SPF doorsturen

Blog

Lees meer over SPF-omleiding: hoe meerdere domeinen één SPF-record kunnen gebruiken, waarom dit nuttig kan lijken en waarom het vaak niet wordt aanbevolen.

door YunesTarada

Laatst bijgewerkt:
6 leestijd: 6 minuten
SPF doorsturen
Inhoudsopgave-

De SPF (Sender Policy Framework) redirect is een recordwijziger die verwijst naar een afzonderlijke domeinnaam die een SPF-record bevat. Domeineigenaren kunnen meerdere domeinen configureren om gebruik te maken van een enkel SPF record dat gehost wordt op één domein met behulp van SPF redirect. Hoewel het in sommige opzichten voordelig lijkt, raden we het niet aan. Lees verder om uit te vinden waarom!

Belangrijkste Conclusies

  1. SPF redirect staat meerdere domeinen toe om een SPF record te delen, maar vereist zorgvuldige configuratie om validatieproblemen te voorkomen.
  2. De SPF redirect modifier kan het aantal DNS opzoekingen verhogen, mogelijk het maximum overschrijden en authenticatie fouten veroorzaken.
  3. Het gebruik van het SPF include mechanisme biedt meer flexibiliteit en vermindert het risico op foutstatussen bij het beheren van SPF records.
  4. Ongeldige of ontbrekende SPF-records in omgeleide domeinen kunnen leiden tot een hard fail-resultaat, waardoor e-mailverificatieprocessen worden bemoeilijkt.
  5. Om de beveiliging van e-mail te verbeteren, moeten organisaties SPF implementeren naast DKIM en DMARC voor een robuuste bescherming tegen spoofing en phishing-aanvallen.

Inleiding tot SPF en de Redirect Modifier

SPF is de standaard voor e-mailverificatie die je organisatie beschermt tegen imitatie en spam door een register bij te houden van geautoriseerde partijen. 

Hoewel de SPF redirect modifier optioneel is en maar één keer per SPF record gebruikt mag worden. Er zijn bepaalde voorwaarden om SPF redirect te gebruiken. Deze zijn als volgt:

  • Het heeft alleen zin als een organisatie met meerdere domeinen werkt 
  • Al deze domeinen moeten dezelfde e-mailinfrastructuur delen
  • Het tweede domein, dat wordt doorgestuurd, moet een geldig SPF-record hebben
  • Om SPF redirect te gebruiken, moet de controle over alle domeinen die deelnemen aan de redirect-keten bij de domeineigenaar liggen.

SPF Redirect vereenvoudigen met PowerDMARC!

Vijftien dagen op proefBoek een demo

Hoe werkt de SPF Redirect modifier?

Om de functionaliteit van de SPF redirect beter te begrijpen, bekijken we het volgende voorbeeld: 

Als domein_test.com een SPF-record heeft zoals:
v=spf1 redirect=domain_test2.com

Dit geeft aan dat het SPF-record voor "domein_test2.com" moet worden gebruikt in plaats van "domein_test". De e-mails van domein_test worden dan doorgestuurd met "domein_test2".

Wanneer kun je de SPF redirect modifier gebruiken?

1. Wanneer één record moet worden gebruikt voor meerdere domeinen

Bijvoorbeeld,

delaware.example.com. TXT "v=spf1 redirect=_spf.example1.com".
austin.example.com TXT "v=spf1 redirect=_spf.example1.com"
washington.example.com TXT "v=spf1 redirect=_spf.example1.com"
_spf.example.com. TXT "v=spf1 mx:example1.com -all"

In dit voorbeeld wordt elke mail van de bovenstaande drie domeinen beschreven door hetzelfde record, in dit geval "_spf.example1.com", wat gebruikers een administratief voordeel biedt.

2. Wanneer de naam van het domein moet worden gewijzigd.

Voor alle mechanismen is de waarde "a", "mx" en "ptr" optioneel. Als er geen specifieke waarden worden opgegeven, worden ze ingesteld op het huidige domein. Als er echter een "redirect" wordt gebruikt, wijzen de mechanismen "a", "mx" en "ptr" naar het omgeleide domein.

Neem het volgende voorbeeld:
powerdmarc.com "v=spf1 a -all"

Hier heeft het mechanisme "a" geen gespecificeerde waarde, dus zal het verwijzen naar het DNS 'A' record van "powerdmarc.com" omdat daar het SPF record gehost wordt zoals gespecificeerd in het voorbeeld.

Bekijk nu het volgende voorbeeld:
powerdmarc.com "v=spf1 redirect=_spf.powerdmarc.com"
_spf.powerdmarc.com "v=spf1 a -all"

In het bovenstaande voorbeeld wijst het "a"-mechanisme naar het DNS 'A'-record van "_spf.powerdmarc.com", hoewel het "powerdmarc.com" rootdomein het doorstuurt.

Dit is een van de meest voorkomende oorzaken van validatieproblemen met SPF en is moeilijk op te lossen. Als uw organisatie een SPF-omleiding gebruikt, houd er dan rekening mee dat als er een 'a', 'mx' of 'ptr'-mechanisme bestaat zonder een expliciet gedefinieerde domeinnaam in uw omgeleide SPF-record, dit alleen naar het omgeleide domein zal verwijzen.

Nadelen van het gebruik van SPF Redirect

1. De "redirect" modifier voegt toe aan het aantal DNS Lookups

Bij gebruik van SPF e-mailverificatie voert de e-mailserver van de ontvanger, telkens wanneer een e-mail wordt verzonden van een domein naar het domein van de ontvanger, DNS query requests uit, ook wel DNS lookups genoemd, om te controleren of er bestaande geautoriseerde IP-adressen in je DNS staan en deze te vergelijken met het IP-adres in de return-path header van de ontvangen e-mail. SPF RFC7208 beperkt het maximum aantal van deze lookups tot 10. 

Een "redirect" modifier, wanneer gebruikt, verhoogt ook deze telling. Je organisatie moet dus voorzichtig zijn met het gebruik van een "redirect" modifier, aangezien de 10 DNS-opzoeklimiet overschreden kan worden. Hierdoor kan SPF breken en kunnen er authenticatiefouten optreden.

Bij PowerDMARC configureren onze gebruikers PowerSPF, een effectieve SPF-afvlakkingstoolom het aantal lookups te beperken en te genieten van foutloze SPF.

2. Er wordt een foutmelding weergegeven als er geen SPF-beleid is gedefinieerd in domeinen die "redirect" gebruiken.

Als je een domein opneemt dat geen SPF record bevat of een ongeldig record heeft, wordt een softfail (geen) resultaat geretourneerd dat het verificatieproces niet beïnvloedt. 

Echter, als bij gebruik van de SPF redirect modifier het omgeleide domein een ongeldig of ontbrekend record voor SPF bevat, wordt een SPF Permerror resultaat geretourneerd, wat een hard fail is en SPF kan verbreken.

Het SPF include mechanisme gebruiken in plaats van de SPF redirect modifier

We raden aan om het SPF include mechanisme te gebruiken in plaats van de redirect modifier om een aantal veel voorkomende complicaties te omzeilen:

  • Wanneer een redirect-mechanisme wordt gebruikt, betekent dit het einde van het record en kunnen er geen verdere wijzigingen worden aangebracht. Aan de andere kant, als je een SPF include gebruikt, kun je wijzigingen aanbrengen in je record en meer includes, a of mx records toevoegen als je dat wilt, wat meer flexibiliteit biedt.
  • Het include mechanisme kan helpen om je SPF record in te korten zodat het onder de SPF karakterlengte limiet valt. Je kunt een SPF TXT record maken op spfrecord1.xyz.com en spfrecord2.abc.com door het oorspronkelijk enkele, lange SPF record te splitsen en beide domeinen op te nemen in het TXT record voor een van de domeinen (bijv. xyz.com).
  • Als er geen SPF record gevonden in een omgeleid domein kan het behoud van de foutstatus (permerror-waarde) voor omleiden zoals hierboven vermeld ook worden omzeild door het include-mechanisme te gebruiken, dat in plaats daarvan een softfail-resultaat retourneert en uw e-mails toch aflevert.
  • In tegenstelling tot SPF include, dat geen effect heeft op het all-mechanisme, instrueert de SPF redirect modifier de server om de SPF ~all voor het hoofddomein met redirect zoals in het volgende geval:
    domein1.com "v=spf1 redirect=_spf.domein2.com"
    _spf.domein2.com "v=spf1 ip4:164.100.226.127 ~all
    Dit komt omdat voor elk record dat redirect gebruikt, het "all" mechanisme in de eerste plaats afwezig is, wat naast elkaar kan bestaan tijdens het gebruik van include mechanismen. Daarom wordt de "~all" set voor het omgeleide subdomein ook geheven op het rootdomein.

Conclusie

Er zijn veel dingen waar je voorzichtig mee moet zijn bij het gebruik van een "redirect" modifier zoals de 10 DNS Lookup limiet, dus je organisatie moet voorzichtig zijn bij het opzetten van je SPF Record. Je organisatie moet de SPF records van tijd tot tijd optimaliseren om ervoor te zorgen dat de DNS lookups binnen de limiet blijven. Voor alle SPF-gerelateerde vragen van je organisatie, bekijk PowerSPF. Het voert automatische afvlakking uit en werkt de netblocks automatisch bij om ervoor te zorgen dat de geautoriseerde IP's altijd up-to-date en veilig zijn. Daarnaast hoef je je geen zorgen te maken over permerrors of het overschrijden van DNS lookup limieten.

De beste manier om je e-mails te beveiligen met SPF is door het te implementeren met DKIM en gratis DMARC. Dit helpt om je organisatie te beschermen tegen spam en mogelijke spear-phishing pogingen. Bekijk PowerDMARC en zorg ervoor dat je organisatie een actieve DMARC-technologieleverancier tegen spoofing gebruikt.

Laatste berichten van Yunes Tarada (Bekijk alle berichten)
Laatst bijgewerkt:
Cyberweerbaarheid en DMARCCyberweerbaarheid en DMARCPowerDMARC-codePowerDMARC werkt samen met Cipher voor Saoedi-Arabië