Innlegg

SPF ( Sender Policy Framework) omdirigering er en postmodifikator som peker til et eget domenenavn som inneholder en SPF-post. Domeneeiere kan konfigurere flere domener for å bruke en enkelt SPF-post som er vert på ett domene ved å bruke SPF-omdirigering. Selv om det kan se ut til å være fordelaktig på noen måter, anbefaler vi det ikke. Les mer for å finne ut hvorfor!

Introduksjon til SPF og Redirect Modifier

SPF er standarden for e-postautentisering som beskytter organisasjonen din mot etterligning og spam ved å holde oversikt over autoriserte parter. 

Mens SPF-omdirigeringsmodifikatoren er valgfri og kan bare brukes én gang per SPF-post. Det er visse forutsetninger for å bruke SPF-omdirigering. De er som følger:

  • Det gir bare mening når en organisasjon jobber med flere domener 
  • Alle disse domenene må dele den samme e-postinfrastrukturen
  • Det andre domenet, som blir omdirigert, må ha en gyldig SPF-post på plass
  • For å bruke SPF-viderekobling, må kontrollen over alle domener som deltar i viderekoblingskjeden ligge hos domeneeieren

Hvordan fungerer SPF Redirect-modifikatoren?

For bedre å forstå funksjonaliteten til SPF-omdirigeringen, la oss ta en titt på følgende eksempel: 

Hvis domain_test.com har en SPF-post som:
v=spf1 redirect=domene_test2.com

Dette indikerer at SPF-posten for "domain_test2.com" bør brukes i stedet for "domain_test". E-postene fra domain_test vil da bli omdirigert ved å bruke "domain_test2".

Når kan du bruke SPF-omdirigeringsmodifikatoren?

1. Når en enkelt post skal brukes for flere domener

For eksempel,

delaware.example.com. TXT «v=spf1 redirect=_spf.example1.com»
austin.example.com TXT «v=spf1 redirect=_spf.example1.com»
washington.example.com TXT «v=spf1 redirect=_spf.example1.com»
_spf.example.com. TXT "v=spf1 mx:example1.com -all"

I dette eksemplet vil all e-post fra de tre domenene ovenfor bli beskrevet av samme post, i dette tilfellet "_spf.example1.com", som gir brukerne en administrativ fordel.

2. Når navnet på domenet må endres.

For alle mekanismer er "a", "mx" og "ptr"-verdier valgfrie. Hvis ingen spesifikke verdier er oppgitt, settes de til gjeldende domene. Men når en "omdirigering" brukes, peker "a", "mx" og "ptr" mekanismene til det omdirigerte domenet.

Tenk på følgende eksempel:
powerdmarc.com "v=spf1 a -all"

Her har mekanismen "a" ingen spesifisert verdi, så den vil da peke til DNS 'A'-posten til "powerdmarc.com", da det er der SPF-posten er vert som spesifisert i eksemplet.

Tenk nå på følgende eksempel:
powerdmarc.com “v=spf1 redirect=_spf.powerdmarc.com”
_spf.powerdmarc.com “v=spf1 a -all”

I eksemplet ovenfor peker "a"-mekanismen til DNS 'A'-posten til "_spf.powerdmarc.com", selv om rotdomenet "powerdmarc.com" omdirigerer den.

Dette er en av de vanlige årsakene til valideringsproblemer av SPF og er vanskelig å feilsøke. Hvis organisasjonen din bruker en SPF-«omdirigering», merk at hvis det finnes en «a», «mx» eller «ptr»-mekanisme uten et eksplisitt definert domenenavn i den omdirigerte SPF-posten, vil den kun peke til det omdirigerte domenet.

Ulemper ved å bruke SPF Redirect

1. Modifikatoren "omdirigering" legger til antallet DNS-oppslag

Når du bruker SPF e-postautentisering, hver gang en e-post sendes fra et domene til mottakerens domene, utfører mottakerens e-postserver DNS-forespørsler, også kjent som DNS-oppslag, for å se etter eksisterende autoriserte IP-adresser i din DNS og sammenligne dem med IP-adressen i returbaneoverskriften til den mottatte e-posten. SPF RFC7208 begrenser det maksimale antallet for disse oppslagene til 10. 

En "omdirigerings"-modifikator, når den brukes, øker også dette antallet. Så organisasjonen din må være forsiktig når du bruker en "viderekobling"-modifikator, da grensen på 10 DNS-oppslag kan overskrides. Dette kan føre til at SPF bryter og føre til autentiseringsfeil.

Hos PowerDMARC konfigurerer brukerne våre PowerSPF som er et effektivt SPF-utflatningsverktøy for å begrense antall oppslag og nyte feilfri SPF.

2. Permerror-resultatet returneres for ingen SPF-policy definert i domener som bruker «omdirigering»

Hvis du inkluderer et domene som ikke inneholder en SPF-post eller har en ugyldig en, returneres et softfail (ingen) resultat som ikke påvirker bekreftelsesprosessen. 

Men mens du bruker SPF-omdirigeringsmodifikatoren hvis det omdirigerte domenet inneholder en ugyldig eller manglende post for SPF, returneres et SPF Permerror-resultat som er en hard feil og kan føre til at SPF bryter.

Bruk av SPF-inkluderingsmekanismen i stedet for SPF-omdirigeringsmodifikatoren

Vi anbefaler å bruke SPF-inkluderingsmekanismen i stedet for omdirigeringsmodifikatoren for å unngå noen vanlige komplikasjoner. De er som følger:

  • Når en omdirigeringsmekanisme brukes, angir den slutten av posten og ingen ytterligere endringer kan gjøres. På den annen side, hvis du bruker en SPF-inkludering, kan du gjøre endringer i posten din og legge til flere include-, a- eller mx-poster etter din vilje, og dermed tilby mer når det gjelder fleksibilitet.
  • Inkluderingsmekanismen kan bidra til å forkorte SPF-posten din slik at den er under SPF-tegnlengdegrensen. Du kan opprette en SPF TXT-post hver på spfrecord1.xyz.com og spfrecord2.abc.com ved å dele opp den opprinnelig enkle, lange SPF-posten og inkludere begge domenene i TXT-posten for ett av domenene (f.eks.: xyz.com).
  • I tilfelle det er det ingen SPF-post funnet i et omdirigert domene kan bevaringen av feiltilstanden (permerror-verdi) for omdirigering som nevnt ovenfor også unngås ved å bruke inkluderingsmekanismen som vil returnere et softfail-resultat i stedet med at e-postene dine fortsatt blir levert.
  • I motsetning til SPF-inkludering som ikke har noen effekt på all-mekanismen, ber SPF-omdirigeringsmodifikatoren serveren gjengi SPF ~alle for rotdomenet ved å bruke omdirigering som i følgende tilfelle:
    domain1.com «v=spf1 redirect=_spf.domain2.com»
    _spf.domain2.com “v=spf1 ip4:164.100.226.127 ~all
    Dette er fordi for enhver post som bruker omdirigering, er "alle"-mekanismen fraværende i utgangspunktet, som kan eksistere side om side under bruken av inkluderer-mekanismer. Derfor blir "~all"-settet for det omdirigerte underdomenet også pålagt rotdomenet.

Konklusjon

Det er mange ting å være forsiktig med når du bruker en "viderekobling"-modifikator som 10 DNS-oppslagsgrensen, og derfor må organisasjonen din være forsiktig når du setter opp SPF-posten. Organisasjonen din må optimalisere SPF-postene fra tid til annen for å sikre at DNS-oppslagene er innenfor grensen. For alle organisasjonens SPF-relaterte spørsmål, sjekk ut PowerSPF . Den utfører automatisk utflating og automatisk oppdaterer nettblokkene for å sikre at de autoriserte IP-ene alltid er oppdaterte og sikre. I tillegg trenger du ikke å bekymre deg for permerror eller overskridelse av DNS-oppslagsgrenser.

Den beste måten å sikre e-postene dine med SPF er å implementere den med DKIM og gratis DMARC . Dette vil bidra til å beskytte organisasjonen din mot søppelpost og mulige forsøk på phishing. Sjekk ut PowerDMARC og sørg for at organisasjonen din bruker en aktiv leverandør av anti-spoofing DMARC-teknologi.

I denne artikkelen vil vi undersøke hvordan du enkelt kan optimalisere SPF -registrering for domenet ditt. For bedrifter så vel som små bedrifter som er i besittelse av et e -postdomene for sending og mottak av meldinger blant sine kunder, partnere og ansatte, er det høyst sannsynlig at det finnes en SPF -post som standard, som er satt opp av leverandøren av innboksen din. . Uansett om du har en eksisterende SPF-post eller du må opprette en ny, må du optimalisere SPF-posten riktig for domenet ditt for å sikre at det ikke forårsaker problemer med levering av e-post.

Noen e -postmottakere krever strengt SPF, noe som indikerer at hvis du ikke har publisert en SPF -post for domenet, kan e -postene dine merkes som spam i mottakerens innboks. Dessuten hjelper SPF med å oppdage uautoriserte kilder som sender e -post på vegne av domenet ditt.

La oss først forstå hva som er SPF og hvorfor trenger du det?

Sender Policy Framework (SPF)

SPF er egentlig en standard e -postgodkjenningsprotokoll som spesifiserer IP -adressene som er autorisert til å sende e -post fra domenet ditt. Den opererer ved å sammenligne avsenderadresser med listen over autoriserte sendende verter og IP -adresser for et bestemt domene som er publisert i DNS for det domenet.

SPF, sammen med DMARC (domenebasert meldingsautentisering, rapportering og samsvar) er designet for å oppdage forfalskede avsenderadresser under e-postlevering og forhindre spoofing-angrep, phishing og svindel via e-post.

Det er viktig å vite at selv om standard SPF som er integrert i domenet ditt av vertsleverandøren din, sikrer at e-postmeldinger som sendes fra domenet ditt, blir godkjent mot SPF hvis du har flere tredjepartsleverandører til å sende e-post fra domenet ditt, denne eksisterende SPF-posten må skreddersys og endres for å passe dine behov. Hvordan kan du gjøre det? La oss utforske to av de vanligste måtene:

  • Lag en helt ny SPF -rekord
  • Optimalisering av en eksisterende SPF -post

Instruksjoner om hvordan du optimaliserer SPF -registrering

Lag en splitter ny SPF -post

Opprette en SPF -post er bare å publisere en TXT -post i domenets DNS for å konfigurere SPF for domenet ditt. Dette er et obligatorisk trinn som kommer før du begynner med hvordan du optimaliserer SPF -posten. Hvis du bare har begynt med autentisering og er usikker på syntaksen, kan du bruke vår gratis SPF -postgenerator for å lage en SPF -post for domenet ditt.

En SPF -postoppføring med riktig syntaks vil se omtrent slik ut:

v = spf1 ip4: 38.146.237 inkluderer: example.com -all

v = spf1Spesifiserer versjonen av SPF som brukes
ip4/ip6Denne mekanismen angir gyldige IP -adresser som er autorisert til å sende e -post fra domenet ditt.
inkludereDenne mekanismen forteller mottaker -serverne å inkludere verdiene for SPF -posten til det angitte domenet.
-alleDenne mekanismen spesifiserer at e -postmeldinger som ikke er SPF -kompatible, vil bli avvist. Dette er den anbefalte taggen du kan bruke mens du publiserer SPF -posten. Imidlertid kan den erstattes med ~ for SPF Soft Fail (ikke-kompatible e-poster vil bli merket som soft fail, men vil fortsatt bli akseptert) Eller + som angir at enhver server vil få lov til å sende e-post på vegne av domenet ditt, som er sterkt motløs.

Hvis du allerede har konfigurert SPF for domenet ditt, kan du også bruke vår gratis SPF -postkontroll for å slå opp og validere SPF -posten og oppdage problemer.

Vanlige utfordringer og feil ved konfigurering av SPF

1) 10 DNS -oppslagsgrense 

Den vanligste utfordringen domeneeierne står overfor når de konfigurerer og vedtar SPF-godkjenningsprotokoll for domenet sitt, er at SPF kommer med en grense for antall DNS-oppslag, som ikke kan overstige 10. For domener som er avhengige av flere tredjepartsleverandører, er de 10 DNS -oppslagsgrensen overstiger lett, noe som igjen bryter SPF og returnerer en SPF PermError. Mottaker -serveren ugyldiggjør automatisk SPF -posten i slike tilfeller og blokkerer den.

Mekanismer som starter DNS -oppslag: MX, A, INCLUDE, REDIRECT modifier

2) SPF ugyldig oppslag 

Ugyldige oppslag refererer til DNS -oppslag som enten returnerer NOERROR -svar eller NXDOMAIN -svar (ugyldig svar). Mens du implementerer SPF, anbefales det å sikre at DNS -oppslag ikke gir et ugyldig svar i utgangspunktet.

3) SPF rekursiv sløyfe

Denne feilen indikerer at SPF -posten for det angitte domenet inneholder rekursive problemer med en eller flere av INCLUDE -mekanismene. Dette skjer når et av domenene som er angitt i INCLUDE -taggen inneholder et domene hvis SPF -post inneholder INCLUDE -taggen til det opprinnelige domenet. Dette fører til en uendelig sløyfe som får e-postservere til kontinuerlig å utføre DNS-oppslag for SPF-postene. Dette fører til slutt til å overskride grensen på 10 DNS -oppslag, noe som resulterer i at e -postmeldinger ikke klarer SPF.

4) Syntaksfeil 

Det kan finnes en SPF -post i domenets DNS, men den er ikke til nytte hvis den inneholder syntaksfeil. Hvis SPF TXT -posten inneholder unødvendige hvite mellomrom mens du skriver domenenavnet eller mekanismens navn, vil strengen som går foran det ekstra plassen bli fullstendig ignorert av den mottakende serveren mens du utfører et oppslag, og dermed ugyldiggjøre SPF -posten.

5) Flere SPF -poster for samme domene

Et enkelt domene kan bare ha en SPF TXT -oppføring i DNS. Hvis domenet ditt inneholder mer enn én SPF -post, ugyldiggjør den mottakende serveren alle, noe som forårsaker at e -postmeldinger mislykkes i SPF.

6) Lengden på SPF -posten 

Maksimal lengde på en SPF -post i DNS er begrenset til 255 tegn. Imidlertid kan denne grensen overskrides, og en TXT -post for SPF kan inneholde flere strenger sammenkoblet, men ikke utover en grense på 512 tegn, for å passe til DNS -spørringssvaret (i henhold til RFC 4408 ). Selv om dette senere ble revidert, ville mottakere som stoler på eldre DNS -versjoner ikke kunne validere e -postmeldinger sendt fra domener som inneholder en lang SPF -post.

Optimalisering av SPF -oppføringen

For å raskt endre SPF -posten kan du bruke følgende gode fremgangsmåter for SPF:

  • Prøv å skrive ned e -postkildene dine i synkende rekkefølge fra venstre til høyre i SPF -posten
  • Fjern foreldede e -postkilder fra DNS
  • Bruk IP4/IP6 -mekanismer i stedet for A og MX
  • Hold antallet INCLUDE -mekanismer så lavt som mulig, og unngå nestede inkludert
  • Ikke publiser mer enn én SPF -post for det samme domenet i DNS
  • Sørg for at SPF -posten ikke inneholder redundante hvite mellomrom eller syntaksfeil

Merk: SPF-utflating anbefales ikke siden det ikke er en engangsavtale. Hvis e -posttjenesteleverandøren endrer infrastrukturen sin, må du endre SPF -postene tilsvarende hver gang.

Optimalisering av SPF -oppføringen din er enkel med PowerSPF

Du kan fortsette og prøve å implementere alle de ovennevnte modifikasjonene for å optimalisere SPF-posten manuelt, eller du kan glemme bryet og stole på vår dynamiske PowerSPF for å gjøre alt det for deg automatisk! PowerSPF hjelper deg med å optimalisere SPF -oppføringen din med et enkelt klikk, der du kan:

  • Legg til eller fjern sendekilder enkelt
  • Oppdater poster enkelt uten å måtte gjøre endringer i DNS manuelt
  • Få en optimalisert automatisk SPF -post med et enkelt klikk på en knapp
  • Hold deg til enhver tid under grensen på 10 DNS -oppslag
  • Lett PermError
  • Glem SPF -post syntaksfeil og konfigurasjonsproblemer
  • Vi tar bort byrden med å løse SPF -begrensninger på dine vegne

Registrer deg hos PowerDMARC i dag for å by på adferd til SPF -begrensninger for alltid!