Sender Policy Framework

Z Wikipedii

Sender Policy Framework (SPF) to niekomercyjny projekt mający na celu wprowadzenie zabezpieczenia serwerów SMTP przed przyjmowaniem poczty z niedozwolonych źródeł. Ma to pozytywnie wpłynąć na ograniczenie ilości spamu oraz zmniejszenie ilości rozsyłających się wirusów.

Dotychczas proces przesyłania poczty wyglądał w uproszczeniu tak:

gdzie:

• serwer A - serwer pocztowy nadawcy
• serwer B - serwer pocztowy odbiorcy

O ile na etapach 1 i 3 występuje autoryzacja użytkownika (SMTP-AUTH i POP3), to etap 2 przebiega bez jakiegokolwiek sprawdzania uprawnień. SPF powstał właśnie po to, aby tę sytuację zmienić.

Jak to działa? Serwer B zabezpieczony przez SPF sprawdza w DNS-ie, czy wysyłana do niego poczta pochodzi z serwera posiadającego "uprawnienia" do wysyłania poczty z danej domeny. Jeżeli tak, to poczta jest przyjmowana. Natomiast jeśli adres IP nie pasuje do danej domeny - połączenie jest odrzucane. Dzięki temu spamerzy podszywający się pod cudze adresy e-mail i robiące to samo wirusy typu Mydoom nie dostaną zielonego światła i ich przesyłki zostaną odrzucone.

Oczywiście zabezpieczenie SPF dotyczy tylko ruchu międzyserwerowego, użytkownicy nie muszą niczego zmieniać w swoich programach pocztowych.

[edytuj] Problemy

Z chwilą wykorzystania SPF na serwerach, dla użytkowników jednak pojawiają się problemy w korzystaniu z poczty elektronicznej. Wiążą się one z niedopasowaniem SPF do istniejącej architektury i mechanizmów sieci.

Krytycy wskazują przede wszystkim na niezgodność ze standardem przekazywania poczty pomiędzy domenami (RFC 974), oraz zasadniczo niezgodność ze standardem SMTP (RFC 2821). Istotne jest także to, że SPF przejmuje pewien mechanizm DNS dla swoich własnych celów, co rodzi konflikt z wykorzystaniem oryginalnym. Samo założenie, że mechanizm DNS jest bezpieczny i wiarygodny, jest błędne.

Rejestracji w bazie SPF należy dokonać na serwerze DNS domeny, z której poczta będzie wysyłana, a więc najprawdopodobniej u dostawcy internetowego. Konieczność tej rejestracji może być problemem dla niektórych posiadaczy serwerów pocztowych, takich jak na przykład prywatnych lub należących do niewielkich firm. Dzięki SPF dostawca usługi DNS otrzymuje mechanizm kontroli przesyłania poczty ze swojej domeny. Dzięki temu może on wymusić na swoich klientach korzystanie ze ściśle określonego, komercyjnego serwera poczty.

Należy zauważyć, że openspf.org potwierdza istnienie tylko niektórych z tych problemów. Przyznaje też, że serwery wysyłające niechcianą pocztę dalej będą powstawać a ich zablokowanie będzie oparte o "działający w czasie rzeczywistym system automatycznego odkrywania". Samo działanie tego systemu jest eksperymentalne i rozważane głównie teoretycznie, a praktyczne możliwości pozostają nieznane^[1].

[edytuj] Linki zewnętrzne

• http://www.openspf.org/ (en)
• SPF is harmful. Adopt it. (en)

[edytuj] Przypisy

1. ↑ http://spf.pobox.com/objections.html