De SPF (Sender Policy Framework) redirect is een record modifier die verwijst naar een aparte domeinnaam die een SPF record bevat. Domeineigenaars kunnen meerdere domeinen configureren om gebruik te maken van een enkel SPF record dat gehost wordt op één domein met SPF redirect. Hoewel het in sommige opzichten voordelig kan lijken, raden wij het niet aan. Lees meer om uit te vinden waarom!

Inleiding tot SPF en de Redirect Modifier

SPF is de e-mailauthenticatiestandaard die uw organisatie beschermt tegen impersonatie en spam door een register bij te houden van geautoriseerde partijen. 

Terwijl de SPF redirect modifier optioneel is en slechts eenmaal per SPF record gebruikt mag worden. Er zijn bepaalde vereisten om SPF redirect te gebruiken. Deze zijn als volgt:

  • Het heeft alleen zin wanneer een organisatie met meerdere domeinen werkt 
  • Al deze domeinen moeten dezelfde e-mailinfrastructuur delen
  • Het tweede domein, dat wordt doorverwezen, moet een geldig SPF record hebben
  • Om SPF redirect te gebruiken, moet de controle over alle domeinen die deelnemen aan de redirect-keten bij de domeineigenaar liggen

Hoe werkt de SPF Redirect modifier?

Om de functionaliteit van de SPF redirect beter te begrijpen, laten we eens kijken naar het volgende voorbeeld: 

Als domein_test.com een SPF record heeft zoals:
v=spf1 redirect=domain_test2.com

Dit geeft aan dat het SPF record voor "domain_test2.com" moet worden gebruikt in plaats van "domain_test". De mails van domein_test zouden dan worden omgeleid via "domein_test2".

Wanneer kunt u de SPF redirect modifier gebruiken?

1. Wanneer één enkel record voor meerdere domeinen moet worden gebruikt

Bijvoorbeeld,

delaware.example.com. TXT "v=spf1 redirect=_spf.example1.com"
austin.example.com TXT "v=spf1 redirect=_spf.example1.com"
washington.example.com TXT "v=spf1 redirect=_spf.example1.com"
_spf.example.com. TXT "v=spf1 mx:example1.com -all"

In dit voorbeeld zal elke mail van de drie bovengenoemde domeinen worden beschreven door hetzelfde record, in dit geval "_spf.example1.com", hetgeen gebruikers een administratief voordeel biedt.

2. Wanneer de naam van het domein moet worden gewijzigd.

Voor alle mechanismen is de waarde "a", "mx" en "ptr" optioneel. Als er geen specifieke waarden worden opgegeven, worden ze ingesteld op het huidige domein. Wanneer echter een "redirect" wordt gebruikt, wijzen de "a", "mx", en "ptr" mechanismen naar het doorverwezen domein.

Neem het volgende voorbeeld:
powerdmarc.com "v=spf1 a -all"

Hier heeft het mechanisme, "a" geen gespecificeerde waarde, dus zal het dan verwijzen naar het DNS 'A' record van "powerdmarc.com" aangezien dat is waar het SPF record gehost wordt zoals gespecificeerd in het voorbeeld.

Neem nu het volgende voorbeeld:
powerdmarc.com "v=spf1 redirect=_spf.powerdmarc.com"
_spf.powerdmarc.com "v=spf1 a -all"

In het bovenstaande voorbeeld wijst het "a" mechanisme naar het DNS 'A' record van "_spf.powerdmarc.com", ook al verwijst het "powerdmarc.com" root domain er naar door.

Dit is een van de meest voorkomende oorzaken van validatie problemen van SPF en is moeilijk te debuggen. Als uw organisatie een SPF "redirect" gebruikt, merk dan op dat als er een "a", "mx", of "ptr" mechanisme bestaat zonder een expliciet gedefinieerde domeinnaam in uw redirected SPF record, deze alleen zal verwijzen naar het redirected domein.

Nadelen van SPF Redirect

1. De "redirect" modifier voegt toe aan het aantal DNS Lookups

Wanneer SPF e-mailverificatie wordt gebruikt, voert de e-mailserver van de ontvanger, telkens wanneer een e-mail van een domein naar het domein van de ontvanger wordt verzonden, DNS-queryverzoeken uit, ook bekend als DNS-lookups, om te controleren op bestaande geautoriseerde IP-adressen in uw DNS en deze te vergelijken met het IP-adres in de retourpadheader van de ontvangen e-mail. SPF RFC7208 beperkt het maximum aantal voor deze lookups tot 10. 

Een "redirect" modifier, wanneer gebruikt, verhoogt ook deze telling. Uw organisatie moet dus voorzichtig zijn met het gebruik van een "redirect" modifier, aangezien de 10 DNS lookup limiet overschreden kan worden. Dit kan SPF doen breken en leiden tot mislukte authenticatie.

Bij PowerDMARC configureren onze gebruikers PowerSPF, een doeltreffend SPF-afvlakkingshulpmiddel om het aantal lookups te beperken en van een foutloze SPF te genieten.

2. Er wordt een foutmelding gegeven als er geen SPF beleid is gedefinieerd in domeinen die "redirect" gebruiken

Indien u een domein opneemt dat geen SPF record bevat of een ongeldig SPF record heeft, wordt een softfail (geen) resultaat teruggegeven dat geen invloed heeft op het verificatieproces. 

Als echter bij gebruik van de SPF redirect modifier het doorverwezen domein een ongeldig of ontbrekend record voor SPF bevat, wordt een SPF Permerror resultaat geretourneerd, wat een harde fail is en SPF kan doen breken.

Gebruik van het SPF include mechanisme in plaats van de SPF redirect modifier

Wij raden aan het SPF include mechanisme te gebruiken in plaats van de redirect modifier om een aantal veel voorkomende complicaties te omzeilen, Deze zijn als volgt:

  • Wanneer een redirect mechanisme wordt gebruikt, betekent dit het einde van het record en kunnen geen verdere wijzigingen meer worden aangebracht. Als je daarentegen een SPF include gebruikt, kan je wijzigingen aanbrengen aan je record en naar believen meer includes, a of mx records toevoegen, wat meer flexibiliteit biedt.
  • Het include mechanisme kan helpen om uw SPF record in te korten zodat het onder de SPF karakter lengte limiet blijft. U kunt een SPF TXT record maken op spfrecord1.xyz.com en spfrecord2.abc.com door het oorspronkelijk enkele, lange SPF record te splitsen en beide domeinen op te nemen in het TXT record voor een van de domeinen (b.v.: xyz.com).
  • In het geval dat er geen SPF record gevonden in een omgeleid domein kan het bijhouden van de foutstatus (permerror waarde) voor omleiding, zoals hierboven vermeld, ook omzeild worden door gebruik te maken van het include mechanisme dat een softfail resultaat zal teruggeven terwijl je e-mails nog steeds bezorgd worden.
  • In tegenstelling tot SPF include die geen effect heeft op het all mechanisme, instrueert de SPF redirect modifier de server om de SPF ~all voor het root domein met behulp van redirect zoals in het volgende geval:
    domain1.com "v=spf1 redirect=_spf.domain2.com"
    _spf.domain2.com "v=spf1 ip4:164.100.226.127 ~all
    Dit komt omdat voor elk record dat redirect gebruikt, het "all" mechanisme in de eerste plaats afwezig is, wat wel kan bestaan tijdens het gebruik van include mechanismen. Vandaar dat de "~all" set voor het doorverwezen subdomein ook wordt geheven op het root domein.

Conclusie

Er zijn veel dingen om voorzichtig mee te zijn bij het gebruik van een "redirect" modifier zoals de 10 DNS Lookup limiet, daarom moet uw organisatie voorzichtig zijn bij het opzetten van uw SPF Record. Uw organisatie moet de SPF records van tijd tot tijd optimaliseren om ervoor te zorgen dat de DNS lookups binnen de limiet blijven. Voor alle SPF-gerelateerde vragen van uw organisatie, kijk op PowerSPF. Het voert automatische flattening uit en auto-updates van de netblocks om ervoor te zorgen dat de geautoriseerde IP's altijd up-to-date en veilig zijn. Bovendien hoeft u zich geen zorgen te maken over fouten of het overschrijden van DNS lookup limieten.

De beste manier om uw emails met SPF te beveiligen is door ze te implementeren met DKIM en gratis DMARC. Dit zal helpen bij het beschermen van uw organisatie tegen spam mail en mogelijke spear-phishing pogingen. Kijk eens naar PowerDMARC en zorg ervoor dat uw organisatie gebruik maakt van een actieve anti-spoofing DMARC technology service provider.

Nieuwste berichten van Syuzanna Papazyan (zie alle)