Hvorfor SPF ikke er god nok til at stoppe spoofing

spf begrænsning blog

Som DMARC-tjenesteudbyder bliver vi stillet dette spørgsmål meget: "Hvis DMARC bare bruger SPF- og DKIM-godkendelse, hvorfor skulle vi så bekymre os om DMARC? Er det ikke bare unødvendigt?"

På overfladen kan det synes at gøre ringe forskel, men virkeligheden er meget anderledes. DMARC er ikke bare en kombination af SPF- og DKIM-teknologier, det er en helt ny protokol i sig selv. Det har flere funktioner, der gør det til en af de mest avancerede e-mail-godkendelsesstandarder i verden og en absolut nødvendighed for virksomheder.

Men vent et øjeblik. Vi har ikke svaret præcis, hvorfor du har brug for DMARC. Hvad tilbyder det, at SPF og DKIM ikke gør? Det er et ret langt svar. for lang tid for bare en blog-indlæg. Så lad os dele det op og tale om SPF først. Hvis du ikke er bekendt med det, her er en hurtig intro.

Hvad er SPF?

SPF, eller Sender Policy Framework, er en e-mail-godkendelsesprotokol, der beskytter e-mail-modtageren mod forfalskede e-mails. Det er hovedsageligt en liste over alle IP-adresser, der er godkendt til at sende e-mail via dine (domæneejerens) kanaler. Når den modtagende server ser en meddelelse fra dit domæne, kontrollerer den din SPF-post, der er udgivet på din DNS. Hvis afsenderens IP er på denne 'liste', bliver e-mailen leveret. Hvis ikke, afviser serveren e-mailen.

Læs mere

Som du kan se, gør SPF et ret godt stykke arbejde med at holde en masse usmagelige e-mails, der kan skade din enhed eller kompromittere din organisations sikkerhedssystemer. Men SPF er ikke nær så god som nogle mennesker måske tror. Det skyldes, at det har nogle meget store ulemper. Lad os tale om nogle af disse problemer.

Begrænsninger ved SPF

SPF-poster gælder ikke for fra-adressen

E-mails har flere adresser til at identificere afsenderen: Den Fra-adresse, du normalt ser, og den skjulte returstiadresse og kræver et eller to klik for at se den. Når SPF er aktiveret, ser den modtagende mailserver på returstien og kontrollerer domænets SPF-poster fra den pågældende adresse.

Problemet her er, at angribere kan udnytte dette ved hjælp af et falsk domæne i deres returstiadresse og en legitim (eller legitim udseende) e-mail-adresse i afsnittet Fra. Selv hvis modtageren skulle kontrollere afsenderens e-mail-id, ville de se fra-adressen først og gider typisk ikke at kontrollere returstien. Faktisk er de fleste mennesker ikke engang klar over, at der er sådan noget som Return Path-adresse.

SPF kan ganske let omgås ved hjælp af denne enkle trick, og det efterlader selv domæner sikret med SPF stort set sårbare.

SPF-poster har en DNS-opslagsgrænse

SPF-poster indeholder en liste over alle de IP-adresser, der er godkendt af domæneejeren til at sende e-mails. De har dog en afgørende ulempe. Den modtagende server skal kontrollere posten for at se, om afsenderen er godkendt, og for at reducere belastningen på serveren har SPF-poster en grænse på 10 DNS-opslag.

Det betyder, at hvis din organisation bruger flere tredjepartsleverandører, der sender e-mails via dit domæne, kan SPF-posten ende med at overskride denne grænse. Medmindre korrekt optimeret (hvilket ikke er let at gøre selv), vil SPF-poster have en meget restriktiv grænse. Når du overskrider denne grænse, betragtes SPF-implementeringen som ugyldig, og din e-mail mislykkes SPF. Dette kan potentielt skade dine e-mail-leveringsrater.

Lær mere

 

SPF fungerer ikke altid, når e-mailen videresendes

SPF har et andet kritisk fejlpunkt, der kan skade din e-mail-levering. Når du har implementeret SPF på dit domæne, og nogen videresender din e-mail, kan den videresendte e-mail blive afvist på grund af din SPF-politik.

Det skyldes, at den videresendte meddelelse har ændret modtageren af e-mailen, men e-mail-afsenderens adresse forbliver den samme. Dette bliver et problem, fordi meddelelsen indeholder den oprindelige afsenders Fra-adresse, men den modtagende server ser en anden IP. IP-adressen på videresendelses-e-mail-serveren er ikke inkluderet i SPF-posten for den oprindelige afsenders domæne. Dette kan resultere i, at e-mailen afvises af den modtagende server.

Hvordan løser DMARC disse problemer?

DMARC bruger en kombination af SPF og DKIM til at godkende e-mail. En e-mail skal bestå enten SPF eller DKIM for at bestå DMARC og leveres med succes. Og det tilføjer også en nøglefunktion, der gør det langt mere effektivt end SPF eller DKIM alene: Reporting.

Med DMARC-rapportering får du daglig feedback om status for dine e-mailkanaler. Dette omfatter oplysninger om din DMARC-tilpasning, data om e-mails, der mislykkedes godkendelse, og detaljer om potentielle spoofing-forsøg.

Hvis du undrer dig over, hvad du kan gøre for ikke at blive spoofed, så tjek vores praktiske guide på top 5 måder at undgå e-mail spoofing.

SPF

Nyeste indlæg af Ahona Rudra (se alle)
/af
Du vil måske også gerne
ceo svig blogDenne e-mail var ikke fra din chef: 6 måder at stoppe CEO Svig
Sådan stopper du e-mails til at gå til uønsket mappeHvordan stopper jeg mine e-mails fra at gå til mappen Uønsket mail?
Forstå de forskellige typer af trusler mod e-mailsikkerheden, og hvordan du undgår demForstå de forskellige typer af trusler mod e-mailsikkerheden, og hvordan du undgår dem
Cybersikkerhed og maskinlæring - at være på forkant med maskinlæringsbaseret e-mailsvindelCybersikkerhed og maskinlæring: Forblive på forkant med maskinlæringsbaseret e-mailsvindel
vec blogHvorfor Vendor Email Kompromis er så skræmmende (og hvad du kan gøre for at stoppe det)
2021 svindelDe 5 mest udviklede svindelnumre i forbindelse med e-mail-svig: 2023 Trends
Hvad er SMTP TLS-rapportering?Hvad-er-SMTP-TLS-rapportering?ceo svig blogDenne e-mail var ikke fra din chef: 6 måder at stoppe CEO Svig