Makra SPF są skuteczną i ważną funkcją Sender Policy Framework, która jest używana, gdy właściciele domen wymagają bardziej dynamicznego i skalowalnego rekordu SPF do uwierzytelniania swoich domen e-mail. Funkcja makr SPF jest częścią składni rekordu składni rekordu SPFdefiniując sekwencje znaków, które są zastępowane metadanymi z poszczególnych wiadomości e-mail wymagających walidacji SPF. To z kolei pomaga tworzyć uproszczone rekordy SPF, unikając generowania długich i skomplikowanych rekordów SPF.
W PowerDMARC zaprojektowaliśmy nasze uznane przez krytyków rozwiązanie do zarządzania SPF PowerSPF w sposób, który wykorzystuje technologie SPF Flattening i SPF Macros, aby zaoferować dużą elastyczność w zakresie uwierzytelniania SPF i optymalizacji rekordów. Z biegiem lat PowerSPF stał się ulubieńcem klientów ze względu na łatwość obsługi i skuteczność.
Aby dowiedzieć się więcej, można odwiedzić oficjalny dokument IETF.
Wyjaśnienie makr SPF
Makra SPF to sekwencje znaków, które mogą być użyte do uproszczenia konfiguracji rekordu SPF poprzez zastąpienie mechanizmów zdefiniowanych we wspomnianym rekordzie SPF DNS TXT, jak wyjaśniono w RFC 7208, sekcja 7.
Rekordy SPF są w większości proste, a instrukcje dla serwerów odbiorców dotyczące traktowania nielegalnych wiadomości e-mail pochodzących z Twojej domeny mogą być określone przy użyciu mechanizmów SPF, kwalifikatorów i modyfikatorów. Istnieją jednak pewne sytuacje, w których mechanizmy SPF nie są wystarczające i należy zastosować makra SPF.
Makra SPF są reprezentowane przez znak procentu (%) i zawierają kombinację dwóch lub więcej liter, modyfikatorów i ograniczników. Podczas procesu uwierzytelniania SPF, makra SPF są oceniane i zastępowane odpowiednimi wartościami, jak wyjaśniono w sekcji
Na przykład %s i %d oznaczają odpowiednio adres nadawcy i nazwę domeny powiązaną ze sprawdzaną tożsamością.
Modyfikatory takie jak r, l lub o są stosowane do wyodrębniania określonych elementów adresu lub domeny, a ograniczniki takie jak - lub . pomagają oddzielić różne elementy w makrze.
Rodzaje makr SPF
Makra SPF są oznaczone różnymi pojedynczymi literami lub znakami, które są otoczone nawiasami klamrowymi { } i poprzedzone znakiem procentu (%), który odnosi się do określonych mechanizmów w rekordzie SPF. Oto podstawowe makra.
- %{s}: The “s” Macro represents the sender’s email address. Example- Mark@domain.com.
- %{l}: It’s used to denote the local part of the sender. Example- Mark.
- %{o}: This highlights the sender’s domain. Example: domain.com.
- %{d}: Similar to “o”, this Macro represents the authoritative sending domain. In most cases it is the same as the sender’s domain however, it may differ in some cases.
- %{i}: It’s used to extract the IP address of the sender of the message, e.g. 192.168.1.100
- %{h}: The hostname specified by the HELO or EHLO command used during the SMTP connection when the message is being sent is referred to by the %{h} macro.
Istnieje wiele innych makr, które można określić w rekordzie, jednak wymieniliśmy kilka typowych.
Jak działają makra SPF?
Dzięki makrom SPF właściciele domen mogą określić odniesienia do pewnych mechanizmów w swoim rekordzie SPF, zastępując w ten sposób te mechanizmy. Podczas zapytania DNS przez odbierający MTA, odniesienia są następnie wykorzystywane do wyodrębnienia mechanizmów i rozszerzenia rekordu, pomagając w tworzeniu łatwiejszych w zarządzaniu i adaptacji rekordów SPF.
Poniżej podano przykład makra używanego w rekordzie SPF.
“v=spf1 include:%{i}_.%{d}._spf.powerdmarc.com ~all”
- W tym przypadku include: zawiera makra SPF.
- Istnieją dwa makra SPF, każde reprezentowane przez sekwencję znaków składającą się ze znaku procentu, lewego nawiasu klamrowego, litery makra i prawego nawiasu klamrowego. W powyższym przykładzie %{i} oznacza adres IP nadawcy, a %{d} reprezentuje domenę nadawcy z polecenia "MAIL FROM".
- Biorąc pod uwagę 192.168.1.100 IP jako adres IP domeny wysyłającej, gdy wiadomość e-mail jest wysyłana z tego adresu IP, serwer odbierający inicjuje zapytanie DNS w celu wyszukania rekordu SPF DNS domeny
- Gdy odbiorca wyszuka rekord SPF domeny wysyłającej, natknie się na makra SPF, które są następnie zastępowane odpowiednimi wartościami.
- Ten rozszerzony rekord SPF jest następnie sprawdzany w celu określenia, czy wiadomość e-mail zdołała przejść walidację SPF, czy też nie.
Kiedy makra są używane w rekordzie SPF?
Makra SPF mogą być używane w wielu różnych scenariuszach, w zależności od potrzeb właścicieli domen. Mogą się one przydać, jeśli chcesz uprościć złożoną infrastrukturę uwierzytelniania poczty e-mail, korzystasz z kilku usług obsługi poczty e-mail innych firm lub po prostu chcesz zmniejszyć rozmiar rekordu SPF.
Poniżej przedstawiono kilka typowych przypadków, w których makra SPF mogą okazać się korzystne:
Organizacje z infrastrukturą wielodomenową
Organizacje na poziomie korporacyjnym obsługujące wiele domen są najlepiej przystosowanymi użytkownikami makr SPF, choć mogą być one używane przez organizacje każdej wielkości. Makra zapewniają znacznie większą elastyczność i skuteczną optymalizację rekordów SPF w porównaniu do tradycyjnych metod spłaszczania, aby zapewnić płynne działanie SPF nawet w środowiskach wielodomenowych. Eliminuje to również potrzebę tworzenia wielu rekordów SPF.
Duże infrastruktury poczty elektronicznej
Firmy o skomplikowanej infrastrukturze poczty elektronicznej mogą potrzebować wielu mechanizmów SPF, najlepiej zoptymalizowanych przy użyciu makr SPF. Makra te zapewnią sposób definiowania odwołań do mechanizmów, zapewniając, że rekord nie będzie zbyt długi i pozostanie w zakresie RFC określonej długości 512 oktetów.
Usługi stron trzecich
Organizacje korzystające z kilku zewnętrznych dostawców poczty e-mail mogą teraz spać spokojnie, wiedząc, że SPF nie zostanie uszkodzony, dzięki włączeniu makr SPF, które ułatwiają łatwą optymalizację elementów innych firm, zapewniając jednocześnie, że rekord nie przekroczy dozwolonych limitów dla DNS i void lookups.
Organizacje rozwiązują wyzwania związane z SPF za pomocą makr SPF
Można dołączyć wiele makr SPF do rekordu i pozbyć się typowych błędów podkreślanych podczas inspekcji SPF wykonywanych ręcznie lub przy użyciu SPF checker. Oto, co można potencjalnie zrobić:
1. Zapobieganie długim rekordom SPF, które powodują Temperror
Jeśli rekord SPF zawiera wiele include: może to zapobiec zbytniemu wydłużeniu rekordu. Nie jest to jednak rozwiązanie trwałe. Używając makr SPF w konfiguracji SPF swojej domeny, eliminujesz szanse na przekroczenie limitu długości rekordu określonego przez RFC dla rekordów DNS TXT (512 znaków).
2. Ograniczanie DNS i Void Lookups oraz łagodzenie Permerror
Organizacje korzystające z wielu zewnętrznych źródeł wysyłania i dostawców poczty e-mail są podatne na przekraczanie ograniczeń wyszukiwania określonych w RFC dla zapytań DNS. Dzieje się tak dlatego, że każdy dostawca dodaje co najmniej 1 lub więcej zapytań. Może to spowodować uszkodzenie rekordu SPF, co skutkuje SPF permerror.
Używając makr SPF do dodawania odniesień do adresów IP lub domen tych zewnętrznych dostawców można ograniczyć nieautoryzowane źródła, zapewniając jednocześnie, że nie przekroczy się limitów wyszukiwania.
Wykorzystanie makr w konfiguracji SPF z PowerSPF
Makra SPF były szeroko wspierane przez MTA, aby umożliwić dynamikę i skalowalność w zakresie uwierzytelniania SPF, tworzenia rekordów i zarządzania nimi. PowerSPF płynnie integruje makra SPF, dzięki czemu nasi klienci mogą generować rekordy SPF z większą elastycznością.
Dlaczego spłaszczenie rekordu SPF nie wystarczy?
Tradycyjna metoda spłaszczania SP F okazuje się skuteczna w większości przypadków dotyczących małych i średnich organizacji z prostszymi konfiguracjami i mniejszą liczbą mechanizmów SPF. Jednak sytuacja może się stopniowo pogarszać wraz ze wzrostem liczby mechanizmów, prowadząc do następujących niekorzystnych sytuacji:
- Liczba wyszukiwań DNS może wynosić do 10
- Długość ostatniego rekordu DNS może przekraczać 512 znaków (maksymalny dozwolony rozmiar rekordu TXT DNS).
- Autoryzowane adresy IP i źródła wysyłania są publicznie widoczne, co budzi obawy o prywatność.
Makra SPF - lepsze podejście
Zbudowane z myślą o przedsiębiorstwach ze złożonymi konfiguracjami SPF, ale równie skuteczne dla małych i średnich organizacji - Makra w SPF pomagają optymalizować i zarządzać rekordami bardziej efektywnie w porównaniu z typowym podejściem spłaszczania. Oto jak to zrobić:
- Makra w SPF ograniczają wyszukiwanie DNS i void, aby nie przekroczyć maksymalnych limitów wynoszących odpowiednio 10 i 2
- Utrzymuje długość znaków rekordu, zapewniając, że nie przekroczy on limitu 512 znaków. 512 znaków
- Autoryzowane adresy IP i źródła wysyłania są zastępowane referencjami postaci, ukrywając je przed opinią publiczną.
SPF Flattening vs SPF Macros
| Początkowy rekord SPF (5 wyszukiwań) | Makra SPF (1 wyszukiwanie) | SPF Flattening (2 wyszukiwania) |
| v=spf1 include:_spf.google.com include:zcsend.net -all | v=spf1 exists:%{i}.abcde12345.macrospf.powerspf.com -all | abcde12345.powerspf.com:
v=spf1 ip6:2c0f:fb50:4000::/36 ip6:2a00:1450:4000::/36 ip6:2800:3f0:4000::/36 ip6:2607:f8b0:4000::/36 ip6:2404:6800:4000::/36 ip6:2001:4860:4000::/36 ip4:74.125.0.0/16 ip4:35.191.0.0/16 ip4:173.194.0.0/16 ip4:209.85.128.0/17 ip4:72.14.192.0/18 ip4:64.233.160.0/19 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ip4:172.217.192.0/19 ip4:172.217.128.0/19 ip4:172.217.0.0/19 ip4:108.177.96.0/19 ip4:66.249.80.0/20 ip4:66.102.0.0/20 ip4:172.253.112.0/20 ip4:172.217.32.0/20 include:_s1.abcde12345.powerspf.com -all _s1.abcde12345.powerspf.com: v=spf1 ip4:172.217.160.0/20 ip4:172.253.56.0/21 ip4:108.177.8.0/21 ip4:130.211.0.0/22 ip4:136.143.160.0/23 ip4:135.84.82.0/23 ip4:35.190.247.0/24 ip4:165.173.128.0/24 ip4:135.84.81.0/24 -all |
Wypróbuj nasze rozwiązania SPF już dziś - skontaktuj się z nami aby uzyskać indywidualne demo z doświadczonym ekspertem ds. bezpieczeństwa domen i poczty e-mail!
- Napraw błąd SPF: Pokonaj limit zbyt wielu wyszukiwań DNS SPF - 26 kwietnia 2024 r.
- Jak opublikować rekord DMARC w 3 krokach? - 2 kwietnia 2024 r.
- Dlaczego DMARC zawodzi? Naprawa błędów DMARC w 2024 roku - 2 kwietnia 2024 r.