• Logg Inn
  • Melde deg på
  • Kontakt oss
PowerDMARC
  • Funksjoner
    • PowerDMARC
    • Vert for DKIM
    • PowerSPF
    • PowerBIMI
    • PowerMTA-STS
    • PowerTLS-RPT
    • PowerAlerts
    • Omdømmeovervåking
  • Tjenester
    • Distribusjonstjenester
    • Administrerte tjenester
    • Støttetjenester
    • Tjenestefordeler
  • Prissetting
  • Power Toolbox
  • Partnere
    • Forhandlerprogram
    • MSSP -programmet
    • Technology Partners
    • Industripartnere
    • Bli en partner
  • Ressurser
    • DMARC: Hva er det og hvordan fungerer det?
    • Dataark
    • Casestudier
    • Blogg
    • DMARC opplæring
    • DMARC i ditt land
    • DMARC etter industri
    • Brukerstøtte
  • Om
    • Vårt selskap
    • Kunder
    • Kontakt oss
    • Bestill en demo
    • arrangementer
  • Meny Meny

Forstå begrensningene ved SPF i e-postautentisering

Blogger
Forstå begrensningene med SPF i e-postautentisering

Rammeverk for avsenderpolitikk eller SPF er ikke tilstrekkelig når det gjelder å sikre bedriftens e-poster mot phishing og spamming angrep. SPF-begrensning på maksimalt antall DNS-oppslag og manglende justering av fra-adresse og domene forårsaker implementeringsfeil som resulterer i problemer med levering av e-post. Denne bloggen diskuterer disse problemene og hvordan DMARC bidrar til å overvinne disse SPF-begrensningene.

Hva er begrensningene for SPF Record?

Det er to viktige SPF-grenser som gjør det litt vanskelig å implementere og vedlikeholde. 

1. SPF 10-oppslagsgrensen

Når en bruker spør DNS-serveren, brukes validatorens ressurser som båndbredde, tid, CPU og minne. For å unngå belastning på validatoren er det en SPF-grense på 10 ekstra oppslag. DNS-forespørselen for selve SPF-policyoppføringen teller imidlertid ikke med i denne grensen.

I henhold til RFC7208 seksjon 4.6.4skal mottakerens e-postserver ikke behandle videre når grensen på 10 oppslag er nådd. I et slikt tilfelle avviser e-posten SPF-validering med en Permerror-feil. SPF Permerror er en av meldingene som ofte vises i SPF-implementeringsprosessen. Den fører til at e-post ikke leveres og oppstår hvis det finnes flere SPF-poster på ett domene, en syntaksfeil dukker opp eller på grunn av overskredne SPF-postgrenser.

Du kan bruke den gratis SPF record checker for å eliminere denne feilen og sørge for sikre e-postsamtaler.

I henhold til RFC kan dessuten en DNS-spørring av et vertsnavn som finnes i en MX-oppføring ikke generere mer enn 10 A-poster eller AAAA-poster. Hvis en DNS PTR-spørring genererer mer enn 10 resultater, vises og brukes bare de 10 første resultatene.

2. Den menneskelesbare fra-adressen

Den andre SPF-begrensningen er at SPF-poster gjelder spesifikke Return-Path-domener og ikke From-adressen. Mottakere er vanligvis ikke særlig oppmerksomme på returadressen og fokuserer bare på avsenderadressen når de åpner en e-post. Hackere utnytter dette smutthullet til å forsøke phishing-angrep ved å forfalske fra-adressen.

Virkningen av SPF-poststørrelse på e-postlevering

Når en mottaker overskrider SPF-recordgrensen, mislykkes SPF-kontrollene, og det oppstår en Permerror. Du kan observere denne feilen når du bruker DMARC-overvåking. Mottakeren kan velge hvordan han eller hun vil håndtere e-poster med Permerror-feil. De kan velge å avvise oppføringen, noe som betyr at e-posten vil sprette tilbake. Noen mottakere konfigurerer den til å vise et "nøytralt" SPF-resultat (som om ingen SPF brukes). De kan også velge "fail" eller "softfail", som betyr at e-poster som ikke består SPF-godkjenningskontrollene, ikke blir avvist, men havner i søppelpostmappen. 

Disse resultatene bestemmes også ved å vurdere resultatene av DMARC, DKIM og spam-klassifisering. Overskridelse av SPF-grensen påvirker e-postleverbarheten ved å redusere sannsynligheten for at e-poster havner i den primære innboksen til de tiltenkte mottakerne.

Validatoren vurderer SPF-policyen fra venstre mot høyre, og når det finnes et treff på avsenderens IP-adresse, stopper prosessen. Nå, avhengig av avsender, kan det hende at en validator ikke alltid når oppslagsgrensen selv om SPF-policyen krever mer enn 10 oppslag for å fullføre evalueringen. Det skaper vanskeligheter med å identifisere SPF-grense-relaterte problemer med levering av e-post. 

Hvordan redusere antall nødvendige oppslag?

Det er vanskelig for noen domeneeiere å holde seg innenfor SPF-grensen på 10 oppslag, ettersom e-postutvekslingsvanene har endret seg betydelig siden 2006 (da RFC4408 ble implementert). Nå bruker selskaper flere skybaserte programmer og tjenester med ett enkelt domene. Så følgende er noen måter å overvinne denne vanlige SPF-begrensningen på.

  • Fjern ubrukte tjenester

Vurder din SF-rekord og se om det er noen ubrukte eller ikke-påkrevde tjenester. Se etter 'include' eller andre mekanismer som viser tjenestedomener som ikke lenger er i bruk.

  • Fjern standard SPF-verdier

Standard SPF-policy er vanligvis satt til 'v=spf1 a mx'. Siden de fleste A- og AAAA-poster brukes for webservere som ikke kan sende e-post, er 'a' og 'mx' mekanismen ikke påkrevd.

  • Unngå å bruke ptr Mekanisme

Den ptr mekanismen frarådes sterkt på grunn av svak sikkerhet og upålitelighet. Mekanismen forårsaker SPF-grenseproblemet ved å kreve flere oppslag. Derfor bør den unngås så mye som mulig.

  • Unngå å bruke mx mekanisme

Den mx mekanismen brukes til å motta e-post, og ikke nødvendigvis til å sende dem. Derfor kan du unngå å bruke den for å holde deg innenfor SPF-recordgrensen som er angitt for oppslag. Hvis du bruker en skybasert e-posttjeneste, kan du brukeinclude' mekanismen i stedet.

  • Bruk IPv6 eller IPv4 

IPv4 og IPv6 trenger ingen ekstra oppslag, noe som betyr at de hjelper deg med å ikke overskride SPF-grensen på ikke mer enn 10 oppslag. Du må imidlertid holde deg oppdatert og vedlikeholde de to mekanismene jevnlig, ettersom de er mer utsatt for feil når de ikke vedlikeholdes.

  • Ikke flate ut SPF-poster

Noen ressurser hevder at jo mer utflatet (eller kortere) SPF-policyen er, jo bedre er domenets omdømme. De foreslår denne metoden for å holde seg innenfor SPF-recordgrensene som er satt for oppslag. Utflating frarådes imidlertid fordi det gjør oppføringen mer utsatt for feil og krever regelmessige oppdateringer. 

DMARCs rolle i å overvinne SPF-begrensninger

DMARC håndterer SPF-begrensningen av den menneskelesbare fra-adressen ved å kreve samsvar eller justering mellom det menneskelesbare fra-feltet og serveren som er autentisert av SPF.

Så hvis en e-post består SPF-kontrollene, men domenet ikke er det samme som avsenderadressen, overstyrer DMARC denne autentiseringen. Dette betyr at e-posten ikke består godkjenningstesten.

Hvordan bidrar utflating av SPF-poster til å overvinne grensen på 10 DNS-oppslag?

Utflating av SPF-poster er en teknikk som brukes til å optimalisere SPF-poster (Sender Policy Framework) for å overvinne grensen på 10 DNS-oppslag for SPF. Grensen på 10 DNS-oppslag er en begrensning som pålegges av mange DNS-oppløsere, som begrenser antall DNS-spørringer som kan utføres når en SPF-post for et domene verifiseres.

Når en e-post mottas, søker mottakerens e-postserver i avsenderens domenes DNS etter SPF-oppføringen for å verifisere om avsenderen er autorisert til å sende e-post fra dette domenet. Hvis SPF-oppføringen inneholder mange nestede inkluderinger, kan den imidlertid raskt overskride grensen på 10 DNS-oppslag, noe som fører til SPF-verifiseringsfeil og falske positive søppelpostoppdagelser.

For å overvinne denne begrensningen brukes utflating av SPF-poster. Utflating av SPF-oppføringer er en teknikk som erstatter alle innebygde include-erklæringer i en SPF-oppføring med de tilsvarende IP-adressene eller CIDR-områdene. Dette reduserer antall DNS-spørringer som kreves for å verifisere SPF-oppføringen, ettersom hvert inkluderte domene ikke lenger spørres individuelt.

Ved å flate ut SPF-posten reduseres antallet DNS-forespørsler som kreves for å verifisere SPF-posten betydelig, slik at e-postmeldinger kan bestå SPF-verifisering selv om den opprinnelige posten hadde mer enn 10 DNS-oppslag. Denne teknikken reduserer også risikoen for SPF-oppføringsvalideringsfeil på grunn av tidsavbrudd for DNS-forespørsler eller midlertidige DNS-serverproblemer.

Utfordringer ved implementering av SPF i store bedrifter

SPF har påtvunget begrensningen på ikke mer enn 10 oppslag for å forhindre DoS- og DDoS-angrep. Dessverre kan disse oppslagene legge opp veldig raskt, spesielt i store bedrifter. Tidligere drev selskaper sine egne e-postservere, men nå bruker de tredjeparts avsendere. Dette skaper et problem ettersom hver kan ta opptil 3 eller 4 servere, og du når grensen veldig raskt.

SPF grense

  • Om
  • siste innlegg
Ahona Rudra
Digital Marketing & Content Writer Manager hos PowerDMARC
Ahona jobber som Digital Marketing and Content Writer Manager hos PowerDMARC. Hun er en lidenskapelig forfatter, blogger og markedsføringsspesialist innen cybersikkerhet og informasjonsteknologi.
Siste innlegg av Ahona Rudra ( se alle )
  • Google inkluderer ARC i retningslinjene for e-postavsendere for 2024 - 8. desember 2023
  • Websikkerhet 101 - beste praksis og løsninger - 29. november 2023
  • Hva er e-postkryptering og hva er dens forskjellige typer? – 29. november 2023
27. februar 2023/av Ahona Rudra
Tagger: SPF-grense, SPF-begrensninger, SPF-begrensninger, SPF-postgrense, SPF-postbegrensninger, SPF-postbegrensninger
Del denne oppføringen
  • Del på Facebook
  • Del på Twitter
  • Del på Twitter
  • Del på WhatsApp
  • Del på LinkedIn
  • Del via post
du kommer kanskje også til å like
spf-grenseHvordan fikser jeg "SPF overskrider maksimal tegngrense"?
spf optimalisering bloggHvordan optimalisere SPF -opptak?
SPF Permerror - SPF For mange DNS-oppslagFix SPF Permerror: Overvinne grensen for SPF for mange DNS-oppslag

Sikre e -posten din

Stopp e -postforfalskning og forbedre e -postleveransen

15-dagers gratis prøveversjon!


Kategorier

  • Blogger
  • Nyheter
  • Pressemeldinger

Siste blogger

  • Google-Inkluderer-ARC-I-2024-E-post-retningslinjer for e-postavsendere
    Google inkluderer ARC i retningslinjene for e-postavsendere for 20248. desember 2023 - 11:55 am
  • Websikkerhet 101 - beste praksis og løsninger
    Websikkerhet 101 - beste praksis og løsninger29. november 2023 - 16:52 pm
  • Hva-er-e-postkryptering-og-hva-er-dets-forskjellige-typer
    Hva er e-postkryptering og hva er dens forskjellige typer? 29. november 2023 – 12:39
  • mta sts blogg
    Hva er MTA-STS? Sett opp riktig MTA STS-policyNovember 25, 2023 - 3:02 pm
logo bunntekst powerdmarc
SOC2 GDPR PowerDMARC GDPR-kompatibel krone kommersiell tjeneste
global cyberallianse sertifisert powerdmarc csa

Kunnskap

Hva er e -postautentisering?
Hva er DMARC?
Hva er DMARC Policy?
Hva er SPF?
Hva er DKIM?
Hva er BIMI?
Hva er MTA-STS?
Hva er TLS-RPT?
Hva er RUA?
Hva er RUF?
AntiSpam vs DMARC
DMARC -justering
DMARC -samsvar
DMARC -håndhevelse
BIMI implementeringsguide
Permerror
MTA-STS og TLS-RPT implementeringsveiledning

Verktøy

Gratis DMARC Record Generator
Gratis DMARC Record Checker
Gratis SPF Record Generator
Gratis SPF -oppslag
Gratis DKIM Record Generator
Gratis DKIM -oppslagssøk
Gratis BIMI Record Generator
Gratis BIMI -oppslagssøk
Gratis FCrDNS -oppslagssøk
Gratis TLS-RPT Record Checker
Gratis MTA-STS Record Checker
Gratis TLS-RPT Record Generator

Produkt

Produktomvisning
Funksjoner
PowerSPF
PowerBIMI
PowerMTA-STS
PowerTLS-RPT
PowerAlerts
Omdømmeovervåking
API-dokumentasjon
Administrerte tjenester
Beskyttelse mot forfalskning av e-post
Beskyttelse av varemerker
Beskyttelse mot phishing
DMARC for Office365
DMARC for Google Mail GSuite
DMARC for Zimbra
Gratis DMARC-opplæring

Prøv oss

Kontakt oss
Gratis prøveperiode
Bokdemo
Samarbeid
Prissetting
FAQ
Brukerstøtte
Blogg
arrangementer
Funksjonsforespørsel
Endre logg
System status

  • English
  • Français
  • Dansk
  • Nederlands
  • Deutsch
  • Русский
  • Polski
  • Español
  • Italiano
  • 日本語
  • 中文 (简体)
  • Português
  • Svenska
  • 한국어
© PowerDMARC er et registrert varemerke.
  • Twitter
  • Youtube
  • LinkedIn
  • Facebook
  • Instagram
  • Kontakt oss
  • Betingelser og vilkår
  • Personvernerklæring
  • Informasjonskapsler
  • Sikkerhetspolicy
  • Samsvar
  • GDPR -merknad
  • Nettkart
Hvordan legge inn TXT-verdier i Google Cloud DNS?Hvordan legge inn TXT-verdier i Google Cloud DNSHva er skadelig programvare som en tjeneste MaaSMalware-as-a-Service (MaaS): Hva er det og hvordan forebygge det?
Bla til toppen