Материал из AutoSPF.

В алгоритме AutoSPF политика определения «легальности» почты (верификации отправителя сообщения) строится на анализе вероятности существования связи почтового домена отправителя с IP адресом передающего почтового сервера. Технология автоматической верификации отправителя AutoSPF, во многом подобна популярной сегодня технологии SPF (Sender Policy Framework). В обеих случаях для целей верификации сообщений, исходящих из данного домена используются DNS записи. В случае использования технологии SPF администратор (владелец) домена, используя DNS публикует данные, описывающие возможные источники электронной почты с адресами отправителя из этого домена. В случае использования AutoSPF предполагается что записи DNS обычно изначально содержат достаточно информации для верификации отправителя. В простейшем случае для успешной верификации отправителя необходимо выполнение 3 основных условий:

1. Должна присутствовать хотя бы одна MX запись в описании зоны почтового домена (хостовой части e-mail адреса отправителя);
2. Должно выполняться обратное разрешение имени хоста отправителя;
3. Хост отправителя должен иметь запись на одном из DNS серверов, обслуживающих зону почтового домена.

С помощью анализа DNS-записей проверяется соответствие домена отправителя на соответствие адресу сервера который осуществил соединение. Т.е. отправитель с адресом somebody@host.name может отправить почту только через почтовый сервер домена host.name, который разрешается через DNS и имеет MX запись, соответствующую IP адресу сервера осуществившему соединение.

Реальный алгоритм автоматической верификации отправителя выглядит немного сложнее. На первом этапе анализируется список MX записей в описании зоны почтового домена. С помощью прямого разрешения имени каждого из указанных MX серверов получается список IP адресов почтовых серверов домена. Сравнением IP адреса отправителя с адресами из полученного списка определяем принадлежность сервера почтовому домену отправителя.

На этом этапе поиск можно было бы завершить, но реальность такова, что почта зачастую отправляется вполне легально через родственные сети, например с использованием почтового сервиса провайдера. Для определения родственного окружения необходима дополнительная информация, и она также в большинстве случаев содержится в DNS-записях. В том случае, если используется почтовый (MX) сервер провайдера, родственные сети, как правило обслуживаются одними и теми же серверами имен. Исходя из этого предположения, для начала получаем список серверов имен (NS записи), указанных в описании зоны почтового домена. Для определения списка серверов имен, связанных с IP адресом отправителя, составляем соответствующую этому адресу обратную (PTR) запись. На следующем этапе получаем список серверов имен (NS записи) указанных в описании обратной зоны IP адреса отправителя. В том случае если хотя бы один из указанных серверов имен присутствует в обеих зонах — отправитель считается верифицированным. На последнем этапе с помощью обратного разрешения IP адреса отправителя определяем соответствующее ему имя домена. Получаем список серверов имен (NS записи), указанных в описании зоны этого домена. Сравниваем каждую из найденных записей с соответствующими записями в зоне почтового домена. В том случае если хотя бы один из указанных серверов имен присутствует в обеих зонах — отправитель считается верифицированным.

Все успешные DNS запросы кэшируются. Общее число DNS запросов на одно соединение как правило не превышает 20.