Sender Policy Framework oder SPF reicht nicht aus, wenn es darum geht, Unternehmens-E-Mails vor Phishing und Spamming Angriffen. SPF ist ein E-Mail-Authentifizierungsprotokoll, das den E-Mail-Empfänger vor gefälschten E-Mails schützt, indem es überprüft, ob die sendende IP-Adresse im DNS-Eintrag der Domäne autorisiert ist. Die Beschränkung von SPF auf eine maximale Anzahl von DNS-Abfragen und die Nichtübereinstimmung von Absenderadresse und Domäne führen jedoch zu Implementierungsfehlern und damit zu Problemen bei der Zustellung von E-Mails. DMARC baut auf SPF (und DKIM) auf, um verbesserte Sicherheit und Berichterstattung zu bieten. In diesem Blog werden diese SPF-Probleme erörtert und wie DMARC hilft, diese SPF-Einschränkungen zu überwinden.
Wichtigste Erkenntnisse
- SPF hat eine Grenze von 10 Suchvorgängen, die bei Überschreitung zu Validierungsfehlern (Permerror) und Zustellungsproblemen führen kann.
- SPF prüft die Return-Path-Domäne und nicht die sichtbare Absenderadresse, was es Angreifern ermöglicht, die Identität des Absenders zu fälschen.
- Die SPF-Authentifizierung kann bei der Weiterleitung von E-Mails fehlschlagen, da die IP-Adresse des weiterleitenden Servers oft nicht im Datensatz des ursprünglichen Absenders aufgeführt ist.
- DMARC überwindet die SPF-Beschränkungen, indem es den Abgleich zwischen der Absenderadresse und der authentifizierten Domäne erzwingt, und bietet Berichte für die Transparenz der E-Mail-Kanäle.
- Die Optimierung von SPF-Datensätzen durch das Entfernen ungenutzter Mechanismen oder die Verwendung von SPF-Flattening kann dazu beitragen, dass das Lookup-Limit nicht überschritten wird.
Was sind die SPF-Einschränkungen?
Es gibt 3 wichtige SPF-Grenzwerte, die die Implementierung und Pflege des Systems erschweren.
1. Die SPF 10-Lookup-Grenze
Wenn ein Benutzer den DNS-Server abfragt, werden dessen Validator-Ressourcen wie Bandbreite, Zeit, CPU und Speicher in Anspruch genommen. Um eine Belastung des Validators zu vermeiden, gibt es ein SPF-Limit von 10 zusätzlichen Abfragen. Die DNS-Abfrage für den SPF-Richtliniendatensatz selbst wird jedoch nicht auf dieses Limit angerechnet.
Gemäß RFC7208 Abschnitt 4.6.4sollte der Mailserver des Empfängers nicht mehr weiterarbeiten, wenn die 10-Lookup-Grenze erreicht ist. In einem solchen Fall lehnt die E-Mail die SPF-Validierung mit einem Permerror-Fehler ab. SPF Permerror ist eine der Meldungen, die häufig im SPF-Implementierungsprozess auftreten. Er führt dazu, dass E-Mails nicht zugestellt werden und tritt auf, wenn mehrere SPF-Datensätze auf einer Domäne existieren, ein Syntaxfehler auftritt oder die SPF-Datensatzgrenzen überschritten werden. Wenn Sie diese Grenze überschreiten, wird die SPF-Implementierung als ungültig betrachtet und Ihre E-Mail schlägt bei SPF fehl, was sich möglicherweise negativ auf Ihre E-Mail-Zustellungsraten auswirkt.
Sie können den kostenlosen SPF-Datensatz-Prüfung Tool verwenden, um diesen Fehler zu beheben und einen sicheren E-Mail-Verkehr zu gewährleisten.
Außerdem ist laut RFC eine DNS-Abfrage eines Hostnamens, der in einem MX-Eintrag nicht mehr als 10 A-Einträge oder AAAA-Einträge erzeugen. Wenn eine DNS-PTR-Abfrage mehr als 10 Ergebnisse liefert, werden nur die ersten 10 Ergebnisse angezeigt und verwendet.
2. Die von Menschen lesbare Absenderadresse
Die zweite SPF-Beschränkung besteht darin, dass SPF-Datensätze für bestimmte Return-Path-Domänen (auch bekannt als Absender des Umschlags oder MFrom) gelten und nicht für die Absenderadresse (Absender in der Kopfzeile oder From-Adresse), die der Empfänger in seinem E-Mail-Programm sieht. Empfänger achten im Allgemeinen nicht auf die versteckte Return-Path-Adresse und konzentrieren sich nur auf die sichtbare From-Adresse, wenn sie eine E-Mail öffnen. Hacker nutzen dieses Schlupfloch für Phishing-Angriffe aus, indem sie eine gefälschte Domäne in ihrer Return-Path-Adresse verwenden (die SPF passiert) und die Absenderadresse mit einer legitimen oder legitim aussehenden Adresse fälschen. Da die meisten Menschen die Return Path-Adresse nicht kennen und nicht überprüfen, können Angreifer mit diesem Trick den SPF-Schutz leicht umgehen.
3. Probleme bei der E-Mail-Weiterleitung
SPF hat einen weiteren kritischen Fehlerpunkt, der die Zustellbarkeit von E-Mails beeinträchtigen kann. Wenn Sie SPF in Ihrer Domäne implementiert haben und jemand Ihre E-Mail weiterleitet, kann die weitergeleitete E-Mail aufgrund Ihrer SPF-Richtlinie zurückgewiesen werden. Das liegt daran, dass sich bei der Weiterleitung der Server, der die Nachricht sendet (und seine IP-Adresse), ändert, die Absenderadresse des ursprünglichen Absenders aber oft gleich bleibt. Der empfangende Server sieht die ursprüngliche Absenderadresse, überprüft aber die IP-Adresse des *weiterleitenden* Servers anhand des SPF-Eintrags des ursprünglichen Absenders. Da die IP-Adresse des weiterleitenden Servers in der Regel nicht im SPF-Eintrag des ursprünglichen Absenders enthalten ist, schlägt die Prüfung fehl, was dazu führen kann, dass die weitergeleitete E-Mail abgelehnt oder als Spam markiert wird.
Vereinfachen Sie die Sicherheit mit PowerDMARC!
Der Einfluss der SPF-Eintragsgröße auf die E-Mail-Zustellung
Wenn ein Empfänger das SPF-Datensatzlimit überschreitet, schlägt er die SPF-Prüfungen fehl und es tritt ein Permerror auf. Sie können diesen Fehler bei der Verwendung der DMARC-Überwachung beobachten. Der Empfänger kann wählen, wie er mit E-Mails mit Permerror-Fehlern umgehen möchte. Er kann wählen, dass der Eintrag zurückgewiesen wird, was bedeutet, dass die E-Mail zurückgeschickt wird. Einige Empfänger konfigurieren es so, dass ein "neutrales" SPF-Ergebnis angezeigt wird (als ob kein SPF verwendet würde). Sie können auch "fail" oder "softfail" wählen, was bedeutet, dass E-Mails, die die SPF-Authentifizierungsprüfungen nicht bestehen, nicht zurückgewiesen werden, sondern im Spam-Ordner landen.
Diese Ergebnisse werden auch durch die Berücksichtigung der Ergebnisse von DMARC, DKIM und der Spam-Bewertung bestimmt. Das Überschreiten des SPF-Limits wirkt sich auf die Zustellbarkeit von E-Mails aus, indem es die Wahrscheinlichkeit verringert, dass die E-Mails im primären Posteingang der vorgesehenen Empfänger landen.
Der Validator prüft die SPF-Richtlinie von links nach rechts, und wenn eine Übereinstimmung mit der IP-Adresse des Absenders gefunden wird, stoppt der Prozess. Je nach Absender erreicht ein Validator nun möglicherweise nicht immer das Lookup-Limit, selbst wenn die SPF-Richtlinie mehr als 10 Lookups zur vollständigen Bewertung erfordert. Dies führt zu Schwierigkeiten bei der Identifizierung von SPF-Datensatz-Limit-bezogenen E-Mail-Zustellbarkeitsproblemen.
Wie lässt sich die Anzahl der erforderlichen Suchvorgänge reduzieren?
Für einige Domänenbesitzer ist es schwierig, die SPF-Grenze von 10 Abfragen einzuhalten, da sich die Gewohnheiten beim E-Mail-Austausch seit 2006 (der Zeit, als RFC4408 eingeführt wurde) erheblich geändert haben. Heute nutzen Unternehmen mehrere Cloud-basierte Programme und Dienste mit einer einzigen Domäne. Im Folgenden finden Sie einige Möglichkeiten, wie Sie diese übliche SPF-Beschränkung überwinden können.
-
Ungenutzte Dienste entfernen
Prüfen Sie Ihren SF-Datensatz und schauen Sie, ob es ungenutzte oder nicht angeforderte Dienste gibt. Prüfen Sie, ob die 'einschließen' oder andere Mechanismen, die Domains von nicht mehr genutzten Diensten anzeigen.
-
Entfernen Sie die Standard-SPF-Werte
Die Standard-SPF-Richtlinie ist normalerweise auf 'v=spf1 a mx'.. Da die meisten A- und AAAA-Einträge für Webserver verwendet werden, die möglicherweise keine E-Mails versenden, ist der 'a' und 'mx' Mechanismus nicht erforderlich.
-
Vermeiden Sie die Verwendung der ptr Mechanismus
Die ptr Mechanismus wird aufgrund der schwachen Sicherheit und Unzuverlässigkeit dringend abgeraten. Der Mechanismus verursacht das SPF-Limitproblem, da er mehr Suchvorgänge erfordert. Daher sollte er so weit wie möglich vermieden werden.
-
Vermeiden Sie die Verwendung des mx Mechanismus
Die mx Mechanismus wird für den Empfang von E-Mails verwendet, nicht unbedingt für deren Versand. Deshalb können Sie es vermeiden, ihn zu verwenden, um das Limit für SPF-Einträge bei Lookups einzuhalten. Wenn Sie einen Cloud-basierten E-Mail-Dienst nutzen, verwenden Sie den 'include' Mechanismus.
-
IPv6 oder IPv4 verwenden
IPv4 und IPv6 benötigen keine zusätzlichen Nachforschungen, was bedeutet, dass sie Ihnen helfen, die SPF-Grenze von maximal 10 Nachforschungen nicht zu überschreiten. Allerdings müssen Sie die beiden Mechanismen regelmäßig aktualisieren und pflegen, da sie anfälliger für Fehler sind, wenn sie nicht überholt werden.
-
SPF-Record-Abflachung in Betracht ziehen
In einigen Quellen wird behauptet, dass der Ruf der Domäne umso besser ist, je flacher (oder kürzer) die SPF-Richtlinie ist. Sie schlagen diese Methode vor, um die für SPF-Einträge festgelegten Grenzen für Suchvorgänge einzuhalten. Beim Flattening werden Mechanismen wie "include" durch die tatsächlichen IP-Adressen ersetzt, zu denen sie aufgelöst werden, wodurch die Anzahl der während der Validierung erforderlichen DNS-Lookups direkt reduziert wird. Wenn sich die IP-Adressen hinter einem eingeschlossenen Dienst ändern, wird der abgeflachte Datensatz veraltet und muss manuell aktualisiert werden, um zu verhindern, dass legitime E-Mails die SPF-Prüfung nicht bestehen. Automatische SPF-Flattening-Tools können bei der Verwaltung dieses Prozesses helfen.
Die Rolle von DMARC bei der Überwindung von SPF-Beschränkungen
DMARC behebt die SPF-Beschränkung der von Menschen lesbaren Absenderadresse, indem es eine Übereinstimmung oder einen Abgleich zwischen der von Menschen lesbaren Absenderdomäne und der von SPF authentifizierten Domäne (der Return-Path-Domäne) verlangt.
Wenn also eine E-Mail die SPF-Prüfungen besteht (d. h. die IP-Adresse des Absenders ist für die Absenderdomäne autorisiert), aber die Absenderdomäne nicht mit der Domäne der Absenderadresse übereinstimmt, schlägt der DMARC-Abgleich für SPF fehl. Damit eine E-Mail DMARC insgesamt besteht, muss sie entweder SPF *mit* Ausrichtung oder DKIM *mit* Ausrichtung bestehen. Dies verhindert die übliche Phishing-Taktik, bei der die Absenderadresse gefälscht wird, während der Rückkanal SPF besteht. DMARC führt auch Berichtsfunktionen ein, die Domäneninhabern Rückmeldung über E-Mails geben, die behaupten, von ihrer Domäne zu stammen, einschließlich der Authentifizierungsergebnisse (SPF, DKIM, DMARC, Abgleich) und Informationen über die Absenderquellen. Diese Transparenz hilft, Fehlkonfigurationen, Weiterleitungsprobleme und böswillige Spoofing-Versuche zu erkennen.
Wie hilft SPF-Record-Flattening dabei, das Limit von 10 DNS-Lookups zu überwinden?
SPF-Datensatz-Verflachung ist eine Technik zur Optimierung von SPF-Datensätzen (Sender Policy Framework), um das Limit von 10 DNS-Abfragen für SPF zu überwinden. Die 10-DNS-Lookup-Grenze ist eine von vielen DNS-Resolvern auferlegte Beschränkung, die die Anzahl der DNS-Abfragen begrenzt, die bei der Überprüfung eines SPF-Eintrags für eine Domäne durchgeführt werden können.
Wenn eine E-Mail empfangen wird, fragt der Mailserver des Empfängers den DNS der Domäne des Absenders nach dessen SPF-Eintrag ab, um zu überprüfen, ob der Absender berechtigt ist, E-Mails von dieser Domäne zu versenden. SPF-Einträge verwenden oft Mechanismen wie "include", "a", "mx" und "ptr", die DNS-Abfragen erfordern. Wenn der SPF-Datensatz viele solcher Mechanismen enthält, insbesondere verschachtelte Includes (wenn der SPF-Datensatz einer eingeschlossenen Domäne ebenfalls Includes enthält), kann er schnell die Grenze von 10 DNS-Lookups überschreiten, was zu SPF-Verifizierungsfehlern (Permerror) und potenziellen Problemen bei der E-Mail-Zustellung führt.
Um diese Einschränkung zu überwinden, wird das SPF Record Flattening verwendet. SPF-Record Flattening ist eine Technik, die Lookup-verursachende Mechanismen (in erster Linie "include", aber möglicherweise auch "a" und "mx") in einem SPF-Record durch ihre entsprechenden IP-Adressen oder CIDR-Bereiche ersetzt. Dadurch verringert sich die Anzahl der DNS-Abfragen, die zur Überprüfung des SPF-Datensatzes erforderlich sind, da die IP-Adressen direkt aufgeführt werden und keine weiteren Abfragen erforderlich sind.
Durch die Verflachung des SPF-Datensatzes wird die Anzahl der DNS-Abfragen, die zur Überprüfung des SPF-Datensatzes erforderlich sind, erheblich reduziert, so dass E-Mail-Nachrichten die SPF-Überprüfung auch dann bestehen, wenn die ursprüngliche Datensatzstruktur zu mehr als 10 DNS-Abfragen geführt hätte. Diese Technik trägt dazu bei, SPF-Permerrors zu verhindern und verringert das Risiko von SPF-Datensatz-Validierungsfehlern aufgrund von DNS-Abfrage-Timeouts oder vorübergehenden DNS-Server-Problemen. Wie bereits erwähnt, müssen flattened records jedoch gewartet werden, um bei Änderungen der zugrunde liegenden IP-Adressen korrekt zu bleiben.
Herausforderungen bei der Implementierung von SPF in großen Unternehmen
SPF hat die Beschränkung auf maximal 10 Lookups erzwungen, um DoS- und DDoS-Angriffe gegen die DNS-Infrastruktur während der SPF-Validierung zu verhindern. Leider können sich diese Abfragen sehr schnell summieren, insbesondere in großen Unternehmen. Während Unternehmen früher oft ihre eigenen Mailserver betrieben, verlassen sie sich heute in hohem Maße auf zahlreiche Drittanbieter für Marketing, Transaktions-E-Mails, CRM, Support-Systeme usw. Jeder Drittanbieterdienst erfordert oft einen "Include"-Mechanismus im SPF-Datensatz, der als eine Abfrage zählt, und seine eigenen SPF-Datensätze können weitere Abfragen enthalten. Dies stellt ein Problem dar, da das Hinzufügen mehrerer Dienste schnell dazu führen kann, dass die Domäne die 10-Lookup-Grenze erreicht oder überschreitet, was zu den oben beschriebenen Permerror-Problemen führt. Die Verwaltung dieser zahlreichen Quellen und die Einhaltung des Limits bei gleichzeitiger Sicherstellung, dass alle legitimen E-Mails autorisiert werden, wird zu einer großen Herausforderung.