SPF adalah singkatan dari Sender Policy Framework. Menurut Wikipedia, SPF adalah kerangka kerja yang membantu melindungi email palsu dari domain tertentu. Ini pertama kali diperkenalkan pada awal 2000 tetapi tidak distandarisasi secara resmi hingga 2014, dengan publikasi RFC 7208. Secara sederhana, SPF menyediakan cara untuk menerima server email untuk memvalidasi bahwa email yang dikirim kepada mereka adalah sah, yang mengurangi email SPAM.
SPF diimplementasikan dengan menambahkan beberapa TXT Data Domain Name Server (DNS) untuk nama domain tertentu yang mengirim email.
Mari kita lihat bagaimana redhat.com menggunakan SPF dengan dig:
$ dig +short redhat.com TXT | grep spf
"v=spf1 ip4:103.23.64.2 ip4:103.23.65.2 ip4:103.23.66.26 ip4:103.23.67.26 ip4:107.21.15.141 ip4:108.177.8.0/21 ip4:13.111.0.0/16 ip4:136.147.128.0/20 ip4:136.147.176.0/20 ip4:148.105.8.0/21 ip4:148.139.0.2 ip4:148.139.1.2 ip4:148.139.2.2 ip4:148.139.3.2 ip" "4:149.72.0.0/16 ip4:149.96.1.26 ip4:149.96.13.2 ip4:149.96.132.2 ip4:149.96.133.2 include:spf1.redhat.com -all" Lihat TXT catatan dikembalikan. Ada empat kata kunci yang perlu Anda pahami:
- v=spf1
- ip4 - Menyediakan alamat IPv4 dari semua server email tempat domain tertentu dapat mengirim email secara sah. Formatnya dapat berupa host IPv4 tunggal atau jaringan IPv4 dengan subnet mask CIDR.
- sertakan - Memberikan persetujuan sub-domain tambahan untuk mengirim email atas nama domain induk.
- -semua - Menentukan bahwa tidak alamat IPv4 lainnya harus dipercaya sebagai pengirim email yang valid.
Ada tiga opsi untuk semua :
- -semua - Juga dikenal sebagai "tanda hubung semua", sekali lagi, berarti email yang dikirim oleh alamat IPv4 yang tidak secara khusus tercantum dalam TXT catatan harus ditolak.
- ~semua - Juga dikenal sebagai "tilde all", berarti email yang dikirim melalui alamat IPv4 yang tidak tercantum secara spesifik di TXT catatan mungkin harus ditandai sebagai SPAM.
- +semua - Juga dikenal sebagai "plus semua", berarti email yang dikirim oleh setiap dan semua alamat IPv4 dari domain tertentu diotorisasi. Ini sangat tidak dianjurkan.
Ketika memikirkan keamanan, lebih sedikit akses lebih banyak. Harap konfigurasikan data domain SPF dengan server email resmi yang sah untuk mengirim email. Ini membantu melindungi domain tersebut agar tidak menjadi korban.
[ Anda mungkin juga menyukai: Panduan sysadmin untuk mengonfigurasi server email ]
Cara kerjanya
Seorang karyawan Red Hat mengirim email melalui server surat Red Hat ke penerima Google Gmail. Lapisan server perlindungan email Google melakukan penyelidikan SPF melalui DNS TXT merekam pencarian terhadap redhat.com DNS. DNS redhat.com merespons dengan TXT berikut ini catatan:
"v=spf1 ip4:103.23.64.2 ip4:103.23.65.2 ip4:103.23.66.26 ip4:103.23.67.26 ip4:107.21.15.141 ip4:108.177.8.0/21 ip4:13.111.0.0/16 ip4:136.147.128.0/20 ip4:136.147.176.0/20 ip4:148.105.8.0/21 ip4:148.139.0.2 ip4:148.139.1.2 ip4:148.139.2.2 ip4:148.139.3.2 ip" "4:149.72.0.0/16 ip4:149.96.1.26 ip4:149.96.13.2 ip4:149.96.132.2 ip4:149.96.133.2 include:spf1.redhat.com -all" Permintaan SPF Google mengurai respons, melihat alamat server email pengirim amplop email, dan mencoba mencocokkannya dengan alamat IPv4 dalam daftar yang disediakan. Jika cocok, Google mengetahui bahwa ini adalah email sah yang dikirim dari server email Red Hat yang disetujui. Jika informasi tidak cocok, maka amplop email dianggap telah dipalsukan/diubah dan memblokir atau menandainya sebagai SPAM untuk melindungi penerima.
Cara menerapkan
Untuk membuat data SPF untuk nama domain, Anda harus menyediakan data DNS berikut di server nama otoritatif domain Anda.
example.com. IN TXT “v=spf1 ipv:192.168.100.200 -all” Catatan ini sekarang mengiklankan bahwa email yang sah hanya akan dikirim melalui alamat IPv4 192.168.100.200 dari domain example.com. Semua yang lain harus ditolak.
[ Ingin menguji kemampuan sysadmin Anda? Ikuti penilaian keterampilan hari ini. ]
Menutup
SPF adalah salah satu dari tiga opsi konfigurasi berbasis DNS umum yang dimiliki administrator email. Nantikan saat saya memperkenalkan opsi konfigurasi Domain-based Message Authentication (DMARC) dan DomainKeys Identified Mail (DKIM) di postingan blog mendatang.