Sender Policy Framework (SPF) – niekomercyjny projekt mający na celu wprowadzenie zabezpieczenia serwerów SMTP przed przyjmowaniem poczty z niedozwolonych źródeł. Ma to pozytywnie wpłynąć na ograniczenie liczby wiadomości mailowych będących spamem.
Serwer B zabezpieczony przez SPF sprawdza w systemie DNS, czy wysyłana do niego poczta pochodzi z serwera uprawnionego do wysyłania poczty z danej domeny. Jeżeli tak, to poczta jest przyjmowana. Natomiast jeśli adres IP lub adres domenowy serwera przekazującego e-mail nie jest uprawniony do wysyłania maili z danej domeny, mail nie jest przyjmowany. Dzięki temu wiadomości wysyłane przez spamerów podszywających się pod cudze adresy e-mail lub przez wirusy typu Mydoom zostaną odrzucone.
Oczywiście zabezpieczenie SPF dotyczy tylko komunikacji pomiędzy serwerami SMTP. Użytkownicy nie muszą niczego zmieniać w swoich programach pocztowych.
Z chwilą wykorzystania SPF na serwerach, u użytkowników jednak pojawiają się problemy w korzystaniu z poczty elektronicznej. Wiążą się one z niedopasowaniem SPF do istniejącej architektury i mechanizmów sieci.
Krytycy wskazują przede wszystkim na niezgodność ze standardem przekazywania poczty pomiędzy domenami (RFC 974 ↓) oraz zasadniczo niezgodność ze standardem SMTP (RFC 2821 ↓). Istotne jest także to, że SPF przejmuje pewien mechanizm DNS dla swoich własnych celów, co rodzi konflikt z wykorzystaniem oryginalnym. Samo założenie, że mechanizm DNS jest bezpieczny i wiarygodny, jest błędne.
Rejestracji w bazie SPF należy dokonać na serwerze DNS domeny, z której poczta będzie wysyłana, a więc najprawdopodobniej u dostawcy internetowego. Konieczność tej rejestracji może być problemem dla niektórych posiadaczy serwerów pocztowych, takich jak na przykład prywatnych lub należących do niewielkich firm. Dzięki SPF dostawca usługi DNS otrzymuje mechanizm kontroli przesyłania poczty ze swojej domeny. Dzięki temu może on wymusić na swoich klientach korzystanie ze ściśle określonego, komercyjnego serwera poczty.
Należy zauważyć, że openspf.org potwierdza istnienie tylko niektórych z tych problemów. Przyznaje też, że serwery wysyłające niechcianą pocztę dalej będą powstawać, a ich zablokowanie będzie oparte na „działającym w czasie rzeczywistym systemie automatycznego odkrywania”. Samo działanie tego systemu jest eksperymentalne i rozważane głównie teoretycznie, a praktyczne możliwości pozostają nieznane[1].