Możesz wysyłać e-maile bez użycia SPF lub wiedzy o formacie SPF, ale to nie będzie bezpieczne. SPF dodaje dodatkowy wskaźnik zaufania do dostawców skrzynek pocztowych odbiorców, a wszystkie autentyczne maile wysłane przy użyciu Twojej domeny lądują w skrzynce odbiorczej zamiast być oznaczone jako spam.
SPF nie jest metodą niezawodną, dlatego należy ją połączyć z innymi metodami uwierzytelniania wiadomości e-mail protokołami uwierzytelniania wiadomości e-mail, takimi jak DKIM, DMARCoraz BIMI w celu poprawy dostarczalności wiadomości e-mail.
Ponieważ protokoły te są kluczowe dla procesu uwierzytelniania poczty elektronicznej i wszystkie firmy zajmujące się obsługą poczty elektronicznej muszą o nich wiedzieć, w tym blogu skupimy się na formacie rekordu SPF w tym blogu.
Co to jest SPF?
SPF to skrót od Sender Policy Framework - jednego z najbardziej popularnych protokołów uwierzytelniania poczty elektronicznej. Działa on przy użyciu listy adresów IP upoważnionych do wysyłania e-maili przy użyciu nazwy Twojej domeny. Lista ta zawiera zazwyczaj adresy IP pracowników, udziałowców i stron trzecich, które bezpośrednio używają Twojej domeny do wysyłania e-maili.
Jeśli zaimplementowałeś SPF, każdy email wysłany z adresu IP spoza listy jest uznawany przez skrzynkę odbiorcy za nieautoryzowany.
Jak uwierzytelnia się pocztę przy użyciu SPF?
Musisz opublikować ważny rekord SPF (w formacie TXT ) w swoim DNS, aby wdrożyć ten protokół. Kiedy email jest wysyłany z Twojej domeny, serwer pocztowy odbiorcy sprawdza adres IP nadawcy z rekordami SPF w Twoim DNS. Jeśli znajduje się on na liście, walidacja przechodzi, a email ląduje w skrzynce odbiorczej. Jeśli jednak nie ma go na liście, uwierzytelnianie kończy się niepowodzeniem i email nie dociera do celu.
Po jego wdrożeniu należy regularnie monitorować aktywność domeny za pomocą SPF checker aby upewnić się, że nie jest ona na radarze hakera. To może zapobiec spear phishing, oszustwom i atakom ransomware próbowanym przy użyciu nazwy Twojej firmy.
Format SPF
Rekord SPF jest skomplikowany i ma typowy format, który jest trudny do zrozumienia. Tutaj omówimy składnię rekordu SPF i strukturę rekordu SPF - głowę i serce formatu rekordu SPF.
Rekord SPF: Podstawowa składnia
Rekord SPF jest rekordem DNS zawierającym listę wszystkich adresów IP, które mogą wysyłać wiadomości e-mail przy użyciu Twojej domeny e-mail. Oto jak wygląda składnia rekordu SPF:
v=spf1 ip4=193.0.1.0 ip4=193.0.1.1 include:samplesender.net -all
Sprawdźmy, jakie elementy wchodzą w jego skład.
- v=spf1- Mówi serwerowi, że zawiera on rekord SPF. Każdy rekord SPF musi zaczynać się od tego ciągu.
- ip4=193.0.1.0 ip4=193.0.1.1- Wskazuje adresy IP dopuszczone do wysyłania e-maili przy użyciu określonej domeny.
- W załączeniu:examplesender.net: To informuje strony trzecie upoważnione do wysyłania e-maili. Znacznik 'include' kieruje serwery odbiorców do sprawdzenia dołączonej domeny (tutaj- sampleender.net) rekordu SPF. Możesz dodać kilka domen w ramach jednego rekordu SPF.
- -all: mówi serwerom odbiorców, aby odrzucały wiadomości przychodzące z nieautoryzowanych adresów IP, czyli w zasadzie tych, które nie zostały uwzględnione na liście.
Rekord SPF: Zaawansowana składnia
Zgodnie z formatem rekordu SPF dla składni, zawsze zaczyna się od elementu 'v='. Mówi on o wersji SPF; obecnie istnieje tylko jedna wersja, więc wszystkie formaty rekordów SPF zaczynają się tak.
Składnia rekordu SPF ma trzy podstawowe elementy; SPF Mechanism, SPF Qualifiers i SPF Modifiers. Zobaczmy, czym one są.
Mechanizmy
Oto osiem mechanizmów
- ALL: Oznacza to, że zawsze jest jakieś dopasowanie. Zobaczysz domyślne wyniki jak '-all' dla niedopasowanych IP.
- A: Nazwa domeny z rekordem adresu A lub AAAA pasuje, ponieważ może być rozwiązana do adresu nadawcy.
- IP4: Dopasowanie jest ważne, gdy nadawca jest związany z podanym zakresem adresów IPv4.
- IP6: Dopasowanie jest ważne, gdy nadawca jest powiązany z podanym zakresem adresów IPv6.
- MX: Adres e-mail nadawcy jest walidowany tylko wtedy, gdy jego nazwa domeny zawiera rekord MX dla rozdzielczości.
- PTR: Dopasowanie jest autoryzowane jeśli rekord PTR należy do danej domeny rozwiązującej się na adres klienta. Eksperci nie sugerują jego użycia, ponieważ może on zablokować wszystkie e-maile wysyłane przy użyciu Twojej domeny.
- EXISTS: Działa, jeśli podana nazwa domeny jest zweryfikowana. Ten mechanizm SPF działa ze wszystkimi rozwiązanymi adresami.
- INCLUDE: Odwołuje się do innych polityk domeny. Więc jeśli to przejdzie, to przechodzi automatycznie. Jednakże, jeśli dołączona polityka nie powiedzie się, przetwarzanie jest kontynuowane.
Modyfikatory
Modyfikatory określają ramy funkcjonalne rekordu SPF. Składają się z par nazw lub wartości oddzielonych symbolem '=', wskazujących na dodatkowe informacje. Widać je wielokrotnie na końcu rekordu SPF, a wszystkie nierozpoznane modyfikatory są w tym procesie ignorowane.
Modyfikator "redirect" kieruje do innych rekordów SPF odpowiedzialnych za sprawne funkcjonowanie. Eksperci używają ich zawsze wtedy, gdy więcej niż jedna domena jest powiązana z tym samym rekordem SPF. Ten modyfikator musi być użyty, jeśli jeden podmiot kontroluje wszystkie domeny; w przeciwnym razie stosuje się modyfikator 'include'.
Kwalifikacje
Każdy mechanizm może być połączony z jednym z czterech kwalifikatorów.
+" dla wyniku PASS
'?' dla wyniku NEUTRAL interpretowanego jak polityka NONE.
'~' dla SOFTFAIL. Zazwyczaj wiadomości, które zwracają SOFTFAIL są akceptowane, ale oznaczone.
'-' dla FAIL, wiadomość e-mail jest odrzucana.
Wniosek
SPF zapobiega cyberatakom popełnionym z wykorzystaniem nazwy i reputacji Twojej marki. Możesz powstrzymać e-maile wysyłane przez hakerów korzystających z Twojej domeny przed dotarciem do ich docelowych odbiorców. Działa to poprzez wpisanie na listę i zezwolenie tylko zaufanym podmiotom na wysyłanie e-maili z wykorzystaniem Twojej domeny.
Po zrozumieniu struktury i składników formatu rekordu SPF, możesz użyć Generator rekordów SPF jeśli jeszcze nie zaimplementowałeś protokołu. 
- Wzrost liczby oszustw podatkowych i ataków podszywania się pod IRS w sezonie podatkowym - 2 maja 2024 r.
- Bezpieczeństwo poczty e-mail 101 w walce z oszustwami kryptograficznymi - 30 kwietnia 2024 r.
- Jak znaleźć najlepszego dostawcę rozwiązań DMARC dla swojej firmy? - 25 kwietnia 2024 r.