Przekierowanie SPF
Ostatnia aktualizacja:
6 czas czytania: 2 minuty
Strona SPF (Sender Policy Framework) redirect to modyfikator rekordu, który wskazuje na oddzielną nazwę domeny zawierającą rekord SPF. Właściciele domen mogą skonfigurować wiele domen tak, aby korzystały z pojedynczego rekordu SPF hostowanego na jednej domenie za pomocą SPF redirect. Chociaż może się to wydawać korzystne w niektórych aspektach, nie zalecamy tego. Przeczytaj więcej, aby dowiedzieć się dlaczego!
Kluczowe wnioski
- Przekierowanie SPF pozwala wielu domenom współdzielić pojedynczy rekord SPF, ale wymaga starannej konfiguracji, aby uniknąć problemów z walidacją.
- Modyfikator przekierowania SPF może zwiększyć liczbę wyszukiwań DNS, potencjalnie przekraczając maksymalną dozwoloną liczbę i powodując błędy uwierzytelniania.
- Wykorzystanie mechanizmu SPF include oferuje większą elastyczność i zmniejsza ryzyko wpadnięcia w stany błędu podczas zarządzania rekordami SPF.
- Nieprawidłowe lub brakujące rekordy SPF w przekierowanych domenach mogą prowadzić do twardego wyniku niepowodzenia, komplikując procesy weryfikacji wiadomości e-mail.
- Aby zwiększyć bezpieczeństwo poczty elektronicznej, organizacje powinny wdrożyć SPF wraz z DKIM i DMARC w celu zapewnienia solidnej ochrony przed spoofingiem i atakami phishingowymi.
Wprowadzenie do SPF i modyfikatora przekierowania
SPF to standard uwierzytelniania wiadomości e-mail, który chroni organizację przed podszywaniem się pod inne osoby i spamem, prowadząc rejestr autoryzowanych stron.
Podczas gdy modyfikator SPF redirect jest opcjonalny i może być użyty tylko raz na rekord SPF. Istnieją pewne warunki wstępne do użycia SPF redirect. Są one następujące:
- Ma to sens tylko wtedy, gdy organizacja pracuje z wieloma domenami
- Wszystkie te domeny muszą korzystać z tej samej infrastruktury poczty elektronicznej
- Druga domena, która jest przekierowywana, musi posiadać ważny rekord SPF
- Aby korzystać z przekierowania SPF, kontrola nad wszystkimi domenami uczestniczącymi w łańcuchu przekierowań musi należeć do właściciela domeny
Uprość przekierowanie SPF z PowerDMARC!
Jak działa modyfikator SPF Redirect?
Aby lepiej zrozumieć działanie przekierowania SPF, przyjrzyjmy się następującemu przykładowi:
Jeśli domena_test.com ma rekord SPF taki jak:
v=spf1 redirect=domain_test2.com
Oznacza to, że rekord SPF dla "domain_test2.com" powinien być użyty zamiast "domain_test". Wiadomości z domeny_test będą wtedy przekierowywane przy użyciu "domain_test2".
Kiedy można używać modyfikatora przekierowania SPF?
1. Gdy jeden rekord ma być używany dla wielu domen
Na przykład,
delaware.example.com. TXT "v=spf1 redirect=_spf.example1.com"
austin.example.com TXT "v=spf1 redirect=_spf.example1.com"
washington.example.com TXT "v=spf1 redirect=_spf.example1.com"
_spf.example.com. TXT "v=spf1 mx:example1.com -all"
W tym przykładzie każda poczta z trzech powyższych domen będzie opisana tym samym rekordem, w tym przypadku "_spf.example1.com", co daje użytkownikom przewagę administracyjną.
2. Gdy konieczna jest zmiana nazwy domeny.
Dla wszystkich mechanizmów wartości "a", "mx" i "ptr" są opcjonalne. Jeśli nie podano konkretnych wartości, są one ustawiane na bieżącą domenę. Jednak w przypadku użycia "redirect" mechanizmy "a", "mx" i "ptr" wskazują na przekierowaną domenę.
Rozważmy następujący przykład:
powerdmarc.com "v=spf1 a -all"
W tym przypadku mechanizm "a" nie ma określonej wartości, więc będzie wskazywał na rekord DNS 'A' "powerdmarc.com", ponieważ tam właśnie znajduje się rekord SPF określony w przykładzie.
Rozważmy teraz następujący przykład:
powerdmarc.com "v=spf1 redirect=_spf.powerdmarc.com".
_spf.powerdmarc.com "v=spf1 a -all"
W powyższym przykładzie mechanizm "a" wskazuje na rekord DNS 'A' "_spf.powerdmarc.com", mimo że przekierowuje go domena główna "powerdmarc.com".
Jest to jedna z częstych przyczyn problemów z walidacją SPF i trudna do usunięcia. Jeśli Twoja organizacja korzysta z „przekierowania” SPF, pamiętaj, że jeśli w przekierowanym rekordzie SPF istnieje mechanizm „a”, „mx” lub „ptr” bez wyraźnie zdefiniowanej nazwy domeny, będzie on wskazywał tylko na przekierowaną domenę.
Wady korzystania z funkcji SPF Redirect
1. Modyfikator "przekierowanie" zwiększa liczbę wyszukiwań DNS.
Podczas korzystania z uwierzytelniania SPF email, za każdym razem, gdy email jest wysyłany z domeny do domeny odbiorcy, serwer email odbiorcy wykonuje zapytania DNS, znane również jako DNS lookups, aby sprawdzić istniejące autoryzowane adresy IP w Twoim DNS i porównać je z adresem IP w nagłówku ścieżki zwrotnej otrzymanego emaila. Standard SPF RFC7208 ogranicza maksymalną liczbę takich odszukań do 10.
Modyfikator "przekierowanie", jeśli jest stosowany, również zwiększa tę liczbę. Tak więc organizacja musi zachować ostrożność przy stosowaniu modyfikatora "redirect", ponieważ limit 10 wyszukiwań DNS może zostać przekroczony. Może to spowodować przerwanie SPF i doprowadzić do niepowodzeń w uwierzytelnianiu.
W PowerDMARC nasi użytkownicy konfigurują PowerSPF, który jest skutecznym narzędziem do spłaszczania SPF, aby ograniczyć liczbę wyszukiwań i cieszyć się bezbłędnym SPF.
2. Błędny wynik jest zwracany w przypadku braku zdefiniowanej polityki SPF w domenach używających "przekierowania".
W przypadku dołączenia domeny, która nie zawiera rekordu SPF lub ma nieprawidłowy rekord, zwracany jest wynik softfail (brak), który nie ma wpływu na proces weryfikacji.
Jednak podczas używania modyfikatora przekierowania SPF, jeśli przekierowywana domena zawiera nieprawidłowy lub brakujący rekord SPF, zwracany jest wynik SPF Permerror, który jest poważnym błędem i może spowodować uszkodzenie SPF.
Używanie mechanizmu SPF include zamiast modyfikatora SPF redirect
Zalecamy używanie mechanizmu SPF include zamiast modyfikatora redirect, aby uniknąć pewnych typowych komplikacji:
- Gdy używany jest mechanizm przekierowania, oznacza to koniec rekordu i nie można dokonywać dalszych modyfikacji. Z drugiej strony, jeśli używasz SPF include, możesz modyfikować swój rekord i dodawać kolejne rekordy include, a lub mx zgodnie z własną wolą, co daje większą elastyczność.
- Mechanizm include może pomóc w skróceniu rekordu SPF tak, aby nie przekraczał on limitu długości znaków SPF. Możesz utworzyć rekord SPF TXT dla spfrecord1.xyz.com i spfrecord2.abc.com, rozdzielając pierwotnie pojedynczy, długi rekord SPF i dołączając obie domeny do rekordu TXT dla jednej z domen (np. xyz.com).
- W przypadku, gdy jest nie znaleziono rekordu SPF w domenie z przekierowaniem, zachowanie stanu błędu (wartość permerror) dla przekierowania, jak wspomniano powyżej, może być również ominięte poprzez użycie mechanizmu include, który zwróci wynik softfail zamiast tego, a Twoje e-maile nadal będą dostarczane.
- W przeciwieństwie do SPF include, który nie ma żadnego wpływu na mechanizm all, modyfikator SPF redirect nakazuje serwerowi renderowanie pliku SPF ~ wszystkie dla domeny głównej za pomocą przekierowania, jak w poniższym przypadku:
domain1.com "v=spf1 redirect=_spf.domain2.com"
_spf.domain2.com "v=spf1 ip4:164.100.226.127 ~all
Dzieje się tak dlatego, że w przypadku każdego rekordu korzystającego z przekierowania, mechanizm "all" jest w ogóle nieobecny, co może mieć miejsce podczas korzystania z mechanizmów include. Dlatego też zestaw "~all" dla przekierowywanej subdomeny jest nakładany również na domenę główną.
Wniosek
Jest wiele rzeczy, na które należy uważać przy stosowaniu modyfikatora "redirect", jak np. limit 10 wyszukiwań DNS, dlatego Twoja organizacja musi być ostrożna przy ustawianiu Rekordu SPF. Twoja organizacja musi od czasu do czasu optymalizować rekordy SPF, upewniając się, że odszukiwania DNS mieszczą się w limicie. Dla wszystkich zapytań związanych z SPF w Twojej organizacji sprawdź PowerSPF. Przeprowadza on automatyczne spłaszczanie i automatyczną aktualizację bloków sieci, aby zapewnić, że autoryzowane adresy IP są zawsze aktualne i bezpieczne. Dodatkowo, nie musisz się martwić o przekroczenie limitów zapytań DNS.
Najlepszym sposobem na zabezpieczenie wiadomości e-mail za pomocą SPF jest wdrożenie go wraz z DKIM i darmowy DMARC. Pomoże to w ochronie organizacji przed spamem i ewentualnymi próbami spear-phishingu. Sprawdź PowerDMARC i upewnij się, że Twoja organizacja korzysta z aktywnego dostawcy usług technologii antyspoofingowej DMARC.
Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC
Yunes jest liderem zespołu operacyjnego w PowerDMARC z wiedzą ekspercką w zakresie uwierzytelniania i bezpieczeństwa poczty elektronicznej. Yunes jest certyfikowanym przez Microsoft Azure Administrator Associate z certyfikatami CompTIA A+ i wieloma innymi.
Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)
- Kompresja SPF: Ogranicz liczbę wyszukiwań DNS w ramach SPF i zoptymalizuj swój rekord SPF - 25 marca 2026 r.
- Certyfikat znaku zweryfikowanego a certyfikat znaku powszechnego: wybór odpowiedniego rozwiązania – 10 marca 2026 r.
- Poziom pewności spamu (SCL) -1 Bypass: co to oznacza i jak sobie z tym radzić – 4 marca 2026 r.
