[LinuxFocus-icon]
<--  | Mapa Serwisu  | Indeks  | Szukaj

Nowo�ci | Archiwum | Linki | O Nas
Ten dokument jest dost�pny w nast�puj�cych j�zykach: English  ChineseGB  Deutsch  Francais  Italiano  Nederlands  Portugues  Polish  

[Photo of the Author]
Bruno Sousa
<bruno/at/linuxfocus.org>

O Autorze:

Bruno studiuje w Portugalii. Wolny czas po�wi�ca Linuksowi i fotografii.



Tlumaczenie na jezyk polski:
Artur R. Sierp <artursp(malpa)o2.pl>

Zawarto��:

 

Wprowadzenie do SPF

[Illustration]

Notka:

SPF oznacza Sender Policy Framework (przyp. t�.: co w wolnym t�umaczeniu oznacza "Szkielet Polityki Bezpiecze�stwa Nadawcy"). W swej istocie stara si� on by� standardem zabezpieczaj�cym przed fa�szowaniem adres�w e-mail. Ten artyku� jest kr�tkim wprawadzeniem do SPF oraz opisuje jego zalety i wady.

_________________ _________________ _________________

SPF mia� sw�j pocz�tek w roku 2003. Jego tw�rca Meng Weng Wong zebra� najlepsze cechy Reverse MX i DMP ( Designated Mailer Protocol) powo�uj�c do �ycia SPF.
SPF u�ywa return-path ( �cie�ki powrotnej ) lub MAIL FROM ( list od ) wyst�puj�ce w nag��wku wiadomo�ci email. Wszyskie MTA (serwery zajmuj�ce sie dostarczaniem poczty) u�ywaj� tego nag��wka, chocia� pojawi�a sie nowa propozycja sygnowana przez Micro$oft (brrr, brrr) zwana PRA (Purported Responsible Address). PRA odzwierciedla w tym przypadku adres nadawcy.
Kiedy wi�c po��czymy razem SPF i PRA otrzymamy Sender ID (numer indentyfikuj�cy nadawc�). Sender ID pozwala u�ytkownikowi , kt�ry otrzyma� email, na sprawdzenie nadawcy poprzez zawarto�ci nag��wka (MAIL FROM)- za pomoc� SPF, a dok�adniej m�wiac to MTA sprawdza (MAIL FROM) a MUA dokonuje sprawdzenia za pomoc� mechanizmu PRA.
Aktualnie SPF aby dzia�a� poprawnie potrzebuje DNSa. Dok�adniej m�wi�c rekord "reverse MX" musi by� dost�pny na DNS, aby mo�liwe by�o jednoznaczne okre�lenie maszyny wraz z domen� z kt�rej zosta� wys�any list. R�ni sie to od "zwyk�ego" MX , u�ywanego obecnie, pozwalaj�cego na okre�lenie jedynie domeny z kt�rej pochodzi nadawca listu.  

Czego SPF wymaga do prawid�owego dzia�ania?

Aby chroni� sw�j system za pomoc� SPF musisz:
  1. Skonfiguruj sw�j DNS dodaj�c rekord TXT, gdzie o znajduj�ce sie tam informacje bedzie pyta� SPF.
  2. Skonfiguruj sw�j serwer pocztowy (qmail, sendmail) pod kontem SPF, co oznacza� b�dzie weryfikacj� ka�dej wiadomo�ci na serwerze.
Najpierw swoj� uwag� skupimy na punkcie pierwszym , czyli na serwerze DNS odpowiedzialnym za dan� domen�. W tej cz�ci artyku�u opiszemy szczeg�y rekordu TXT. Jedyn� rzecz� z kt�ra sie spotkasz jest sk�adnia plik�w konfiguracyjnych twojego serwera DNS. Nie obiawiaj sie tego tak bardzo, gdy� na oficjalnej stronie SPF znajduje si� wspania�y opis , kt�ry poprowadzi Cie za r�czke. h2>Rekord TXT dla SPF Format rekordu TXT dla SPF przedstawia si� nast�puj�co:
		v=spf1 [[pre] type [ext] ] ... [mod]

Znaczenie ka�dego parametru jest nast�puj�ce:
Parametr Opis
v=spf1 Wersja SPF. Kiedy u�ywasz Sender ID to ustaw : v=spf2
pre Kody powrotu. Zwracane podczas wyst�pienia dopasowania:

Mo�liwe warto�ci:
Warto�� Opis
+ Domy�lne. Oznacza przej�cie testu.
- Oznacza nie przej�cie testu.
~ Miekki b��d (Soft fail). Warto�� normalnie przypisywana kiedy test nie jest ostateczny.
? Neutralny. Warto�� normalnie przypisywana kiedy test nie jest ostateczny.
type Definicje typ�w u�ytych podczas weryfikacji.

Mo�liwe warto�ci:
Warto�� Opis
include przy�acza domeny do testu.
podaje si� go w formie include:domain
all ko�czy sekwencje testu.
Dla przyk�adu: podajemy -all i w�wczas je�eli wszystkie dotychczasowe (do wyst�pienia all) testy nie pasuj� , w�wczas ca�y test zawodzi. Gdy natomiast nie jeste�my pewni co do tego rozwi�zania , mo�emy poda� ?all w�wczas winik testu jest przyjmowany jako zaakceptowany.
ip4 U�ywa protoko�u IP4 podczas weryfikacji.
U�ywany w formie ip4:ipv4 lub ip4:ipv4/cidr do zdefiniowania zasi�gu. Gdzie np.: ipv4 to 192.168.1.0. Ten protok� jest najbardziej zalecany.
ip6 U�ywa protoko�u IP6 podczas weryfikacji.
a U�ywa domenowych nazw podczas weryfikacji.
Czyta w DNS rekord A RR
U�ywany w formie a:domain, a:domain/cidr lub a/cidr.
mx U�ywa DNS MX RR podczas weryfikacji.
Rekord MX RR definiuje odbieraj�cy MTA. Dla przyk�adu: je�eli nie b�dzie to ten sam MTA s�u��cy do wysy�anie, w�wczas test bazuj�cy na MX zawiedzie.
U�ywany w formie mx:domain, mx:domian/cidr lub mx/cidr.
ptr U�ywa DNS PTR RR podczas weryfikacji.
W tym przypadku je�eli nazwa hosta znajduje si� w domenie w�wczas komunikacja zostaje zweryfikowana pozytywnie.
U�ywany w formie ptr:domain.
exist Test na istnienie domeny.
U�ywany w formie exist:domain.
ext Definiuje opcjonalne rozsze�enie do danego typu. Je�eli zostanie omini�te to w�wczas u�yta jest prosta forma (a, mx lub ptr)
mod To jest ostatni typ i wyst�puje jako modyfikator.

Modyfikator Opis
redirect Przekazuje spos�b weryfikacji SPF zapisan� w podanej domenie.
U�ywany w formie redirect=domain.
exp Ten rekord musi wyst�pi� jako ostatni i pozwala na zmiane wysy�anej informacji o b��dzie.

IN TXT "v=spf1 mx -all exp=getlost.example.com"

getlost IN TXT "Nie masz autoryzacji do wysy�ania z tej domeny"


 

Hey, jestem ISP (t�.: "dostawc� us�ug sieciowych")

Oczywi�cie dostawcy mog� mie� trudno�ci ze swoimi klientami kt�rzy u�ywaj� POPa zamiast SASL SMTP.
Dlatego, je�eli jeste� ISP i k�opotem jest dla Ciebie SPAM, albo podszywanie sie pod konta, to w�wczas rozwa� zmiane polityki dytycz�c� poczty i zacznij u�ywa� SPF.
Podam Ci kilka krok�w kt�re musisz rozwa�y�:
  1. Po pierwsze skonfiguruj sw�j MTA aby u�ywa� SASL.
  2. Poinformuj swoich u�ytkownik�w o polityce jak� wprowadzasz ( na spf.pobox.com znajdziesz przyk�ady).
  3. Daj swoim u�ytkownikom czas na przywykni�cie. Znaczy to tyle, �e ustawiaj�c SPF w DNS zastosuj softfail (~all) zamiast bezwarunkowego (-all)

Dzi�ki temu ochronisz swoje serwery, swoich klient�w i r�szte przed zalewem Spamu.

Na oficialnej stronie SPF znajdziesz wiele cennych informacji. A wi�c na co czekasz?

 

Czy s� sytuacje na kt�re musz� zwr�cic szczeg�ln� uwag�?

SPF jest idealnym rozwi�zaniem broni�cym przeciwko oszustwom, chocia� posiada jedn� wad�: tradycyjny forwarding po prostu nie dzia�a. Nie mo�esz otrzymanej poczty przekaza� dalej. Musisz za ka�dym razem zmieni� adres nadawcy. Odpowiednie �aty dla popularnych MTA znajdziesz na stronie SPF . M�wi�c pro�ciej: je�eli umie�cisz w DNS zapisy dotycz�ce SPF, musisz ustawi� MTA tak, aby zmienia�y adres nadawcy, nawet w�wczas gdy nie sprawdzasz regu� SPF.  

Wnioski

Mo�esz pomy�le�, �e wdra�anie SPF mo�e by� conajmniej zagmatwane. Ale tak naprawd� nie jest skomplikowane i na stronach dotycz�cych SPF znajdziesz wiele przyk�ad�w kt�re pomog� Ci w osi�gni�ciu celu.

Je�eli masz do�� spamu w�wczas SPF mo�e okaza� sie bardzo pomocnym, chroni�c twoj� domen� przed podszywaniem si�, a wszystko co musisz zrobi� to doda� kilka linijek tekstu do konfiguracji serwera DNS i odpowiednio skonfigurowa� serwer pocztowy.

Korzy�ci kt�re dostarcza SPF s� naprawd� du�e. Chocia�, jak powiedzia�em komu�, kiedy� - " nie ma r�nicy miedzy noc� a dniem ". Korzy�ci ze stosowania SPF przyjd� z czasem, gdy inni zaczn� ten mechanizm stosowa�.

Wspominaj�c o Sender ID, jako krewniku SPF, nie rozszerzy�em opisu na jego temat. Prawdopodobnie ju� znasz pow�d - tak, polityka Micro$oftu jest zawsze taka sama - patenty na oprogramowanie. W odno�nikach znajdziesz pozycje dotycz�c� SenderID

W nast�pnym artykule porozmawiamy na temat konfiguracji MTA, a wi�c zapraszam.

Mam nadziej�, �e przyda�o Ci sie to kr�tkie wprowadzenie do SPF. Je�eli jeste� zainteresowany dowiedzie� i nauczy� si� wi�cej, to skorzystaj z poni�szych odno�nik�w, kt�rych sam u�ywa�em podczas pisania tego artyku�u.

 

Odno�niki

The official site of SPF.
The official FAQ of SPF.
The official wizard of SPF.
The position of the openspf.org about SenderID.
An excellent article about SenderId and SPF.
warn your users about the SASL convertion
HOWTO - Define an SPF Record
 

Dyskusja dotycz�ca tego artyku�u

Komentarze do dyskusji:




Strona prowadzona przez redakcj� LinuxFocus
© Bruno Sousa
"some rights reserved" see linuxfocus.org/license/
http://www.LinuxFocus.org
t�umaczenie:
en --> -- : Bruno Sousa <bruno/at/linuxfocus.org>
en --> pl: Artur R. Sierp <artursp(malpa)o2.pl>

2004-12-10, generated by lfparser version 2.50