Powody, dla których należy unikać SPF Flattening
Sender Policy Framework, lub SPF jest powszechnie uznawanym protokołem uwierzytelniania emaili, który waliduje Twoje wiadomości poprzez uwierzytelnianie ich względem wszystkich autoryzowanych adresów IP zarejestrowanych dla Twojej domeny w rekordzie SPF. W celu walidacji emaili, SPF wymaga od serwera pocztowego, aby wykonał zapytanie DNS w celu sprawdzenia autoryzowanych adresów IP, co skutkuje wyszukiwaniem w DNS.
Twój rekord SPF istnieje jako rekord DNS TXT, który jest utworzony z zespołu różnych mechanizmów. Większość z tych mechanizmów (takich jak include, a, mx, redirect, exists, ptr) generuje wyszukiwania DNS. Jednakże, maksymalna liczba wyszukiwań DNS dla uwierzytelnienia SPF jest ograniczona do 10. Jeśli używasz różnych zewnętrznych dostawców do wysyłania emaili używając swojej domeny, możesz łatwo przekroczyć twardy limit SPF.
Możesz się zastanawiać, co się stanie, jeśli przekroczysz ten limit? Przekroczenie limitu 10 DNS lookup doprowadzi do niepowodzenia SPF i unieważni nawet legalne wiadomości wysłane z Twojej domeny. W takich przypadkach odbierający serwer pocztowy zwraca raport SPF PermError do Twojej domeny, jeśli masz włączone monitorowanie DMARC.To sprawia, że dochodzimy do głównego tematu dyskusji na tym blogu: SPF flattening.
Co to jest SPF Flattening?
Spłaszczanie rekordu SPF jest jedną z popularnych metod używanych przez ekspertów branżowych do optymalizacji rekordu SPF i uniknięcia przekroczenia twardego limitu SPF. Procedura spłaszczania SPF jest dość prosta. Spłaszczanie rekordu SPF to proces zastępowania wszystkich mechanizmów include ich odpowiednimi adresami IP, aby wyeliminować potrzebę wykonywania wyszukiwań DNS.
Na przykład, jeśli Twój rekord SPF początkowo wyglądał tak:
v=spf1 include:spf.domain.com -all
Spłaszczony rekord SPF będzie wyglądał mniej więcej tak:
v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -all
Ten spłaszczony rekord generuje tylko jedno odszukanie DNS, zamiast wykonywania wielu odszukań. Zmniejszenie liczby zapytań DNS wykonywanych przez serwer odbiorczy podczas uwierzytelniania emaila pomaga w utrzymaniu się poniżej limitu 10 zapytań DNS, jednak ma swoje własne problemy.
Problem z SPF Flattening
Pomijając fakt, że Twój ręcznie spłaszczony rekord SPF może stać się zbyt długi do opublikowania w DNS Twojej domeny (przekraczając limit 255 znaków), musisz wziąć pod uwagę, że Twój dostawca usług email może zmienić lub dodać do swoich adresów IP bez powiadamiania Ciebie jako użytkownika. Co jakiś czas, gdy Twój dostawca wprowadza zmiany w swojej infrastrukturze, zmiany te nie będą odzwierciedlone w Twoim rekordzie SPF. W związku z tym, gdy te zmienione lub nowe adresy IP są używane przez Twój serwer pocztowy, email nie przejdzie SPF po stronie odbiorcy.
PowerSPF: Twój dynamiczny generator rekordów SPF
Ostatecznym celem PowerDMARC było wymyślenie rozwiązania, które może zapobiec uderzeniu właścicieli domen w limit 10 wyszukiwań DNS, jak również zoptymalizować Twój rekord SPF tak, aby zawsze był na bieżąco z najnowszymi adresami IP, których używają Twoi dostawcy usług email. PowerSPF jest zautomatyzowanym rozwiązaniem SPF flattening, które przeciąga rekord SPF w celu wygenerowania pojedynczego oświadczenia include. PowerSPF pomoże Ci:
- Łatwe dodawanie i usuwanie adresów IP oraz mechanizmów
- Automatyczna aktualizacja blokad sieci, aby upewnić się, że autoryzowane adresy IP są zawsze aktualne
- Nie przekraczaj limitu 10 zapytań DNS z łatwością
- Uzyskaj zoptymalizowany rekord SPF za pomocą jednego kliknięcia
- Permanentnie pokonać 'permerror'
- Wdrożenie bezbłędnego SPF
Zarejestruj się z PowerDMARC już dziś, aby zapewnić lepszą dostarczalność i uwierzytelnianie wiadomości e-mail, a jednocześnie nie przekroczyć limitu 10 DNS SPF lookup.
- Jak wykryć i zweryfikować fałszywe adresy e-mail? - 24 marca 2023 r.
- Cybersecurity i uczenie maszynowe: Staying Ahead of Machine Learning-based Email Fraud (Pozostać na czele oszustw e-mailowych opartych na uczeniu maszynowym) - 24 marca 2023 r.
- ChatGPT i cyberbezpieczeństwo - 23 marca 2023 r.
