Caller-ID i SPF – ochrona przed SPAMem w Kerio Connect
Jeśli męczy Cię kasowanie SPAMu, masz dość wiadomości, gdzie jako nadawca występuje Twój adres email, jeśli szukasz skutecznej metody walki z niechcianą pocztą, a bramki antyspamowe są dla Ciebie zbyt drogie i nie gwarantują pełnej ochrony, zapoznaj się z serwerem pocztowym Kerio Connect – pierwszym komercyjnym rozwiązaniem na rynku wyposażonym w technologię Caller-ID.
Wśród kilkunastu mechanizmów do walki ze SPAMem, inżynierowie zawarli dwa, bardzo ciekawe i niezwykle skuteczne rozwiązania, szczególnie dobrze sprawdzające się w walce z wiadomościami kierowanymi „od nas do nas” – SPF oraz Caller-ID. Technologie te bazują na sprawdzaniu rekordów tekstowych w DNS, które określają grupy dopuszczone do przesyłania poczty dla określonych domen. Funkcjonalność tych mechanizmów w dużej części pokrywa się, jednak występujące między nimi różnice powodują, że odpowiednie skonfigurowanie obydwu będzie stanowić poważną przeszkodę dla „spammerów”.
W największym skrócie, konfiguracja jest dwuetapowa – wymagane jest dodanie rekordów do DNS oraz włączenie mechanizmów ochrony w serwerze pocztowym. Zajmijmy się pierwszym zagadnieniem – konfiguracją DNS. Zarówno dla SPF jaki i Caller-ID konieczne jest dodanie osobnych rekordów. Dla SPF rekord TXT powinien nazywać się tak, jak domena. Najprostsza jego wersja powinna mieć postać:
„v=spf1 mx -all”
lub
„v=spf1 ip4:x.x.x.x -all”
lub
„v=spf1 a -all”
Możemy oczywiście łączyć wpisy, tworząc bardziej skomplikowane struktury, odpowiadające konfiguracji systemu pocztowego, np.
„v=spf1 mx ip4:x.x.x.x a -all”
Co to oznacza?
v=spf1 – powoduje, że stworzony rekord TXT jest odczytywany jako SPF; mx – pozwala na wysyłanie poczty hostowi wskazanemu w DNS jako serwer pocztowy; ip4: – zezwala na wysyłanie z określonego adresu IPv4; a – zezwala na wysyłanie hostowi zdefiniowanemu w DNS jako host A; -all – określa zachowanie serwera w przypadku błędu SPF (w tym przypadku odrzuca wiadomość)
WAŻNE!!! Serwer Kerio Connect nie odrzuca wiadomości, gdy SPF skonfigurowany jest na SOFT_FAIL (~all).
W przypadku Caller-ID, rekord TXT dla domeny musi nazywać się _ep.domena.xx, gdzie zamiast domena.xx wpisujemy nazwę naszej domeny. _ep w tym przypadku oznacza, że taki rekord jest rozpoznawany jako poprawny rekord dla Caller-ID. Treść takiego rekordu w najprostszym przypadku powinna wyglądać następująco:
<ep xmlns=’http://ms.net/1′><out><m><mx/></m></out></ep>
lub
<ep xmlns=’http://ms.net/1′><out><m> <a>x.x.x.x</a> </m></out></ep>
W pierwszym przypadku dopuszczone do wysyłanie z naszej domeny są hosty, wskazane w DNS jako serwery pocztowe (rekord MX dla domeny), w drugim – host o określonym adresie x.x.x.x.
Bardziej skomplikowana forma może wyglądać tak:
<ep xmlns=’http://ms.net/1′><out>
<m><mx/></m>
<m><a>x.x.x.x</a></m>
</out></ep>
Drugi etap konfiguracji, to włączenie sprawdzania SPF oraz Caller-ID w serwerze pocztowym. W przypadku Kerio Connect można tego dokonać w konsoli administracyjnej, w części Konfiguracja -> Filtr zawartości -> Filtr spamu, w zakładce SPF oraz Caller-ID.
Po więcej szczegółów odnośnie konfiguracji w/w mechanizmów, zapraszamy do artykułów w bazie wiedzy SunCapital: http://pomoc.suncapital.pl/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=30&nav=0,2,3,
Kerio: https://kb.kerio.com/article/how-do-i-create-an-spf-or-caller-id-record-248.html,
do Podręcznika Administratora Kerio Connect: ,
na stronę http://openspf.net oraz do dokumentu Microsoft na temat Caller-ID .
5 Komentarzy. Zostaw nowy
[…] O tym w jaki sposób można się zabezpieczyć przed tego typu podszywaniem się pod maila można przeczytać tutaj […]