Rekord Sender Policy Framework(SPF) jest ważną częścią systemu Domain-based Message Authentication, Reporting and Conformance (DMARC), w którym określono metodę zapobiegania fałszowaniu adresów nadawcy.
Rekordy SPF są skomplikowane do skonfigurowania i mogą wystąpić problemy z ich wdrażaniem, jeśli nie zostaną prawidłowo skonfigurowane. Ponadto, składnia rekordów SPF używa pewnych specyficznych terminów, które mogą być mylące przy pierwszym zetknięciu z nimi. Dlatego w tym wpisie na blogu przyjrzymy się składni rekordów SPF i temu, na co należy zwrócić uwagę podczas ich konfigurowania.
Co to jest rekord SPF?
Rekord SPF jest rodzajem rekordu DNS, który identyfikuje, które serwery mogą wysyłać wiadomości e-mail w imieniu Twojej domeny. Robi to poprzez wyszczególnienie serwerów, które zostały upoważnione do wysyłania emaili dla Twojej domeny; jeśli jakikolwiek inny serwer spróbuje wysłać email w imieniu Twojej domeny, zostanie odrzucony jako nieautoryzowany nadawca.
Celem rekordu SPF jest uniemożliwienie złośliwym użytkownikom wysyłania fałszywych wiadomości e-mail z Twoją domeną w polu From. Może się to zdarzyć, jeśli atakujący rozsyła masowe ilości spamu z Twojego serwera poprzez spoofing lub sfałszowanie Twojej domeny.
Jak działa SPF?
1. Tworzenie rekordu SPF Składnia
W swoim serwerze DNS tworzysz składnię rekordu SPF, która określa, które adresy IP są dopuszczone do wysyłania e-maili z Twojej domeny. Oznacza to, że jeśli ktoś próbowałby wysyłać fałszywe e-maile z Twojej domeny, jego wiadomości nie powiodłyby się, ponieważ adres IP jego serwera pocztowego nie byłby wymieniony na liście zatwierdzonych serwerów.
Na przykład, jeśli chcesz, aby tylko konta Gmail mogły wysyłać pocztę z Twojej nazwy domeny, ale nie konta Outlook, to dodaj następującą linię do rekordu SPF:
v=spf1 a mx include:_spf.google.com ~all
Mówi to serwerom, że wszystkie wiadomości wysłane z dowolnego hosta, którego adres IP kończy się na _spf.google.com, powinny być uważane za ważne (m), podczas gdy wszystkie inne wiadomości powinny być odrzucane (a).
Możesz użyć naszego Generator rekordów SPF aby rozpocząć tworzenie darmowego rekordu już teraz!
2. Wyszukiwanie DNS
Kiedy nadawca wiadomości e-mail próbuje wysłać wiadomość, serwer odbiorcy wykonuje wyszukiwanie DNS w domenie nadawcy, aby sprawdzić, czy istnieje rekord SPF - jest to tzw. uwierzytelnianie. "Istnieje limit 10 wyszukiwań dozwolonych na jedno zapytanie, którego przekroczenie prowadzi do SPF permerror.
Jeśli nie ma rekordu SPF, uwierzytelnianie kończy się niepowodzeniem i wiadomość nie zostaje dostarczona. Jeśli istnieje rekord SPF, to serwer SPF sprawdza, czy w rekordzie TXT znajdują się adresy IP o nazwie określonej w rekordzie SPF.
Jeśli nie zostaną podane żadne adresy IP, uwierzytelnianie nie powiedzie się. W przeciwnym razie zostanie wykonane zapytanie A dla każdego z podanych adresów IP w kolejności występowania w rekordzie TXT.
Adres IP, który zwróci kod wyniku NXDOMAIN lub NOERROR, zostanie uznany za autoryzowany przez serwer SPF, a jego nazwa hosta zostanie dodana do listy autoryzowanych hostów wysyłających dla tej domeny.
3. Wynik uwierzytelniania
Serwer pocztowy albo dostarczy wiadomość do odbiorcy, albo oznaczy ją jako odrzuconą na podstawie reguł określonych w rekordzie SPF.
Wyniki uwierzytelniania mogą przybierać trzy formy: Pass, Neutral lub Fail.
Pass oznacza, że serwer pocztowy akceptuje wiadomość jako legalną i pozwala na jej dostarczenie. Neutralny oznacza, że w DNS nie ma żadnego rekordu dla tej domeny lub jest on nieprawidłowy, więc nie ma możliwości sprawdzenia, czy wiadomość pochodzi z tej domeny, czy nie. Niepowodzenie oznacza, że coś w tej wiadomości nie jest wystarczająco autentyczne, aby mogła ona zostać dostarczona.
Na przykład, serwer pocztowy o adresie IP "234.2.1.2" wysyła wiadomość e-mail z adresu "join@apple.com". Serwer przychodzący sprawdzi w usłudze nazw domen(DNS), czy ten adres IP jest uprawniony do wysyłania wiadomości e-mail w imieniu domeny "apple.com". Jeśli tak, wiadomość zostanie dostarczona; w przeciwnym razie zostanie odrzucona lub oznaczona jako spam, tzn. posortowana zgodnie z mechanizmem określonym w rekordzie SPF.
Składnia rekordu SPF
Składnia rekordu SPF obejmuje kilka elementów - dyrektywy, kwalifikatory i mechanizmy.
Dyrektywy są pierwszą częścią składni rekordu SPF. Wskazują one, jak interpretować pozostałą część rekordu. W rekordzie SPF mogą pojawić się trzy dyrektywy: v=spf1, a i mx. Dyrektywa v oznacza, że ten rekord jest rekordem SPFv1; dyrektywa a oznacza, że ten rekord jest raportem o niepowodzeniu uwierzytelniania w stylu SPFv2; dyrektywa mx określa listę serwerów wymiany poczty dla domeny.
Kwalifikatory określają, gdzie w strefie DNS mają być umieszczone rekordy SPF: exim4, enduser lub _spf. Te kwalifikatory mówią odbiorcom poczty, gdzie mają szukać Twoich rekordów SPF, gdy sprawdzają je w swoich rekordach DNS.
Mechanizmy są używane do wskazania, w jaki sposób mają być obsługiwane adresy e-mail, które nie przejdą pomyślnie kontroli SPF. Do wyboru jest kilka mechanizmów: wszystkie, żaden, softfail, neutralize lub reject.
- wszystkie Mechanizm będzie akceptował wszystkie wiadomości e-mail od nadawców, którzy pozytywnie przeszli sprawdzanie SPF;
- brak odrzuci wszystko od nadawców, którzy przeszli pomyślnie kontrolę SPF;
- softfail będzie akceptować e-maile od nadawców, którzy nie przeszli pomyślnie sprawdzenia SPF, ale oznaczy je jako podejrzane;
- neutralny oznacza, że nie odrzucasz ani nie akceptujesz wiadomości wysyłanych z Twojej domeny - jest to w zasadzie stanowisko "bez opinii" na temat tego, czy wiadomość powinna zostać zaakceptowana czy odrzucona;
- odrzuć spowoduje odrzucenie wiadomości e-mail, które nie przeszły pomyślnie kontroli SPF.
Kwalifikatory składni rekordu SPF
Kwalifikatory" w składni rekordu SPF pomagają wskazać zakres rekordu SPF. Są one głównie używane do wskazania, czy dany adres IP jest upoważniony do wysyłania wiadomości e-mail w imieniu Twojej domeny.
| Kwalifikator | Kod wyniku | Objaśnienie |
| + | Pass | jedyny kwalifikator, który nie ma negatywnych konotacji. Wskazuje on, że rekord bezpieczeństwa nazwy domeny nie zawiera żadnych błędów ani ostrzeżeń i jest uważany za bezpieczny. |
| - | Fail | wskazuje, że rekord bezpieczeństwa nazwy domeny zawiera błędy lub ostrzeżenia, które uniemożliwiają uznanie jej za bezpieczną.
|
| ~ | Softfail | wskazuje, że rekord bezpieczeństwa nazwy domeny zawiera błędy lub ostrzeżenia, które nie uniemożliwiają uznania jej za bezpieczną, ale mogą wskazywać na problemy z rozwiązywaniem DNS lub inne kwestie związane z kotwicami zaufania DNS. |
| ? | Neutralny | Wskazuje, że domena nie ma rekordu SPF lub jej rekord był poprawny pod względem składni, ale nie pasował do żadnego serwera wysyłającego podczas sprawdzania z jednym (lub kilkoma) serwerami wysyłającymi z listy zaufanych adresów IP dla tej domeny. |
Mechanizmy składni rekordu SPF
Mechanizmy są używane w składni rekordu SPF, aby poinformować serwer odbierający, jaki rodzaj mechanizmu uwierzytelniania powinien zostać użyty. Istnieją dwa rodzaje mechanizmów:
- nadawca może określić konkretny zestaw mechanizmów;
- Można też określić, że wszystkie mechanizmy są dozwolone.
| Mechanizm | Cel | Dyrektywa ma zastosowanie, gdy | Wdrożenie |
| a | określa rekord DNS A domeny, która ma być autoryzowana. Jeśli ta dyrektywa jest nieokreślona, to używana jest bieżąca domena.
|
może być zastosowany w przypadku zapytania o rekord A lub AAAA w domenie zawierającej adres IP nadawcy. | a
a/<prefix-length> a:<domain> a:<domain>/<prefix-length> |
| wszystkie | Dyrektywa all jest zawsze dopasowywana i określa zasady dla wszystkich innych źródeł. | Ten mechanizm powinien być zawsze stosowany i ten mechanizm zawsze pasuje. | wszystkie |
| istnieje | Sprawdza, czy rekord A jest ważny dla danej domeny. Działa to w ten sposób, że przegląda wszystkie rekordy A w danej domenie i sprawdza, czy któryś z nich spełnia kryteria określone w rekordzie SPF. | Stosuje się, gdy w danej domenie jest jakikolwiek rekord A lub gdy spełnione są inne kryteria, zgodnie z RFC7208. | exists:<domain> |
| zamieścić | Celem tego mechanizmu jest określenie domeny i wyszukiwanie dopasowania, a także zwrócenie stałego błędu, jeśli domena nie ma ważnego rekordu SPF. | Mechanizm "include" w rekordach SPF może być użyty do włączenia innych rekordów SPF do rekordu danej domeny. Jeśli domena nie ma rekordu SPF, ale ma go inna domena i ta inna domena ma adres IP, który pasuje do adresu IP nadawcy, wtedy mechanizm "include" spowoduje, że domena z pasującym adresem IP będzie używana do celów autoryzacji.
|
include:<domain> |
| ip4 | Zakres IPv4 można określić za pomocą dyrektywy "ip4" wraz z prefiksem oznaczającym długość zakresu. Jeśli nie zostanie podany prefiks, przyjmuje się /32. | Mechanizm "ip4" zostanie zastosowany, jeśli którykolwiek z tych warunków będzie prawdziwy:
- Podany adres IPv4 odpowiada adresowi IP w rekordzie SPF.
- Określona podsieć IPv4 zawiera adres IP nadawcy. |
ip4:<ip4-address>
ip4:<ip4-network>/<prefix-length> |
| ip6 | Zakres IPv6 można określić za pomocą dyrektywy "ip4" wraz z prefiksem oznaczającym długość zakresu. Jeśli nie zostanie podany prefiks, przyjmuje się /128. | Mechanizm "ip6" zostanie zastosowany, jeśli którykolwiek z tych warunków będzie prawdziwy:
- Podany adres IPv6 odpowiada adresowi IP w rekordzie SPF.
- Określona podsieć IPv6 zawiera adres IP nadawcy. |
ip6:<ip6-address>
ip6:<ip6-network>/<prefix-length> |
| mx | Mechanizm "mx", jak określono w rekordzie SPF, definiuje rekord Domain Name System (DNS) Mail Exchanger (MX) domeny jako autoryzowany. | Rekord DNS MX określa, który serwer jest odpowiedzialny za przyjmowanie wiadomości e-mail w imieniu domeny. Rekord DNS MX zawiera adres IP i wartość priorytetu dla każdego serwera, który może być użyty do przyjmowania wiadomości.
Jeśli rekord MX domeny zawiera adres IP, który odpowiada adresowi IP nadawcy, oznacza to, że ten nadawca jest upoważniony do wysyłania wiadomości e-mail w imieniu tej domeny. |
mx
mx/<prefix-length> mx:<domain> mx:<domain>/<prefix-length> |
| ptr | Mechanizm ptr wykorzystuje odwrotną nazwę hosta lub subdomenę wysyłającego adresu IP do określenia docelowej nazwy domeny. | Ma zastosowanie tylko wtedy, gdy istnieje co najmniej jeden rekord MX dla zapytanej lub określonej domeny i rekord MX zawiera rekord PTR z FQDN dla adresu IP nadawcy. | ptr
ptr:<domain> |
Modyfikatory składni rekordu SPF
W składni rekordu SPF modyfikatory mogą być używane do zmiany domyślnego zachowania rekordu SPF. Modyfikatory mogą być używane do określania wyjątków od reguł lub do przekazywania dodatkowych informacji odbiorcy.
| Modyfikator | Cel | Wdrożenie |
| exp | Modyfikator "exp" to wartość określająca wyjaśnienie, dlaczego wiadomość została odrzucona. Ma on pomóc nadawcom uniknąć pewnych problemów i może być użyty do poinformowania ich o konkretnym powodzie, dla którego ich wiadomość nie została zaakceptowana przez serwer odbiorczy. | exp=<domain> |
| przekierowanie | Modyfikator przekierowania jest ciągiem znaków, który zastępuje całą nazwę domeny w rekordzie SPF. Celem tego modyfikatora jest przekierowanie całej poczty wysyłanej do domeny na inny serwer. Może to być przydatne dla domen z wieloma rekordami MX lub dla domen, które zostały ponownie przypisane do innej firmy, ale nadal używają tych samych adresów e-mail. | redirect=<domain> |
Zakończenie
Rekord SPF jest ważną częścią rekordów DNS Twojej domeny. Informuje on inne serwery pocztowe, jak uwierzytelniać wiadomości, które twierdzą, że pochodzą od Ciebie, co oznacza, że ważne jest, aby mieć poprawnie skonfigurowany rekord SPF. Upewnij się jednak, że sparowałeś SPF z DMARC dla lepszej ochrony przed kompromitacją poczty elektronicznej i spoofingiem.
The Narzędzie SPF Record Lookup może Ci w tym pomóc. Narzędzie to pozwoli Ci szybko sprawdzić, jak wygląda Twój aktualny rekord SPF, łącznie z tym, czy nie brakuje w nim jakichś wymaganych pól. Generator pozwoli Ci stworzyć od podstaw składnię rekordu SPF wraz ze wszystkimi wymaganymi polami, tak aby można go było od razu dodać do Twoich rekordów DNS.
- Czy Blockchain może pomóc poprawić bezpieczeństwo poczty e-mail? - 9 maja 2024 r.
- Serwery proxy dla centrów danych: Odsłonięcie konia roboczego świata proxy - 7 maja 2024 r.
- Kimsuky wykorzystuje zasady DMARC "None" w ostatnich atakach phishingowych - 6 maja 2024 r.