Comprendere i limiti dell'SPF nell'autenticazione delle e-mail

Blog

Il limite SPF sul numero massimo di ricerche nel sistema dei nomi di dominio e il disallineamento dell'indirizzo Da e del dominio possono causare errori di implementazione.

di Ahona Rudra

Tempo di lettura: 7 min
Comprendere i limiti dell'SPF nell'autenticazione delle e-mail
Indice dei contenuti-

Sender Policy Framework o SPF non è sufficiente quando si tratta di proteggere le email aziendali da phishing e spamming attacchi di phishing e spamming. L'SPF è un protocollo di autenticazione delle e-mail che protegge il destinatario delle e-mail da messaggi di spoofing controllando se l'indirizzo IP di invio è autorizzato nel record DNS del dominio. Tuttavia, il limite di SPF sul numero massimo di ricerche DNS e il disallineamento dell'indirizzo From e del dominio causano errori di implementazione con conseguenti problemi di recapito delle e-mail. Il DMARC si basa su SPF (e DKIM) per fornire maggiore sicurezza e reportistica. In questo blog vengono illustrati i problemi di SPF e il modo in cui DMARC aiuta a superare le limitazioni di SPF.

I punti chiave da prendere in considerazione

  1. SPF ha un limite di 10 ricerche, che può portare a fallimenti di convalida (Permerror) e a problemi di consegna se superato.
  2. SPF controlla il dominio del percorso di ritorno, non l'indirizzo From visibile, consentendo agli aggressori di falsificare l'identità del mittente.
  3. L'autenticazione SPF può fallire quando le e-mail vengono inoltrate, poiché l'IP del server di inoltro spesso non è elencato nel record del mittente originale.
  4. DMARC supera le limitazioni SPF imponendo l'allineamento tra l'indirizzo Da e il dominio autenticato e fornisce una reportistica per la visibilità dei canali e-mail.
  5. L'ottimizzazione dei record SPF mediante la rimozione dei meccanismi inutilizzati o l'utilizzo dell'appiattimento SPF può aiutare a rispettare il limite di ricerca.

Quali sono le limitazioni dei record SPF?

Esistono 3 limiti principali dell'SPF che lo rendono un po' complicato da implementare e mantenere.

1. Il limite di ricerca SPF 10

Quando un utente interroga il server DNS, vengono impiegate le risorse del validatore, come larghezza di banda, tempo, CPU e memoria. Per evitare un carico sul validatore, è previsto un limite SPF di 10 ricerche aggiuntive. Tuttavia, la query DNS per il record di criterio SPF stesso non conta per questo limite.

Come da RFC7208 sezione 4.6.4il server di posta del destinatario non dovrebbe elaborare ulteriormente una volta raggiunto il limite di 10 ricerche. In questo caso, l'e-mail rifiuta la convalida SPF con un errore Permerror. SPF Permerror è uno dei messaggi che compaiono comunemente nel processo di implementazione di SPF. Causa il mancato recapito delle e-mail e si verifica se esistono più record SPF su un dominio, se si verifica un errore di sintassi o se si superano i limiti dei record SPF. Quando si supera questo limite, l'implementazione SPF viene considerata non valida e l'email fallisce l'SPF, danneggiando potenzialmente i tassi di consegna delle email.

È possibile utilizzare il programma gratuito SPF record checker per eliminare questo errore e garantire conversazioni sicure.

Inoltre, secondo l'RFC, un'interrogazione DNS di un nome host trovato in un record MX non dovrebbe generare più di 10 record A o record AAAA. Se una query DNS PTR genera più di 10 risultati, vengono visualizzati e utilizzati solo i primi 10 risultati.

2. L'indirizzo "Da" leggibile dall'uomo

La seconda limitazione dell'SPF è che i record SPF si applicano a specifici domini Return-Path (noti anche come mittente della busta o MFrom) e non all'indirizzo From (mittente dell'intestazione o indirizzo From) che i destinatari vedono nei loro client di posta elettronica. In genere i destinatari non prestano molta attenzione all'indirizzo Return-Path nascosto e si concentrano solo sull'indirizzo From visibile quando aprono un'e-mail. Gli hacker sfruttano questa lacuna per tentare attacchi di phishing utilizzando un dominio falso nel loro indirizzo di ritorno (che supera l'SPF) e falsificando l'indirizzo Da con uno legittimo o di aspetto legittimo. Poiché la maggior parte delle persone non è a conoscenza dell'indirizzo Return Path e non lo controlla, questo trucco consente agli aggressori di aggirare facilmente la protezione SPF.

3. Problemi di inoltro delle e-mail

L'SPF ha un altro punto critico che può danneggiare la deliverability delle e-mail. Quando avete implementato l'SPF sul vostro dominio e qualcuno inoltra la vostra e-mail, l'e-mail inoltrata può essere rifiutata a causa della vostra politica SPF. Questo perché il processo di inoltro cambia il server che invia il messaggio (e il suo indirizzo IP), ma l'indirizzo Da del mittente originale spesso rimane lo stesso. Il server ricevente vede l'indirizzo From originale, ma controlla l'indirizzo IP del server *di inoltro* rispetto al record SPF del mittente originale. Poiché l'indirizzo IP del server di inoltro di solito non è incluso nel record SPF del mittente originale, il controllo fallisce, causando potenzialmente il rifiuto dell'e-mail inoltrata o la sua marcatura come spam.

 

Semplificate la sicurezza con PowerDMARC!

Prova di 15 giorniPrenota una demo

L'impatto della dimensione dei record SPF sulla consegna delle e-mail

Quando un destinatario supera il limite di record SPF, non supera i controlli SPF e si verifica un errore. È possibile osservare questo errore quando si utilizza il monitoraggio DMARC. Il destinatario può scegliere come gestire le e-mail che presentano un errore di Permerror. Può scegliere di rifiutare l'inserimento, il che significa che l'e-mail viene respinta. Alcuni destinatari lo configurano in modo da mostrare un risultato SPF "neutro" (come se non fosse stato usato l'SPF). Possono anche scegliere "fail" o "softfail", il che significa che le e-mail che non superano i controlli di autenticazione SPF non vengono rifiutate, ma finiscono nella cartella dello spam. 

Questi risultati sono determinati anche considerando i risultati di DMARC, DKIM e la classificazione dello spam. Il superamento del limite SPF influisce sulla deliverability delle e-mail riducendo la probabilità che le e-mail arrivino nella casella di posta principale dei destinatari.

Il validatore valuta i criteri SPF da sinistra a destra e quando viene trovata una corrispondenza con l'indirizzo IP del mittente, il processo si arresta. Ora, a seconda del mittente, un validatore potrebbe non raggiungere sempre il limite di ricerca anche se la politica SPF richiede più di 10 ricerche per essere valutata completamente. Questo crea difficoltà nell'identificare i problemi di consegna delle e-mail legati al limite del record SPF. 

Come ridurre il numero di ricerche richieste?

È difficile per alcuni proprietari di domini rimanere entro il limite SPF di 10 lookup, poiché le abitudini di scambio di e-mail sono cambiate in modo significativo dal 2006 (quando è stato implementato l'RFC4408). Oggi le aziende utilizzano più programmi e servizi basati sul cloud con un unico dominio. Di seguito sono elencati alcuni modi per superare questa comune limitazione SPF.

  • Rimuovere i servizi non utilizzati

Valutate la vostra scheda SF e verificate se ci sono servizi non utilizzati o non richiesti. Controllate che non ci sia l'opzione 'includi' o altri meccanismi che mostrano domini di servizi non più in uso.

  • Rimuovere i valori SPF predefiniti

Il criterio SPF predefinito è solitamente impostato su 'v=spf1 a mx'. Poiché la maggior parte dei record A e AAAA sono utilizzati per i server web che non possono inviare e-mail, il valore 'a' e 'mx' non sono necessari.

  • Evitare l'uso dell'opzione ptr meccanismo

Il ptr è altamente sconsigliato a causa della scarsa sicurezza e dell'inaffidabilità. Il meccanismo causa il problema del limite SPF, richiedendo un maggior numero di ricerche. Pertanto, dovrebbe essere evitato il più possibile.

  • Evitare l'uso dell'opzione mx meccanismo

Il mx è usato per ricevere le email e non necessariamente per inviarle. Per questo motivo si può evitare di usarlo per rimanere entro il limite di record SPF impostato sui lookup. Se si utilizza un servizio di posta elettronica basato sul cloud, si può usare il metodo 'include invece, il meccanismo "include".

  • Utilizzare IPv6 o IPv4 

IPv4 e IPv6 non necessitano di ulteriori ricerche, il che significa che aiutano a non superare il limite SPF di non più di 10 ricerche. Tuttavia, è necessario aggiornare e mantenere regolarmente i due meccanismi, poiché sono più soggetti a errori quando non vengono ricondizionati.

  • Considerare l'appiattimento dei record SPF

Alcune risorse sostengono che quanto più appiattito (o breve) è il criterio SPF, tanto migliore è la reputazione del dominio. Suggeriscono questo metodo per rimanere nei limiti dei record SPF impostati sulle ricerche. L'appiattimento comporta la sostituzione di meccanismi come "include" con gli indirizzi IP effettivi a cui si risolvono, riducendo direttamente il numero di ricerche DNS necessarie durante la convalida. Tuttavia, l'appiattimento richiede una gestione attenta; se gli indirizzi IP dietro un servizio incluso cambiano, il record appiattito diventa obsoleto e deve essere aggiornato manualmente per evitare che le e-mail legittime non superino i controlli SPF. Gli strumenti di appiattimento SPF automatico possono aiutare a gestire questo processo.

Il ruolo del DMARC nel superare le limitazioni dell'SPF

DMARC risolve la limitazione SPF dell'indirizzo Da leggibile dall'uomo richiedendo una corrispondenza o un allineamento tra il dominio del campo Da leggibile dall'uomo e il dominio autenticato da SPF (dominio del percorso di ritorno).

Quindi, se un'e-mail supera i controlli SPF (il che significa che l'IP di invio è autorizzato per il dominio del percorso di ritorno) ma il dominio del percorso di ritorno non è lo stesso del dominio dell'indirizzo Da, l'allineamento DMARC per SPF fallisce. Affinché un'e-mail passi il DMARC nel suo complesso, deve passare l'allineamento SPF *con* o DKIM *con*. In questo modo si evita la tattica comune del phishing, in cui l'indirizzo From viene falsificato mentre il Return-Path supera l'SPF. Il DMARC introduce anche funzionalità di reporting, fornendo ai proprietari dei domini un feedback sulle e-mail che dichiarano di provenire dal loro dominio, compresi i risultati dell'autenticazione (SPF, DKIM, DMARC, allineamento) e le informazioni sulle fonti di invio. Questa visibilità aiuta a identificare le configurazioni errate, i problemi di inoltro e i tentativi di spoofing malevoli.

In che modo l'appiattimento dei record SPF aiuta a superare il limite di 10 ricerche DNS

Appiattimento dei record SPF è una tecnica utilizzata per ottimizzare i record SPF (Sender Policy Framework) e superare il limite di 10 ricerche DNS per SPF. Il limite di 10 ricerche DNS è una restrizione imposta da molti risolutori DNS, che limita il numero di query DNS che possono essere eseguite durante la verifica di un record SPF per un dominio.

Quando si riceve un'e-mail, il server di posta del destinatario interroga il DNS del dominio del mittente per il suo record SPF, per verificare se il mittente è autorizzato a inviare e-mail da quel dominio. I record SPF spesso utilizzano meccanismi come "include", "a", "mx" e "ptr" che richiedono ricerche DNS. Se il record SPF contiene molti di questi meccanismi, in particolare include annidati (dove il record SPF di un dominio incluso contiene anche include), può superare rapidamente il limite di 10 ricerche DNS, portando a fallimenti della verifica SPF (Permerror) e a potenziali problemi di consegna delle e-mail.

Per superare questa limitazione, si ricorre all'appiattimento dei record SPF. L'appiattimento del record SPF è una tecnica che sostituisce i meccanismi che causano le ricerche (principalmente "include", ma potenzialmente anche "a" e "mx") in un record SPF con gli indirizzi IP o gli intervalli CIDR corrispondenti. In questo modo si riduce il numero di interrogazioni DNS necessarie per verificare il record SPF, poiché gli indirizzi IP vengono elencati direttamente invece di richiedere ulteriori ricerche.

Appiattendo il record SPF, il numero di query DNS necessarie per la verifica del record SPF viene ridotto in modo significativo, consentendo ai messaggi e-mail di superare la verifica SPF anche se la struttura originale del record avrebbe comportato più di 10 ricerche DNS. Questa tecnica aiuta a prevenire i Permerrors SPF e riduce il rischio di fallimenti nella validazione dei record SPF dovuti a timeout delle query DNS o a problemi temporanei del server DNS. Tuttavia, come già detto, i record appiattiti richiedono una manutenzione per rimanere accurati quando gli indirizzi IP sottostanti cambiano.

Le sfide dell'implementazione di SPF nelle grandi aziende

L'SPF ha imposto la limitazione di non più di 10 lookup per prevenire attacchi DoS e DDoS contro l'infrastruttura DNS durante la convalida SPF. Purtroppo, queste ricerche possono accumularsi molto rapidamente, soprattutto nelle grandi aziende. Prima le aziende gestivano spesso i propri server di posta, ma ora si affidano a numerosi mittenti di terze parti per il marketing, le e-mail transazionali, il CRM, i sistemi di supporto e così via. Ogni servizio di terze parti spesso richiede un meccanismo di "inclusione" nel record SPF, che conta come una ricerca, e i propri record SPF potrebbero contenere altre ricerche. Questo crea un problema, poiché l'aggiunta di più servizi può rapidamente far sì che il dominio raggiunga o superi il limite di 10 ricerche, causando i problemi di Permerror descritti in precedenza. Gestire queste numerose fonti e rimanere entro il limite, garantendo al contempo l'autorizzazione di tutta la posta legittima, diventa una sfida significativa.

Ultimi messaggi di Ahona Rudra (vedi tutti)
Come inserire i valori TXT in Google Cloud DNS?Come inserire i valori TXT in Google Cloud DNSChe cos'è il malware come servizio MaaSMalware-as-a-Service (MaaS): Cos'è e come prevenirlo?