SPF-omdirigering
SPF (Sender Policy Framework) er en postmodifikator, der peger på et separat domænenavn, som indeholder en SPF-post. Domæneejere kan konfigurere flere domæner til at gøre brug af en enkelt SPF-rekord, der er hostet på ét domæne, ved hjælp af SPF-omdirigering. Selv om det kan virke fordelagtigt på nogle måder, anbefaler vi det ikke. Læs mere for at finde ud af hvorfor!
Introduktion til SPF og Redirect Modifier
SPF er en standard for e-mail-autentificering, der beskytter din organisation mod efterligning og spam ved at opretholde en registrering af autoriserede parter.
Mens SPF-omdirigeringsmodifikatoren er valgfri og kun må bruges én gang pr. SPF-post. Der er visse forudsætninger for at bruge SPF redirect. De er som følger:
- Det giver kun mening, når en organisation arbejder med flere domæner
- Alle disse domæner skal dele den samme e-mail-infrastruktur
- Det andet domæne, som omdirigeres, skal have en gyldig SPF-record på plads
- Hvis du vil bruge SPF-redirect, skal domæneejeren have kontrol over alle domæner, der deltager i redirect-kæden
Hvordan fungerer SPF Redirect-modifikatoren?
For bedre at forstå funktionaliteten af SPF-omdirigeringen kan vi se på følgende eksempel:
Hvis domain_test.com har en SPF-post som f.eks:
v=spf1 redirect=domain_test2.com
Dette angiver, at SPF-posten for "domain_test2.com" skal bruges i stedet for "domain_test". Mails fra domain_test vil derefter blive omdirigeret ved hjælp af "domain_test2".
Hvornår kan du bruge SPF-omdirigeringsmodifikatoren?
1. Når en enkelt post skal bruges til flere domæner
For eksempel,
delaware.example.com. TXT "v=spf1 redirect=_spf.example1.com"
austin.example.com TXT "v=spf1 redirect=_spf.example1.com"
washington.example.com TXT "v=spf1 redirect=_spf.example1.com"
_spf.example.com. TXT "v=spf1 mx:example1.com -all"
I dette eksempel vil alle mails fra de tre ovennævnte domæner blive beskrevet af den samme post, i dette tilfælde "_spf.example1.com", hvilket giver brugerne en administrativ fordel.
2. Når navnet på domænet skal ændres.
For alle mekanismer er værdien "a", "mx" og "ptr" valgfri. Hvis der ikke er angivet nogen specifikke værdier, sættes de til det aktuelle domæne. Men når der anvendes en "redirect", peger "a", "mx" og "ptr"-mekanismerne på det omdirigerede domæne.
Tag følgende eksempel:
powerdmarc.com "v=spf1 a -all"
Her har mekanismen "a" ingen specificeret værdi, så den vil pege på DNS 'A'-optegnelsen for "powerdmarc.com", da det er der, SPF-optegnelsen er hostet som angivet i eksemplet.
Se nu følgende eksempel:
powerdmarc.com "v=spf1 redirect=_spf.powerdmarc.com"
_spf.powerdmarc.com "v=spf1 a -all"
I ovenstående eksempel peger "a"-mekanismen på DNS 'A'-optegnelsen "_spf.powerdmarc.com", selv om roddomænet "powerdmarc.com" omdirigerer den.
Dette er en af de almindelige årsager til valideringsproblemer i SPF og er svært at fejlfinde. Hvis din organisation bruger en SPF-"redirect", skal du være opmærksom på, at hvis der findes en "a"-, "mx"- eller "ptr"-mekanisme uden et eksplicit defineret domænenavn i din omdirigerede SPF-post, vil den kun pege på det omdirigerede domæne.
Ulemper ved at bruge SPF Redirect
1. Modifikatoren "redirect" føjer til antallet af DNS-søgninger
Når du bruger SPF-e-mailgodkendelse, udfører modtagerens e-mailserver, hver gang en e-mail sendes fra et domæne til modtagerens domæne, DNS-forespørgselsanmodninger, også kendt som DNS-opslag, for at kontrollere eksisterende autoriserede IP-adresser i din DNS og sammenligne dem med IP-adressen i returvejs-headeren i den modtagne e-mail. SPF RFC7208 begrænser det maksimale antal for disse opslag til 10.
En "redirect"-modifikator, når den anvendes, øger også dette antal. Så din organisation skal være forsigtig, når den bruger en "redirect"-modifikator, da den 10 DNS-opslagsgrænsen kan blive overskredet. Dette kan medføre, at SPF bryder sammen og føre til fejl i godkendelsen.
Hos PowerDMARC konfigurerer vores brugere PowerSPF, som er et effektivt SPF-udfladningsværktøj til at begrænse antallet af opslag og få glæde af fejlfri SPF.
2. Permerror-resultatet returneres for ingen SPF-politik defineret i domæner, der bruger "redirect"
Hvis du inkluderer et domæne, der ikke indeholder en SPF-record eller har en ugyldig, returneres et softfail (ingen) resultat, hvilket ikke påvirker verifikationsprocessen.
Men hvis det omdirigerede domæne indeholder en ugyldig eller manglende post for SPF, returneres der et SPF Permerror-resultat, hvilket er en hård fejl og kan medføre, at SPF bryder sammen.
Brug af SPF include-mekanismen i stedet for SPF redirect-modifikatoren
Vi anbefaler at bruge SPF include-mekanismen i stedet for redirect-modifikatoren for at undgå nogle almindelige komplikationer, som er følgende:
- Når der anvendes en redirect-mekanisme, angiver den, at posten er afsluttet, og at der ikke kan foretages yderligere ændringer. Hvis du derimod bruger en SPF include, kan du ændre din post og tilføje flere includes-, a- eller mx-poster efter eget ønske, hvilket giver større fleksibilitet.
- Med include-mekanismen kan du forkorte din SPF-record, så den er under SPF-tegnlængdebegrænsningen. Du kan oprette en SPF TXT-record på hver af spfrecord1.xyz.com og spfrecord2.abc.com ved at opdele den oprindeligt lange SPF-record og inkludere begge domæner i TXT-recorden for et af domænerne (f.eks. xyz.com).
- I tilfælde af, at der er ingen SPF-record fundet i et omdirigeret domæne, kan bevarelsen af fejlstatus (permerror-værdi) for omdirigering som nævnt ovenfor også omgås ved at bruge include-mekanismen, som i stedet vil returnere et softfail-resultat, mens dine e-mails stadig bliver leveret.
- I modsætning til SPF include, der ikke har nogen effekt på all-mekanismen, pålægger SPF redirect-modifikatoren serveren at gengive den SPF ~alle for roddomænet ved hjælp af redirect som i følgende tilfælde:
domain1.com "v=spf1 redirect=_spf.domain2.com"
_spf.domain2.com "v=spf1 ip4:164.100.226.127 ~all
Dette skyldes, at for enhver post, der anvender redirect, er "all"-mekanismen ikke til stede i første omgang, hvilket kan forekomme samtidig med brugen af include-mekanismer. Derfor er "~all"-sætningen for det omdirigerede underdomæne også gældende for roddomænet.
Konklusion
Der er mange ting at være forsigtig med, når du bruger en "redirect"-modifikator som f.eks. grænsen på 10 DNS-søgninger, og derfor skal din organisation være forsigtig, når du opretter din SPF-optegnelse. Din organisation skal optimere SPF-posterne fra tid til anden for at sikre, at DNS-opslagene ligger inden for grænsen. For alle din organisations SPF-relaterede forespørgsler kan du tjekke PowerSPF. Den udfører automatisk udjævning og automatisk opdatering af netblokkene for at sikre, at de autoriserede IP'er altid er opdaterede og sikre. Derudover behøver du ikke at bekymre dig om permerror eller overskridelse af DNS-søgningsgrænser.
Den bedste måde at sikre dine e-mails med SPF er at implementere det med DKIM og gratis DMARC. Dette vil hjælpe med at beskytte din organisation mod spam-mail og mulige spear-phishing-forsøg. Tjek PowerDMARC og sørg for, at din organisation bruger en aktiv anti-spoofing DMARC-teknologitjenesteudbyder.
- SubdoMailing og fremkomsten af subdomæne-phishing - 18. marts 2024
- Mailchimp DMARC, SPF og DKIM opsætningsguide - 26. februar 2024
- Hvad er SMTP TLS-rapportering? - 20. februar 2024