SPF-syntaks: En komplett veiledning
Å lære og implementere konseptene til SPF er viktig for teknologidrevne virksomheter. Det kan beskytte dem mot potensielle risikoer for phishing, spamming, BEC-angrep osv. SPF eller Sender Policy Framework fungerer ved å bruke en SPF -post som omfatter SPF-syntaks.
Denne bloggen snakker stort sett om SPF-syntakstabellen, SPF-mekanismer, SPF-kvalifiseringer og SPF-modifikatorer - som alle er nødvendige for å få et sterkt grep om konseptet med e-postautentisering ved bruk av tekniske protokoller.
SPF-syntaks for nybegynnere
En SPF-post er en DNS-post som inkluderer en liste over alle IP-adressene som er tillatt å sende e-poster med det offisielle domenenavnet ditt. Når en server utenfor listen sender en e-post ved hjelp av domenet, blir den behandlet som uautorisert. Dermed blir dens oppføring avvist av mottakerens postkasse. Dette beskytter firmaets navn fra å bli involvert i ondsinnede aktiviteter initiert av hackere.
Bedrifter bør opprette og sjekke SPF-poster for å unngå phishing-angrep forsøkt ved å bruke deres egne domenenavn. Over 255 millioner phishing-angrep har blitt registrert bare i første halvdel av 2022! Se for deg hvor avgjørende det har blitt å implementere SPF og lære om SPF-syntaks.
En SPF-post har instruksjoner som leder mottakerens server til å sjekke og validere e-poster mottatt fra domenet ditt. Den forteller også hva som skal gjøres med de som mislykkes med autentisering. En bestemt komponent representerer alle instruksjonene.
La oss bryte ned hvert element ved å bruke et eksempel på SPF-post . Slik ser en SPF-syntaks ut.
v=spf1 ip4:123.1.5.0 ip4:100.5.2.1 include:exampledomain.com ~all
Funksjonen til hvert element er som følger:
- v=spf1 spesifiserer til mottakerserveren om en SPF-post. Alle SPF-poster må starte slik.
- Den neste delen av denne SPF-syntaksen forteller IP-adressene som er tillatt å sende e-poster ved å bruke domenet ditt. I eksemplet ovenfor har vi ip4:123.1.5.0 og ip4:100.5.2.1
- 'include:exampledomain.com'- delen i eksemplet ovenfor spesifiserer tredjepartene som har tillatelse til å sende e-poster ved å bruke domenet. 'include'-taggen indikerer mottakerservere for å bekrefte det inkluderte domenets (exampledomain.com) SPF-post for IP-adresser som også er autorisert. Du kan legge til flere domener i en SPF-post; de må imidlertid være gyldige.
- Alt element dirigerer mottakende servere til å merke e-poster som IKKE PASSERT for SPF hvis de sendes fra et domene eller en IP-adresse utenfor listen spesifisert i SPF-posten
Avansert SPF-syntaks
En SPF-syntakstabell er definert ved hjelp av en DNS TXT-post med en enkelt tekststreng. Det begynner alltid med 'v='-elementet som spesifiserer SPF-versjonen som brukes, og det er bare én versjon per nå.
Alle SPF-postene har sine spesifikke vilkår som oppfører seg som regler for hvilke verter som har tillatelse til å dele meldinger ved å bruke det offisielle domenet, det kan også vise litt ekstra informasjon.
I avansert SPF-syntaks vil vi bryte ned følgende tre komponenter; SPF-mekanismer, SPF-kvalifiseringer og SPF-modifikatorer.
SPF-mekanismer
- ALLE : Den samsvarer alltid og er den siste mekanismen som legges til på slutten av en SPF-post. Den viser standardresultater som "-alle" for umatchede IP-er.
- A : Det indikerer et domenenavn med en AAAA- eller A-post som samsvar siden det sorterer ut avsenderens adresse. Det gjeldende domenet brukes hvis syntaksen for denne DNS SPF-posten er uspesifisert.
- ip4 : Et samsvar er positivt hvis en avsender er koblet til det gitte ipv4-adresseområdet i SPF-posten. Du legger til dette med et prefiks som spesifiserer et områdes lengde. /32 brukes når det ikke er noe prefiks.
- ip6 : Et samsvar er positivt når avsenderen er alliert til det spesifiserte ipv6-adresseområdet. Det er lagt til med ip4-direktivet og et prefiks som indikerer rekkevidde. /128 brukes når det ikke er noe prefiks.
- MX : Den tillater avsendere med en IP-adresse som er den samme som den som er inkludert i MX-posten som er spesifisert. MX-poster består av en IP-adresse og prioritetsverdi for hver server for å godta meldinger.
- PTR : Den spesifiserer det autoriserte domenet for å hjelpe til med å løse IP-adresser til underdomener eller domener. For alle de nøyaktig samsvarende domenene eller underdomenene, gjøres et foroveroppslag for å få IP-adressen.
Denne mekanismen anses som tidkrevende og upålitelig siden den trenger flere oppslag. Det anbefales ikke i henhold til RFC 7208-retningslinjene .
- EKSISTERER : Den utfører et DNS A-postsøk for domenet som er angitt. Et samsvar er vellykket når en gyldig A-post er funnet, uavhengig av det faktiske oppslagsresultatet.
- INKLUDERE : Den autoriserer tredjeparts e-postavsendere ved å oppgi deres domener. En avsender er autorisert bare hvis IP-adressen samsvarer med IP-adressene eller domenene som er oppgitt i SPF-posten til det oppførte domenet.
SPF-kvalifiseringer
Når en mekanisme ikke har en kvalifisering, og det fortsatt er en vellykket match, passerer SPF-autentisering. Hver av de 8 mekanismene er kombinert med en av de fire kvalifiseringene nevnt nedenfor.
Kvalifisering | Resultat | Handling utført av mottakende server |
+ | Sende | E-post passerer SPF-autentisering, og serveren kan utveksle e-post. E-poster er merket som ekte. Dette er standardhandlingen som brukes hvis det ikke er noen kvalifikator. |
– | Mislykket | E-post mislykkes med autentisering fordi avsenderserveren ikke tilhører listen. Posten kan bli avvist av mottakerens postkasse. |
~ | SoftFail | Mottakerens postkasse godtar meldingen; den er imidlertid merket som mistenkelig og havner i søppelpostmappen. |
? | Nøytral | E-postmelding verken består eller mislykkes i autentisering. Handlingen som er tatt er uspesifisert og e-posten aksepteres av mottakeren. |
SPF-modifikatorer
SPD-modifikatorer er ansvarlige for å bestemme arbeidsparametrene til en SPF-syntaks. Den inkluderer navn eller verdipar atskilt med '='-symbolet, som deler ekstra detaljer og unntak fra regler, hvis noen.
Modifikatorer vises bare én gang og bare i den siste delen av en SPF-post. Alle de uidentifiserte modifikatorene blir ignorert i prosessen. 'Redirect'-modifikatoren brukes til å dirigere andre SPF-poster for autentisering. Den brukes når du vil at mer enn ett domene skal ha samme SPF-postinnhold.
"Inkluder"-mekanismen brukes for tredjepartsdomener som har tillatelse til å sende e-poster på dine vegne eller ved å bruke firmanavnet ditt. 'exp'-modifikatoren spesifiserer hvorfor den mottakende serveren returnerte en Fail SPF Qualifier når en mekanisme samsvarer.
Retningslinjer for SPF Records
Husk følgende når du oppretter en SPF-post ved å bruke SPF-syntakstabellen.
- Du kan ikke justere flere SPF-poster for ett domene.
- En SPF-post må ikke ha noen store bokstaver; ellers vil du se feil.
- Det skal ikke være mer enn 255 tegn. Enhver streng som overskrider dette tallet vil resultere i mislykket autentisering.
- Slett hvis det er noen SPF-mekanismer som løser seg til samme domene.
- Slett eventuelle ip4- og ip6 SPF-mekanismer som ikke er i bruk. Sjekk også om du kan slå sammen adresseområder.
- Du kan opprette underdomener for å lagre SPF-informasjon. Dette kan gjøres ved å bruke '_spf.domain.com.' Det anbefales for store IT-firmaer siden de har flere IP-adresser å legge til i én SPF-post.
- Topp 5 administrerte tjenester innen cybersikkerhet i 2023 - 29. mai 2023
- Hvordan planlegge en smidig overgang fra DMARC None til DMARC Reject? - 26. mai 2023
- Hvordan sjekker du domenets helse? - 26. mai 2023