• Log på
  • Tilmeld dig
  • Kontakt os
PowerDMARC
  • Funktioner
    • PowerDMARC
    • Hosting af DKIM
    • PowerSPF
    • PowerBIMI
    • PowerMTA-STS
    • PowerTLS-RPT
    • PowerAlerts
  • Tjenester
    • Installationstjenester
    • Administrerede tjenester
    • Supporttjenester
    • Servicefordele
  • Prissætning
  • Power Toolbox
  • Partnere
    • Forhandlerprogram
    • MSSP-program
    • Teknologipartnere
    • Branchepartnere
    • Find en partner
    • Bliv partner
  • Ressourcer
    • DMARC: Hvad er det, og hvordan fungerer det?
    • Dataark
    • Casestudier
    • DMARC i dit land
    • DMARC efter industri
    • Støtte
    • Blog
    • DMARC-uddannelse
  • Om
    • Vores virksomhed
    • Klienter
    • Kontakt os
    • Bestil en demo
    • Begivenheder
  • Menuen Menu

Forståelse af begrænsningerne ved SPF i forbindelse med e-mail-godkendelse

Blogs
Forståelse af begrænsningerne ved SPF i forbindelse med e-mail-godkendelse

Sender Policy Framework eller SPF er ikke tilstrækkeligt, når det drejer sig om at sikre virksomhedens e-mails mod phishing og spamming angreb. SPF-grænsen for det maksimale antal DNS-søgninger og manglende tilpasning af From-adressen og domænet forårsager implementeringsfejl, hvilket resulterer i problemer med levering af e-mail. Denne blog omhandler disse problemer, og hvordan DMARC hjælper med at overvinde disse SPF-begrænsninger.

Hvad er begrænsningerne for SPF-optegnelser?

Der er 2 store SPF-grænser, som gør det lidt vanskeligt at implementere og vedligeholde. 

1. Grænsen for SPF 10-opslag

Når en bruger forespørger DNS-serveren, anvendes dens valideringsressourcer som båndbredde, tid, CPU og hukommelse. For at undgå belastning af validatoren er der en SPF-grænse på 10 yderligere opslag. Selve DNS-forespørgslen efter SPF-politikoptegnelsen tæller dog ikke med i denne grænse.

I henhold til RFC7208 afsnit 4.6.4bør modtagerens mailserver ikke behandle yderligere, når grænsen på 10 opslag er nået. I et sådant tilfælde afviser e-mailen SPF-validering med en Permerror-fejl. SPF Permerror er en af de meddelelser, der ofte forekommer i SPF-implementeringsprocessen. Den forårsager, at e-mailen ikke leveres, og den opstår, hvis der findes flere SPF-poster på et domæne, hvis der opstår en syntaksfejl, eller hvis SPF-postgrænserne er overskredet.

Du kan bruge den gratis SPF-record-checker værktøj til at fjerne denne fejl og sikre sikre e-mailkonversationer.

I henhold til RFC skal en DNS-forespørgsel på et værtsnavn, der er fundet i en MX-post bør ikke generere mere end 10 A-poster eller AAAA-poster. Hvis en DNS PTR-forespørgsel genererer mere end 10 resultater, vises og anvendes kun de første 10 resultater.

2. Den menneskeligt læsbare Fra-adresse

Den anden SPF-begrænsning er, at SPF-poster gælder for specifikke Return-Path-domæner og ikke for From-adressen. Modtagerne er generelt ikke særlig opmærksomme på Return-Path-adressen og fokuserer kun på From-adressen, når de åbner en e-mail. Hackere udnytter dette smuthul til at forsøge phishing-angreb ved at forfalske From-adressen.

Indflydelse af SPF-recordstørrelse på levering af e-mail

Når en modtager overskrider grænsen for SPF-poster, mislykkes SPF-kontrollen, og der opstår en Permerror. Du kan observere denne fejl, når du bruger DMARC-overvågning. Modtageren kan vælge, hvordan han/hun vil håndtere e-mails med Permerror-fejl. De kan vælge at afvise posten, hvilket betyder, at e-mailen bliver sendt tilbage. Nogle modtagere konfigurerer den til at vise et "neutralt" SPF-resultat (som om der ikke er anvendt SPF). De kan også vælge "fail" eller "softfail", hvilket betyder, at e-mails, der ikke opfylder SPF-autentifikationskontrollen, ikke afvises, men havner i spam-mappen. 

Disse resultater bestemmes også ved at tage hensyn til resultaterne af DMARC, DKIM og spamvurdering. Overskridelse af SPF-grænsen påvirker e-mailens leveringsegnethed ved at reducere sandsynligheden for, at e-mailen lander i den primære indbakke hos de tilsigtede modtagere.

Validator vurderer SPF-politikken fra venstre mod højre, og når der findes et match på afsender-IP-adressen, stopper processen. Afhængigt af afsenderen kan en validator nu ikke altid nå grænsen for opslag, selv om SPF-politikken kræver mere end 10 opslag for at blive evalueret fuldt ud. Det skaber problemer med at identificere SPF-record-grænse-relaterede problemer med levering af e-mail. 

Hvordan reducerer man antallet af nødvendige opslag?

Det er svært for nogle domæneejere at holde sig inden for SPF-grænsen på 10 opslag, da e-mailudvekslingsvanerne har ændret sig betydeligt i forhold til 2006 (dengang RFC4408 blev implementeret). Nu bruger virksomheder flere cloud-baserede programmer og tjenester med et enkelt domæne. Så følgende er nogle måder at overvinde denne almindelige SPF-begrænsning på.

  • Fjern ubrugte tjenester

Vurder din SF-registrering og se, om der er ubrugte eller uopkrævede tjenester. Kontroller, om der er 'omfatter' eller andre mekanismer, der viser domæner for tjenester, der ikke længere er i brug.

  • Fjern standard-SPF-værdierne

Standard-SPF-politikken er normalt indstillet til 'v=spf1 a mx'. Da de fleste A- og AAAA-poster bruges til webservere, som ikke må sende e-mails, er 'a' og 'mx' mekanisme ikke er påkrævet.

  • Undgå at bruge den ptr mekanisme

The ptr mekanismen frarådes kraftigt på grund af den svage sikkerhed og upålidelighed. Mekanismen forårsager SPF-grænseproblemet ved at kræve flere opslag. Derfor bør den så vidt muligt undgås.

  • Undgå at bruge den mx Mekanisme

The mx mekanismen bruges til at modtage e-mails og ikke nødvendigvis til at sende dem. Derfor kan du undgå at bruge den for at holde dig inden for den grænse for SPF-rekord, der er fastsat for opslag. Hvis du er bruger af en cloud-baseret e-mailtjeneste, skal du bruge 'include' mekanisme i stedet.

  • Brug IPv6 eller IPv4 

IPv4 og IPv6 har ikke brug for yderligere opslag, hvilket betyder, at de hjælper dig med ikke at overskride SPF-grænsen på højst 10 opslag. Du skal dog holde dig opdateret og vedligeholde de to mekanismer regelmæssigt, da de er mere udsat for fejl, når de ikke er blevet opdateret.

  • Du må ikke flade SPF-plader

Nogle ressourcer hævder, at jo mere fladtrykt (eller kortere) SPF-politikken er, jo bedre er domænets omdømme. De foreslår denne metode for at holde sig inden for de SPF-rekordgrænser, der er fastsat for opslag. Det frarådes dog at flade opsætninger, da det gør din post mere udsat for fejl og kræver regelmæssige opdateringer. 

DMARC's rolle i forbindelse med at overvinde SPF-begrænsninger

DMARC tager fat på SPF-begrænsningen af den menneskeligt læsbare Fra-adresse ved at kræve et match eller en tilpasning mellem det menneskeligt læsbare Fra-felt og den server, der er autentificeret af SPF.

Så hvis en e-mail klarer SPF-kontrollen, men domænet ikke er det samme som Fra-adressen, tilsidesætter DMARC denne godkendelse. Det betyder, at e-mailen ikke består godkendelsestesten.

Hvordan hjælper SPF record flattening med at overvinde grænsen på 10 DNS-søgninger

Udjævning af SPF-rekord er en teknik, der bruges til at optimere SPF-poster (Sender Policy Framework) for at overvinde grænsen på 10 DNS-søgninger for SPF. Grænsen på 10 DNS-opslag er en begrænsning, som mange DNS-resolvere pålægger, og som begrænser antallet af DNS-forespørgsler, der kan udføres, når en SPF-rekord for et domæne skal verificeres.

Når en e-mail modtages, forespørger modtagerens mailserver afsenderens domænes DNS efter SPF-posten for at kontrollere, om afsenderen har tilladelse til at sende e-mails fra det pågældende domæne. Men hvis SPF-posten indeholder mange indlejrede indbefattere, kan den hurtigt overskride grænsen på 10 DNS-søgninger, hvilket fører til fejl i SPF-verifikationen og falsk-positive spam-detektioner.

For at afhjælpe denne begrænsning anvendes SPF record flattening. SPF-record flattening er en teknik, der erstatter alle indlejrede include-angivelser i en SPF-record med deres tilsvarende IP-adresser eller CIDR-intervaller. Dette reducerer antallet af DNS-forespørgsler, der er nødvendige for at verificere SPF-rekordet, da hvert enkelt inkluderet domæne ikke længere skal spørges individuelt.

Ved at udjævne SPF-posten reduceres antallet af DNS-forespørgsler, der kræves for at verificere SPF-posten, betydeligt, hvilket gør det muligt for e-mails at bestå SPF-verifikationen, selv om den oprindelige post havde mere end 10 DNS-opslag. Denne teknik reducerer også risikoen for fejl i SPF-rekordvalideringen på grund af timeouts i forbindelse med DNS-forespørgsler eller midlertidige problemer med DNS-serveren.

Udfordringer ved implementering af SPF i store virksomheder

SPF har tvunget en begrænsning på højst 10 opslag for at forhindre DoS- og DDoS-angreb. Desværre kan disse opslag hurtigt blive meget store, især i store virksomheder. Tidligere drev virksomhederne deres egne mailservere, men nu bruger de tredjepartsafsendere. Dette skaber et problem, da hver server kan tage op til 3 eller 4 servere, og man når meget hurtigt grænsen.

SPF-grænse

  • Om
  • Seneste indlæg
Ahona Rudra
Manager for digital markedsføring og indholdsskribent hos PowerDMARC
Ahona arbejder som Digital Marketing and Content Writer Manager hos PowerDMARC. Hun er en passioneret forfatter, blogger og marketingspecialist inden for cybersikkerhed og informationsteknologi.
Nyeste indlæg af Ahona Rudra (se alle)
  • Metoder til at beskytte dig selv mod identitetstyveri - 29. september 2023
  • DNS's rolle i e-mail-sikkerhed - 29. september 2023
  • Den nye tids phishing-trusler og hvordan man planlægger forud - 29. september 2023
27. februar 2023/af Ahona Rudra
Tags: SPF-grænse, SPF-grænser, SPF-grænser, SPF-rekordgrænse, SPF-rekordbegrænsninger, SPF-rekordbegrænsninger, SPF-rekordgrænser
Del denne post
  • Del på Facebook
  • Del på Twitter
  • Del på WhatsApp
  • Del på LinkedIn
  • Del efter mail
Du vil måske også gerne
SPF Permerror - SPF For mange DNS-opslagFix SPF Permerror: Overvind SPF's grænse for for mange DNS-opslag
spf-grænseSådan rettes "SPF overskrider den maksimale tegngrænse"?
spf optimering blogHvordan optimerer man SPF Record?

Beskyt din e-mail

Stop e-mail-spoofing, og forbedr e-mail-levering

15 dages gratis prøveperiode!


Kategorier

  • Blogs
  • Nyheder
  • Pressemeddelelser

Seneste Blogs

  • Metoder til at beskytte dig selv mod identitetstyveri
    Metoder til at beskytte dig selv mod identitetstyveri29. september, 2023 - 12:11 pm
  • DNS's rolle i e-mail-sikkerhed
    DNS's rolle i e-mail-sikkerhed29. september, 2023 - 12:08 pm
  • Den nye tids phishing-trusler og hvordan man planlægger forud
    Den nye tids phishing-trusler og hvordan man planlægger fremadrettet29. september 2023 - 12:06 pm
  • Sådan ser og analyserer du meddelelsesoverskrifter online
    Hvordan ser og analyserer man meddelelsesoverskrifter online?September 26, 2023 - 12:59 pm
logofod powerdmarc
SOC2 GDPR PowerDMARC GDPR-kompatibel Crown Commercial Service
global cyberalliance certificeret powerdmarc Csa

Viden

Hvad er e-mail-godkendelse?
Hvad er DMARC?
Hvad er DMARC-politik?
Hvad er SPF?
Hvad er DKIM?
Hvad er BIMI?
Hvad er MTA-STS?
Hvad er TLS-RPT?
Hvad er RUA?
Hvad er RUF?
AntiSpam mod DMARC
DMARC-justering
DMARC-overholdelse
Fuldbyrdelse af DMARC
BIMI Implementeringsvejledning
Permerror
MTA-STS implementeringsvejledning til TLS-RPT

Værktøjer

Gratis DMARC Record Generator
Gratis DMARC Record Checker
Gratis SPF Record Generator
Gratis opslag efter SPF-poster
Gratis DKIM Record Generator
Gratis opslag efter DKIM-poster
Gratis BIMI Record Generator
Gratis BIMI Record Opslag
Gratis opslag efter FCrDNS-poster
Gratis TLS-RPT Record Checker
Gratis MTA-STS Record Checker
Gratis TLS-RPT Record Generator

Produkt

Produkt rundvisning
Funktioner
PowerSPF
PowerBIMI
PowerMTA-STS
PowerTLS-RPT
PowerAlerts
API-dokumentation
Administrerede tjenester
Beskyttelse mod forfalskning af e-mail
Beskyttelse af mærker
Anti Phishing
DMARC til Office365
DMARC til Google Mail GSuite
DMARC til Zimbra
Gratis DMARC-uddannelse

Prøv os

Kontakt os
Gratis prøveperiode
Bestil demo
Partnerskab
Prisfastsættelse
FAQ
Support
Blog
Begivenheder
Anmodning om funktion
Logbog over ændringer
Systemstatus

  • English
  • Français
  • Nederlands
  • Deutsch
  • Русский
  • Polski
  • Español
  • Italiano
  • 日本語
  • 中文 (简体)
  • Português
  • Norsk
  • Svenska
  • 한국어
© PowerDMARC er et registreret varemærke.
  • Kvidre
  • Youtube
  • Linkedin
  • Facebook
  • Instagram
  • Kontakt os
  • Vilkår og betingelser
  • Politik om beskyttelse af personlige oplysninger
  • Cookie-politik
  • Sikkerhedspolitik
  • overholdelse
  • GDPR-meddelelse
  • Sitemap
Sådan indtaster du TXT-værdier i Google Cloud DNS?Sådan indtaster du TXT-værdier i Google Cloud DNSHvad er Malware as a Service MaaSMalware-as-a-Service (MaaS): Hvad er det, og hvordan kan man forebygge det?
Rul til toppen