Sender Policy Framework
 |
Den här artikeln behöver källhänvisningar för att kunna verifieras. (2014-02) Åtgärda genom att lägga till pålitliga källor (gärna som fotnoter). Uppgifter utan källhänvisning kan ifrågasättas och tas bort utan att det behöver diskuteras på diskussionssidan. |
Sender Policy Framework (SPF), eller Sender Permitted From som var det ursprungliga namnet, är en metod för att förhindra att e-post skickas med förfalskade domännamn i avsändaradressen. Med förfalskad menas här att domänen visserligen existerar men att avsändaren använder någon annan adress än sin egen som avsändaradress.
Simple Mail Transfer Protocol (SMTP), standardprotokollet på Internet för att skicka e-post, gör det möjligt att skicka meddelanden med valfri domän som avsändaradress. SPF ger domänägaren möjlighet att i DNS publicera en policy, i vilken anges från vilka datoradresser e-post från domänen ska härstamma. När en mottagande e-postserver tar emot ett meddelande kontrollerar den mot SPF-informationen i DNS hur policyn ser ut. Om meddelandet kommer från en sändande server som inte är publicerad i policyn är detta en indikation för den mottagande servern om att något kanske inte står rätt till. Denna kan då utifrån denna information avgöra meddelandets vidare öde, till exempel genom att inte ta emot meddelandet eller att sortera det som skräppost. SPF-standarden omfattar inte vad som händer med meddelanden som fallerar en SPF-validering.
SPF publiceras som ett TXT-record i DNS och kan exempelvis se ut så här:
wikipedia.org IN TXT "v=spf1 mx ptr -all"
SPF-tester brukar betraktas som otillförlitliga eftersom de inte tar hänsyn till att eposten kan ha blivit vidarebefordrad. Det är dessutom ganska enkelt att "lura" SPF-funktionen genom att en hacker registrerar ett korrekt SPF-värde för en viss domän som korrekt validerar domänen för "Envelope Adress" (MAIL FROM:) men fortfarande lurar användaren genom att använda en falsk "Data Adress" (FROM:). Eftersom det är FROM: adressen som visas i e-postklienten så kan man fortfarande bli lurad även om SPF validerar. För att maximera sitt skydd mot attacker bör man införa både SPF och DKIM och dessutom registrera ett DMARC-värde som fastslår för mottagaren hur brev från avsändaren ska hanteras. Målet bör vara att komma till p=reject i sitt DMARC-värde.