Tag Archive for: SPF grense

Forstå begrensningene ved SPF i e-postautentisering

Rammeverk for avsenderpolitikk eller SPF er ikke tilstrekkelig når det gjelder å sikre bedriftens e-poster mot phishing og spamming angrep. SPF-begrensning på maksimalt antall DNS-oppslag og manglende justering av fra-adresse og domene forårsaker implementeringsfeil som resulterer i problemer med levering av e-post. Denne bloggen diskuterer disse problemene og hvordan DMARC bidrar til å overvinne disse SPF-begrensningene.

Hva er begrensningene for SPF Record?

Det er to viktige SPF-grenser som gjør det litt vanskelig å implementere og vedlikeholde. 

1. SPF 10-oppslagsgrensen

Når en bruker spør DNS-serveren, brukes validatorens ressurser som båndbredde, tid, CPU og minne. For å unngå belastning på validatoren er det en SPF-grense på 10 ekstra oppslag. DNS-forespørselen for selve SPF-policyoppføringen teller imidlertid ikke med i denne grensen.

I henhold til RFC7208 seksjon 4.6.4skal mottakerens e-postserver ikke behandle videre når grensen på 10 oppslag er nådd. I et slikt tilfelle avviser e-posten SPF-validering med en Permerror-feil. SPF Permerror er en av meldingene som ofte vises i SPF-implementeringsprosessen. Den fører til at e-post ikke leveres og oppstår hvis det finnes flere SPF-poster på ett domene, en syntaksfeil dukker opp eller på grunn av overskredne SPF-postgrenser.

Du kan bruke den gratis SPF record checker for å eliminere denne feilen og sørge for sikre e-postsamtaler.

I henhold til RFC kan dessuten en DNS-spørring av et vertsnavn som finnes i en MX-oppføring ikke generere mer enn 10 A-poster eller AAAA-poster. Hvis en DNS PTR-spørring genererer mer enn 10 resultater, vises og brukes bare de 10 første resultatene.

2. Den menneskelesbare fra-adressen

Den andre SPF-begrensningen er at SPF-poster gjelder spesifikke Return-Path-domener og ikke From-adressen. Mottakere er vanligvis ikke særlig oppmerksomme på returadressen og fokuserer bare på avsenderadressen når de åpner en e-post. Hackere utnytter dette smutthullet til å forsøke phishing-angrep ved å forfalske fra-adressen.

Virkningen av SPF-poststørrelse på e-postlevering

Når en mottaker overskrider SPF-recordgrensen, mislykkes SPF-kontrollene, og det oppstår en Permerror. Du kan observere denne feilen når du bruker DMARC-overvåking. Mottakeren kan velge hvordan han eller hun vil håndtere e-poster med Permerror-feil. De kan velge å avvise oppføringen, noe som betyr at e-posten vil sprette tilbake. Noen mottakere konfigurerer den til å vise et "nøytralt" SPF-resultat (som om ingen SPF brukes). De kan også velge "fail" eller "softfail", som betyr at e-poster som ikke består SPF-godkjenningskontrollene, ikke blir avvist, men havner i søppelpostmappen. 

Disse resultatene bestemmes også ved å vurdere resultatene av DMARC, DKIM og spam-klassifisering. Overskridelse av SPF-grensen påvirker e-postleverbarheten ved å redusere sannsynligheten for at e-poster havner i den primære innboksen til de tiltenkte mottakerne.

Validatoren vurderer SPF-policyen fra venstre mot høyre, og når det finnes et treff på avsenderens IP-adresse, stopper prosessen. Nå, avhengig av avsender, kan det hende at en validator ikke alltid når oppslagsgrensen selv om SPF-policyen krever mer enn 10 oppslag for å fullføre evalueringen. Det skaper vanskeligheter med å identifisere SPF-grense-relaterte problemer med levering av e-post. 

Hvordan redusere antall nødvendige oppslag?

Det er vanskelig for noen domeneeiere å holde seg innenfor SPF-grensen på 10 oppslag, ettersom e-postutvekslingsvanene har endret seg betydelig siden 2006 (da RFC4408 ble implementert). Nå bruker selskaper flere skybaserte programmer og tjenester med ett enkelt domene. Så følgende er noen måter å overvinne denne vanlige SPF-begrensningen på.

  • Fjern ubrukte tjenester

Vurder din SF-rekord og se om det er noen ubrukte eller ikke-påkrevde tjenester. Se etter 'include' eller andre mekanismer som viser tjenestedomener som ikke lenger er i bruk.

  • Fjern standard SPF-verdier

Standard SPF-policy er vanligvis satt til 'v=spf1 a mx'. Siden de fleste A- og AAAA-poster brukes for webservere som ikke kan sende e-post, er 'a' og 'mx' mekanismen ikke påkrevd.

  • Unngå å bruke ptr Mekanisme

Den ptr mekanismen frarådes sterkt på grunn av svak sikkerhet og upålitelighet. Mekanismen forårsaker SPF-grenseproblemet ved å kreve flere oppslag. Derfor bør den unngås så mye som mulig.

  • Unngå å bruke mx mekanisme

Den mx mekanismen brukes til å motta e-post, og ikke nødvendigvis til å sende dem. Derfor kan du unngå å bruke den for å holde deg innenfor SPF-recordgrensen som er angitt for oppslag. Hvis du bruker en skybasert e-posttjeneste, kan du brukeinclude' mekanismen i stedet.

  • Bruk IPv6 eller IPv4 

IPv4 og IPv6 trenger ingen ekstra oppslag, noe som betyr at de hjelper deg med å ikke overskride SPF-grensen på ikke mer enn 10 oppslag. Du må imidlertid holde deg oppdatert og vedlikeholde de to mekanismene jevnlig, ettersom de er mer utsatt for feil når de ikke vedlikeholdes.

  • Ikke flate ut SPF-poster

Noen ressurser hevder at jo mer utflatet (eller kortere) SPF-policyen er, jo bedre er domenets omdømme. De foreslår denne metoden for å holde seg innenfor SPF-recordgrensene som er satt for oppslag. Utflating frarådes imidlertid fordi det gjør oppføringen mer utsatt for feil og krever regelmessige oppdateringer. 

DMARCs rolle i å overvinne SPF-begrensninger

DMARC håndterer SPF-begrensningen av den menneskelesbare fra-adressen ved å kreve samsvar eller justering mellom det menneskelesbare fra-feltet og serveren som er autentisert av SPF.

Så hvis en e-post består SPF-kontrollene, men domenet ikke er det samme som avsenderadressen, overstyrer DMARC denne autentiseringen. Dette betyr at e-posten ikke består godkjenningstesten.

Hvordan bidrar utflating av SPF-poster til å overvinne grensen på 10 DNS-oppslag?

Utflating av SPF-poster er en teknikk som brukes til å optimalisere SPF-poster (Sender Policy Framework) for å overvinne grensen på 10 DNS-oppslag for SPF. Grensen på 10 DNS-oppslag er en begrensning som pålegges av mange DNS-oppløsere, som begrenser antall DNS-spørringer som kan utføres når en SPF-post for et domene verifiseres.

Når en e-post mottas, søker mottakerens e-postserver i avsenderens domenes DNS etter SPF-oppføringen for å verifisere om avsenderen er autorisert til å sende e-post fra dette domenet. Hvis SPF-oppføringen inneholder mange nestede inkluderinger, kan den imidlertid raskt overskride grensen på 10 DNS-oppslag, noe som fører til SPF-verifiseringsfeil og falske positive søppelpostoppdagelser.

For å overvinne denne begrensningen brukes utflating av SPF-poster. Utflating av SPF-oppføringer er en teknikk som erstatter alle innebygde include-erklæringer i en SPF-oppføring med de tilsvarende IP-adressene eller CIDR-områdene. Dette reduserer antall DNS-spørringer som kreves for å verifisere SPF-oppføringen, ettersom hvert inkluderte domene ikke lenger spørres individuelt.

Ved å flate ut SPF-posten reduseres antallet DNS-forespørsler som kreves for å verifisere SPF-posten betydelig, slik at e-postmeldinger kan bestå SPF-verifisering selv om den opprinnelige posten hadde mer enn 10 DNS-oppslag. Denne teknikken reduserer også risikoen for SPF-oppføringsvalideringsfeil på grunn av tidsavbrudd for DNS-forespørsler eller midlertidige DNS-serverproblemer.

Utfordringer ved implementering av SPF i store bedrifter

SPF har påtvunget begrensningen på ikke mer enn 10 oppslag for å forhindre DoS- og DDoS-angrep. Dessverre kan disse oppslagene legge opp veldig raskt, spesielt i store bedrifter. Tidligere drev selskaper sine egne e-postservere, men nå bruker de tredjeparts avsendere. Dette skaper et problem ettersom hver kan ta opptil 3 eller 4 servere, og du når grensen veldig raskt.

SPF grense

/av