Sender Policy Framework o SPF non è sufficiente quando si tratta di proteggere le e-mail aziendali da phishing e spamming dagli attacchi di phishing e spamming. Il limite di SPF sul numero massimo di ricerche DNS e il disallineamento dell'indirizzo From e del dominio causano errori di implementazione con conseguenti problemi di recapito delle e-mail. In questo blog vengono illustrati questi problemi e il modo in cui il DMARC aiuta a superare le limitazioni dell'SPF.
Quali sono le limitazioni dei record SPF?
Esistono due limiti principali dell'SPF che lo rendono un po' complicato da implementare e mantenere.
1. Il limite di ricerca SPF 10
Quando un utente interroga il server DNS, vengono impiegate le risorse del validatore, come larghezza di banda, tempo, CPU e memoria. Per evitare un carico sul validatore, è previsto un limite SPF di 10 ricerche aggiuntive. Tuttavia, la query DNS per il record di criterio SPF stesso non conta per questo limite.
Come da RFC7208 sezione 4.6.4il server di posta del destinatario non dovrebbe elaborare ulteriormente una volta raggiunto il limite di 10 ricerche. In questo caso, l'e-mail rifiuta la convalida SPF con un errore Permerror. SPF Permerror è uno dei messaggi che compaiono comunemente nel processo di implementazione di SPF. Causa il mancato recapito delle e-mail e si verifica se esistono più record SPF su un dominio, se si verifica un errore di sintassi o se si superano i limiti dei record SPF.
È possibile utilizzare il programma gratuito SPF record checker per eliminare questo errore e garantire conversazioni sicure.
Inoltre, secondo l'RFC, una query DNS di un nome host trovato in un record MX non dovrebbe generare più di 10 record A o record AAAA. Se una query DNS PTR genera più di 10 risultati, vengono visualizzati e utilizzati solo i primi 10 risultati.
2. L'indirizzo "Da" leggibile dall'uomo
La seconda limitazione dell'SPF è che i record SPF si applicano a domini specifici di Return-Path e non all'indirizzo From. In genere i destinatari non prestano molta attenzione all'indirizzo del percorso di ritorno e si concentrano solo sull'indirizzo Da quando aprono un'e-mail. Gli hacker sfruttano questa lacuna per tentare attacchi di phishing falsificando l'indirizzo Da.
L'impatto della dimensione dei record SPF sulla consegna delle e-mail
Quando un destinatario supera il limite di record SPF, non supera i controlli SPF e si verifica un errore. È possibile osservare questo errore quando si utilizza il monitoraggio DMARC. Il destinatario può scegliere come gestire le e-mail che presentano un errore di Permerror. Può scegliere di rifiutare l'inserimento, il che significa che l'e-mail viene respinta. Alcuni destinatari lo configurano in modo da mostrare un risultato SPF "neutro" (come se non fosse stato usato l'SPF). Possono anche scegliere "fail" o "softfail", il che significa che le e-mail che non superano i controlli di autenticazione SPF non vengono rifiutate, ma finiscono nella cartella dello spam.
Questi risultati sono determinati anche considerando i risultati di DMARC, DKIM e la classificazione dello spam. Il superamento del limite SPF influisce sulla deliverability delle e-mail riducendo la probabilità che le e-mail arrivino nella casella di posta principale dei destinatari.
Il validatore valuta i criteri SPF da sinistra a destra e quando viene trovata una corrispondenza con l'indirizzo IP del mittente, il processo si arresta. Ora, a seconda del mittente, un validatore potrebbe non raggiungere sempre il limite di ricerca anche se la politica SPF richiede più di 10 ricerche per essere valutata completamente. Questo crea difficoltà nell'identificare i problemi di consegna delle e-mail legati al limite del record SPF.
Come ridurre il numero di ricerche richieste?
È difficile per alcuni proprietari di domini rimanere entro il limite SPF di 10 lookup, poiché le abitudini di scambio di e-mail sono cambiate in modo significativo dal 2006 (quando è stato implementato l'RFC4408). Oggi le aziende utilizzano più programmi e servizi basati sul cloud con un unico dominio. Di seguito sono elencati alcuni modi per superare questa comune limitazione SPF.
-
Rimuovere i servizi non utilizzati
Valutate la vostra scheda SF e verificate se ci sono servizi non utilizzati o non richiesti. Controllate che non ci sia l'opzione 'includi' o altri meccanismi che mostrano domini di servizi non più in uso.
-
Rimuovere i valori SPF predefiniti
Il criterio SPF predefinito è solitamente impostato su 'v=spf1 a mx'. Poiché la maggior parte dei record A e AAAA sono utilizzati per i server web che non possono inviare e-mail, il valore 'a' e 'mx' non sono necessari.
-
Evitare l'uso dell'opzione ptr meccanismo
Il ptr è altamente sconsigliato a causa della scarsa sicurezza e dell'inaffidabilità. Il meccanismo causa il problema del limite SPF, richiedendo un maggior numero di ricerche. Pertanto, dovrebbe essere evitato il più possibile.
-
Evitare l'uso dell'opzione mx meccanismo
Il mx è usato per ricevere le email e non necessariamente per inviarle. Per questo motivo si può evitare di usarlo per rimanere entro il limite di record SPF impostato sui lookup. Se si utilizza un servizio di posta elettronica basato sul cloud, si può usare il metodo 'include invece, il meccanismo "include".
-
Utilizzare IPv6 o IPv4
IPv4 e IPv6 non necessitano di ulteriori ricerche, il che significa che aiutano a non superare il limite SPF di non più di 10 ricerche. Tuttavia, è necessario aggiornare e mantenere regolarmente i due meccanismi, poiché sono più soggetti a errori quando non vengono ricondizionati.
-
Non appiattire i record SPF
Alcune risorse sostengono che quanto più appiattito (o breve) è il criterio SPF, tanto migliore è la reputazione del dominio. Suggeriscono questo metodo per rimanere entro i limiti del record SPF impostati sulle ricerche. Tuttavia, l'appiattimento è sconsigliato perché rende il record più soggetto a errori e richiede aggiornamenti regolari.
Il ruolo del DMARC nel superare le limitazioni dell'SPF
DMARC risolve la limitazione SPF dell'indirizzo Da leggibile dall'uomo richiedendo una corrispondenza o un allineamento tra il campo Da leggibile dall'uomo e il server autenticato da SPF.
Quindi, se un'e-mail supera i controlli SPF ma il dominio non è lo stesso dell'indirizzo Da, il DMARC annulla l'autenticazione. Ciò significa che l'e-mail non supera il test di autenticazione.
In che modo l'appiattimento dei record SPF aiuta a superare il limite di 10 ricerche DNS
Appiattimento dei record SPF è una tecnica utilizzata per ottimizzare i record SPF (Sender Policy Framework) e superare il limite di 10 ricerche DNS per SPF. Il limite di 10 ricerche DNS è una restrizione imposta da molti risolutori DNS, che limita il numero di query DNS che possono essere eseguite durante la verifica di un record SPF per un dominio.
Quando si riceve un'e-mail, il server di posta del destinatario interroga il DNS del dominio del mittente per il suo record SPF per verificare se il mittente è autorizzato a inviare e-mail da quel dominio. Tuttavia, se il record SPF contiene molti include annidati, può superare rapidamente il limite di 10 ricerche DNS, portando a fallimenti della verifica SPF e a rilevamenti di spam falsi positivi.
Per superare questa limitazione, si ricorre all'appiattimento dei record SPF. L'appiattimento del record SPF è una tecnica che sostituisce tutte le dichiarazioni di inclusione annidate in un record SPF con gli indirizzi IP o gli intervalli CIDR corrispondenti. In questo modo si riduce il numero di query DNS necessarie per verificare il record SPF, poiché ogni dominio incluso non viene più interrogato singolarmente.
Appiattendo il record SPF, il numero di query DNS necessarie per la verifica del record SPF si riduce significativamente, consentendo ai messaggi e-mail di superare la verifica SPF anche se il record originale aveva più di 10 ricerche DNS. Questa tecnica riduce anche il rischio di errori di convalida del record SPF dovuti a timeout delle query DNS o a problemi temporanei del server DNS.
Le sfide dell'implementazione di SPF nelle grandi aziende
L'SPF ha imposto la limitazione di non più di 10 lookup per prevenire attacchi DoS e DDoS. Sfortunatamente, queste ricerche possono accumularsi molto rapidamente, soprattutto nelle grandi aziende. Prima le aziende gestivano i propri server di posta, mentre ora utilizzano mittenti di terze parti. Questo crea un problema, poiché ognuno di essi può occupare fino a 3 o 4 server e si raggiunge il limite molto rapidamente.
- Come autenticare le e-mail? - 28 marzo 2023
- Come funziona il DNS? - 27 marzo 2023
- Cos'è il malware senza file? - 27 marzo 2023
