? fr.wikipedia.org/wiki/Sender_Policy_Framework
Konqui
Je lis cela et quelques autres articles et j'essaie de créer des énigmes :) Je suis normalement un gars en C ++, pas un expert en SMTP, et l'esprit est en train de fondre! ;)
Mordachai

Réponses:

3

Wikipedia Cadre de Sender Policy :

Sender Policy Framework (SPF) est un protocole de validation de courrier électronique conçu pour détecter et bloquer l’usurpation de courrier électronique en fournissant un mécanisme permettant à des échangeurs de courrier reçus de vérifier que le courrier entrant d’un domaine provient d’une adresse IP autorisée par les administrateurs de ce domaine. La liste des hôtes d'envoi autorisés et des adresses IP d'un domaine est publiée dans les enregistrements DNS (Domain Name System) de ce domaine sous la forme d'un enregistrement TXT spécialement formaté. Le spam par courrier électronique et le phishing utilisent souvent des adresses et des domaines forgés "depuis". La publication et la vérification d'enregistrements SPF peuvent donc être considérées comme l'une des techniques antispam les plus fiables et les plus simples à utiliser.

Cela signifie simplement que si vous envoyez un courrier électronique à partir d'un domaine, votre adresse IP doit être déclarée en tant qu'e-maileur valide par le propriétaire du domaine. Ne pas réussir le contrôle SPF ne bloque pas normalement votre courrier électronique, mais vous pouvez constater que vos messages ont été classés comme spam.

harrymc
la source
Quelle adresse IP? L'adresse IP de l'expéditeur indiqué ([email protected]) ou l'adresse IP réelle du client qui tente l'envoi (lorsqu'un ordinateur donné se trouve sur l'inet)? ou l'adresse IP du serveur d'envoi lui-même (qui est peut-être Outlook dans certains cas ou tout autre client de messagerie, ou peut-être un serveur de messagerie relayant un message?)
Mordachai
1
L'adresse IP réelle de l'expéditeur. Tous les champs d’en-tête du message peuvent (et sont souvent) piratés, ils ne peuvent donc pas être approuvés.
harrymc
1
@Mordachai: la vérification a lieu pendant le transfert vers le domaine du destinataire. Par conséquent, l'expéditeur est le serveur final qui appartient toujours au domaine d'origine, celui qui communique directement avec les serveurs SMTP du domaine de destination.
Grawity
1
@grawity: ce n'est pas très précis, car l'expéditeur final du domaine est souvent partagé par tous les ordinateurs du domaine. Cela fait de tout le monde un emailer autorisé ...
harrymc
1
@harrymc en fait, c'est le serveur qui envoie les emails qui est l'expéditeur. Si vous utilisez un serveur Exchange, le serveur Exchange peut être l'expéditeur ou un serveur SMTP peut être utilisé. Soit vous définissez l’enregistrement SPF sur l’adresse IP du serveur d’échange, soit le serveur SMTP. Si vous avez IMAP, le serveur smtp pour cet IMAP doit être utilisé et cette adresse IP peut être listée. C'est généralement le serveur sur lequel se trouvent les hôtes de messagerie. Il peut s'agir également du serveur smtp du fournisseur de services Internet sur lequel se trouve la personne, mais ce n'est jamais une bonne chose à faire si vous travaillez également avec des enregistrements SPF.
LPChip
1

Vous ne comprenez pas les enregistrements SPF.

Les enregistrements SPF permettent de vérifier quelles adresses IP sont supposées pouvoir envoyer des courriels.

Lorsque vous configurez un enregistrement SPF, quiconque vérifie l'enregistrement pense: d'accord, ils me disent en fait ici quelles adresses IP sont autorisées à envoyer des e-mails, ce qui me permet de vérifier avec la personne qui envoie ici.

Ainsi, lorsque vous envoyez un courrier électronique à un autre serveur, celui-ci peut avoir un filtre anti-spam dans lequel le filtre anti-spam vérifie l'enregistrement SPF. S'il ne confirme pas l'envoi de l'e-mail, le filtre anti-spam peut décider de rejeter votre e-mail.

Cela signifie également que si le serveur auquel vous envoyez le courrier électronique n'a pas de filtre anti-spam, le courrier électronique sera transmis même si l'enregistrement SPF ne précise pas votre adresse IP.

L'enregistrement SPF, par conséquent, est un guide pour les filtres anti-spam, pas une méthode pour bloquer les emails.

Maintenant, vous pouvez vous demander quand vous auriez besoin d'un enregistrement SPF, parce que le courrier électronique ne serait-il pas toujours envoyé de votre serveur? Non, ce ne serait pas. Tout le monde peut usurper les en-têtes d'un e-mail et lui donner l'impression que celui-ci provient de votre serveur alors que ce n'est pas le cas. Le filtre anti-spam effectue ensuite une recherche de nom de domaine, trouve l'enregistrement SPF, le met en correspondance avec l'adresse IP de cet arnaqueur, voit qu'il ne correspond pas et signale le courrier en tant que spam.

LPChip
la source
D'accord, alors si je veux dire aux autres serveurs "hé, tous les courriels prétendant provenir de my-domain.com doivent provenir de l'adresse IP de mon serveur de messagerie mail.my-domain.com", alors je peux dire "v = spf1 mx - all "--- qui se traduit par" seule mon adresse IP MX est autorisée à envoyer un courrier électronique pour ce domaine "?
Mordachai