Sender Policy Framework viết tắt SPF xuất phát từ kỹ thuật ngăn chặn thư rác (spam), là phương pháp xác thực địa chỉ người gửi (Email address). Kỹ thuật này giúp người nhận nhận ra địa chỉ của người gửi là thật hay giả, từ đó có thể ngăn chặn được việc phát tán thư rác hay lừa đảo trực tuyến (phishing). Phương pháp này yêu cầu xác lập hệ thống tên miền (DNS), trong đó khai báo những máy chủ nào có thể gửi thư từ một tên miền Internet nhất định. Phía người nhận sẽ thông qua truy vấn DNS để xác thực địa chỉ của người gửi và địa chỉ IP có phù hợp với nhau không, từ đó biết được địa chỉ người gửi là thật hay giả.
Ấn bản IETF RFC 7208 đăng trong tháng 4 năm 2014 định nghĩa Sender Policy Framework như là “tiêu chuẩn đề nghị”.
Nguyên tắc hoạt động
Giao thức SMTP cho phép bất kỳ máy tính nào gửi email cho là mình đến từ bất kỳ nguồn địa chỉ nào. Điều này được khai thác bởi những người gửi thư rác, những người thường sử dụng địa chỉ email giả mạo, làm cho việc tra cứu email từ nguồn nào ra trở nên khó khăn hơn và dễ dàng cho người gửi thư rác ẩn danh tính của họ để tránh trách nhiệm. Nó cũng được sử dụng trong kỹ thuật lừa đảo phishing, nơi người dùng có thể bị lừa gạt để tiết lộ thông tin cá nhân khi trả lời một email được giả dạng là của một tổ chức thí dụ như từ một ngân hàng.
SPF cho phép chủ sở hữu của một miền Internet chỉ định máy chủ email (có phần mềm Mail Transfer Agent (MTA)) nào được ủy quyền gửi thư với địa chỉ từ miền đó, sử dụng các mẫu tin Resource Record (RR)của hệ thống tên miền (DNS) để liệt kê địa chỉ IP của các máy chủ. Phía nhận thư xác minh thông tin SPF có thể từ chối các thư từ tới từ các nguồn không có thẩm quyền trước khi nhận nội dung thư. Ứng dụng hiện tại yêu cầu sử dụng các mẫu tin TXT.
Trước hết máy chủ email tại phía gửi thư thiết lập đối thoại với máy chủ email của phía nhận thư qua giao thức SMTP. Tại bước này các thông tin về tiêu đề (header) của thư được gửi từ phía gửi sang phía nhận. Thông tin tiêu đề bao gồm tên miền của bên gửi và địa chỉ IP của máy chủ email bên gửi. Máy chủ email bên nhận thư tạo ra 1 truy vấn DNS gửi đến máy chủ DNS của bên gửi, yêu cầu cung cấp danh sách những máy chủ email được phép gửi thư của bên gửi; Máy chủ DNS của bên gửi trả kết quả về cho máy chủ email của bên nhận. Sau đó máy chủ email bên nhận đối chiếu xem địa chỉ IP của máy chủ email vừa gửi thư có nằm trong danh sách này không. Nếu có thì địa chỉ người gửi được xác nhận là hợp lệ. Nếu không có thì địa chỉ người gửi có thể là không hợp lệ, thư điện tử này có nhiều khả năng là spam.
Lưu ý rằng việc xem xét này không liên quan đến tiêu đề “From – Từ”, mà thường được các phần mềm e-mail dùng để chỉ định người gửi. Do đó SPF không thể bảo vệ người tiêu dùng khỏi bị những kẻ lừa đảo đánh lừa. Tuy nhiên, nó có thể giúp đỡ truy tìm những thành phần này.