SPF ( Sender Policy Framework) omdirigering er en postmodifikator som peker til et eget domenenavn som inneholder en SPF-post. Domeneeiere kan konfigurere flere domener for å bruke en enkelt SPF-post som er vert på ett domene ved å bruke SPF-omdirigering. Selv om det kan se ut til å være fordelaktig på noen måter, anbefaler vi det ikke. Les mer for å finne ut hvorfor!

Introduksjon til SPF og Redirect Modifier

SPF er standarden for e-postautentisering som beskytter organisasjonen din mot etterligning og spam ved å holde oversikt over autoriserte parter. 

Mens SPF-omdirigeringsmodifikatoren er valgfri og kan bare brukes én gang per SPF-post. Det er visse forutsetninger for å bruke SPF-omdirigering. De er som følger:

• Det gir bare mening når en organisasjon jobber med flere domener 
• Alle disse domenene må dele den samme e-postinfrastrukturen
• Det andre domenet, som blir omdirigert, må ha en gyldig SPF-post på plass
• For å bruke SPF-viderekobling, må kontrollen over alle domener som deltar i viderekoblingskjeden ligge hos domeneeieren

Hvordan fungerer SPF Redirect-modifikatoren?

For bedre å forstå funksjonaliteten til SPF-omdirigeringen, la oss ta en titt på følgende eksempel: 

Hvis domain_test.com har en SPF-post som:
v=spf1 redirect=domene_test2.com

Dette indikerer at SPF-posten for "domain_test2.com" bør brukes i stedet for "domain_test". E-postene fra domain_test vil da bli omdirigert ved å bruke "domain_test2".

Når kan du bruke SPF-omdirigeringsmodifikatoren?

1. Når en enkelt post skal brukes for flere domener

For eksempel,

delaware.example.com. TXT «v=spf1 redirect=_spf.example1.com»
austin.example.com TXT «v=spf1 redirect=_spf.example1.com»
washington.example.com TXT «v=spf1 redirect=_spf.example1.com»
_spf.example.com. TXT "v=spf1 mx:example1.com -all"

I dette eksemplet vil all e-post fra de tre domenene ovenfor bli beskrevet av samme post, i dette tilfellet "_spf.example1.com", som gir brukerne en administrativ fordel.

2. Når navnet på domenet må endres.

For alle mekanismer er "a", "mx" og "ptr"-verdier valgfrie. Hvis ingen spesifikke verdier er oppgitt, settes de til gjeldende domene. Men når en "omdirigering" brukes, peker "a", "mx" og "ptr" mekanismene til det omdirigerte domenet.

Tenk på følgende eksempel:
powerdmarc.com "v=spf1 a -all"

Her har mekanismen "a" ingen spesifisert verdi, så den vil da peke til DNS 'A'-posten til "powerdmarc.com", da det er der SPF-posten er vert som spesifisert i eksemplet.

Tenk nå på følgende eksempel:
powerdmarc.com “v=spf1 redirect=_spf.powerdmarc.com”
_spf.powerdmarc.com “v=spf1 a -all”

I eksemplet ovenfor peker "a"-mekanismen til DNS 'A'-posten til "_spf.powerdmarc.com", selv om rotdomenet "powerdmarc.com" omdirigerer den.

Dette er en av de vanlige årsakene til valideringsproblemer av SPF og er vanskelig å feilsøke. Hvis organisasjonen din bruker en SPF-«omdirigering», merk at hvis det finnes en «a», «mx» eller «ptr»-mekanisme uten et eksplisitt definert domenenavn i den omdirigerte SPF-posten, vil den kun peke til det omdirigerte domenet.

Ulemper ved å bruke SPF Redirect

1. Modifikatoren "omdirigering" legger til antallet DNS-oppslag

Når du bruker SPF e-postautentisering, hver gang en e-post sendes fra et domene til mottakerens domene, utfører mottakerens e-postserver DNS-forespørsler, også kjent som DNS-oppslag, for å se etter eksisterende autoriserte IP-adresser i din DNS og sammenligne dem med IP-adressen i returbaneoverskriften til den mottatte e-posten. SPF RFC7208 begrenser det maksimale antallet for disse oppslagene til 10. 

En "omdirigerings"-modifikator, når den brukes, øker også dette antallet. Så organisasjonen din må være forsiktig når du bruker en "viderekobling"-modifikator, da grensen på 10 DNS-oppslag kan overskrides. Dette kan føre til at SPF bryter og føre til autentiseringsfeil.

Hos PowerDMARC konfigurerer brukerne våre PowerSPF som er et effektivt SPF-utflatningsverktøy for å begrense antall oppslag og nyte feilfri SPF.

2. Permerror-resultatet returneres for ingen SPF-policy definert i domener som bruker «omdirigering»

Hvis du inkluderer et domene som ikke inneholder en SPF-post eller har en ugyldig en, returneres et softfail (ingen) resultat som ikke påvirker bekreftelsesprosessen. 

Men mens du bruker SPF-omdirigeringsmodifikatoren hvis det omdirigerte domenet inneholder en ugyldig eller manglende post for SPF, returneres et SPF Permerror-resultat som er en hard feil og kan føre til at SPF bryter.

Bruk av SPF-inkluderingsmekanismen i stedet for SPF-omdirigeringsmodifikatoren

Vi anbefaler å bruke SPF-inkluderingsmekanismen i stedet for omdirigeringsmodifikatoren for å unngå noen vanlige komplikasjoner. De er som følger:

• Når en omdirigeringsmekanisme brukes, angir den slutten av posten og ingen ytterligere endringer kan gjøres. På den annen side, hvis du bruker en SPF-inkludering, kan du gjøre endringer i posten din og legge til flere include-, a- eller mx-poster etter din vilje, og dermed tilby mer når det gjelder fleksibilitet.
  
• Inkluderingsmekanismen kan bidra til å forkorte SPF-posten din slik at den er under SPF-tegnlengdegrensen. Du kan opprette en SPF TXT-post hver på spfrecord1.xyz.com og spfrecord2.abc.com ved å dele opp den opprinnelig enkle, lange SPF-posten og inkludere begge domenene i TXT-posten for ett av domenene (f.eks.: xyz.com).
  
• I tilfelle det er det ingen SPF-post funnet i et omdirigert domene kan bevaringen av feiltilstanden (permerror-verdi) for omdirigering som nevnt ovenfor også unngås ved å bruke inkluderingsmekanismen som vil returnere et softfail-resultat i stedet med at e-postene dine fortsatt blir levert.
  
• I motsetning til SPF-inkludering som ikke har noen effekt på all-mekanismen, ber SPF-omdirigeringsmodifikatoren serveren gjengi SPF ~alle for rotdomenet ved å bruke omdirigering som i følgende tilfelle:
  
  domain1.com «v=spf1 redirect=_spf.domain2.com»
  _spf.domain2.com “v=spf1 ip4:164.100.226.127 ~all
  
  Dette er fordi for enhver post som bruker omdirigering, er "alle"-mekanismen fraværende i utgangspunktet, som kan eksistere side om side under bruken av inkluderer-mekanismer. Derfor blir "~all"-settet for det omdirigerte underdomenet også pålagt rotdomenet.

Konklusjon

Det er mange ting å være forsiktig med når du bruker en "viderekobling"-modifikator som 10 DNS-oppslagsgrensen, og derfor må organisasjonen din være forsiktig når du setter opp SPF-posten. Organisasjonen din må optimalisere SPF-postene fra tid til annen for å sikre at DNS-oppslagene er innenfor grensen. For alle organisasjonens SPF-relaterte spørsmål, sjekk ut PowerSPF . Den utfører automatisk utflating og automatisk oppdaterer nettblokkene for å sikre at de autoriserte IP-ene alltid er oppdaterte og sikre. I tillegg trenger du ikke å bekymre deg for permerror eller overskridelse av DNS-oppslagsgrenser.

Den beste måten å sikre e-postene dine med SPF er å implementere den med DKIM og gratis DMARC . Dette vil bidra til å beskytte organisasjonen din mot søppelpost og mulige forsøk på phishing. Sjekk ut PowerDMARC og sørg for at organisasjonen din bruker en aktiv leverandør av anti-spoofing DMARC-teknologi.

• Om
• siste innlegg

Syuzanna Papazyan

Syuzanna jobber som visuell designer hos PowerDMARC.
Hun er en kunstnerisk person med innovative ideer og design.

Siste innlegg av Syuzanna Papazyan ( se alle )

• Typer av domenesårbarheter du bør være oppmerksom på - 18. august 2023
• Slik implementerer du e-postdomeneautentisering i e-postinfrastrukturen din - 22. februar 2023
• Hvordan fikser jeg "SPF-justering mislyktes"? – 3. januar 2023