Strona SPF (Sender Policy Framework) redirect to modyfikator rekordu, który wskazuje na oddzielną nazwę domeny zawierającą rekord SPF. Właściciele domen mogą skonfigurować wiele domen tak, aby korzystały z pojedynczego rekordu SPF hostowanego na jednej domenie za pomocą SPF redirect. Chociaż może się to wydawać korzystne w niektórych aspektach, nie zalecamy tego. Przeczytaj więcej, aby dowiedzieć się dlaczego!

Wprowadzenie do SPF i modyfikatora przekierowania

SPF to standard uwierzytelniania wiadomości e-mail, który chroni organizację przed podszywaniem się pod inne osoby i spamem, prowadząc rejestr autoryzowanych stron. 

Podczas gdy modyfikator SPF redirect jest opcjonalny i może być użyty tylko raz na rekord SPF. Istnieją pewne warunki wstępne do użycia SPF redirect. Są one następujące:

• Ma to sens tylko wtedy, gdy organizacja pracuje z wieloma domenami 
• Wszystkie te domeny muszą korzystać z tej samej infrastruktury poczty elektronicznej
• Druga domena, która jest przekierowywana, musi posiadać ważny rekord SPF
• Aby korzystać z przekierowania SPF, kontrola nad wszystkimi domenami uczestniczącymi w łańcuchu przekierowań musi należeć do właściciela domeny

Jak działa modyfikator SPF Redirect?

Aby lepiej zrozumieć działanie przekierowania SPF, przyjrzyjmy się następującemu przykładowi: 

Jeśli domena_test.com ma rekord SPF taki jak:
v=spf1 redirect=domain_test2.com

Oznacza to, że rekord SPF dla "domain_test2.com" powinien być użyty zamiast "domain_test". Wiadomości z domeny_test będą wtedy przekierowywane przy użyciu "domain_test2".

Kiedy można używać modyfikatora przekierowania SPF?

1. Gdy jeden rekord ma być używany dla wielu domen

Na przykład,

delaware.example.com. TXT "v=spf1 redirect=_spf.example1.com"
austin.example.com TXT "v=spf1 redirect=_spf.example1.com"
washington.example.com TXT "v=spf1 redirect=_spf.example1.com"
_spf.example.com. TXT "v=spf1 mx:example1.com -all"

W tym przykładzie każda poczta z trzech powyższych domen będzie opisana tym samym rekordem, w tym przypadku "_spf.example1.com", co daje użytkownikom przewagę administracyjną.

2. Gdy konieczna jest zmiana nazwy domeny.

Dla wszystkich mechanizmów wartości "a", "mx" i "ptr" są opcjonalne. Jeśli nie podano konkretnych wartości, są one ustawiane na bieżącą domenę. Jednak w przypadku użycia "redirect" mechanizmy "a", "mx" i "ptr" wskazują na przekierowaną domenę.

Rozważmy następujący przykład:
powerdmarc.com "v=spf1 a -all"

W tym przypadku mechanizm "a" nie ma określonej wartości, więc będzie wskazywał na rekord DNS 'A' "powerdmarc.com", ponieważ tam właśnie znajduje się rekord SPF określony w przykładzie.

Rozważmy teraz następujący przykład:
powerdmarc.com "v=spf1 redirect=_spf.powerdmarc.com".
_spf.powerdmarc.com "v=spf1 a -all"

W powyższym przykładzie mechanizm "a" wskazuje na rekord DNS 'A' "_spf.powerdmarc.com", mimo że przekierowuje go domena główna "powerdmarc.com".

Jest to jedna z najczęstszych przyczyn problemów z walidacją SPF i jest trudna do usunięcia. Jeśli Twoja organizacja używa SPF "redirect", zauważ, że jeśli istnieje mechanizm "a", "mx" lub "ptr" bez wyraźnie zdefiniowanej nazwy domeny w Twoim przekierowanym rekordzie SPF, będzie on wskazywał tylko na przekierowaną domenę.

Wady korzystania z funkcji SPF Redirect

1. Modyfikator "przekierowanie" zwiększa liczbę wyszukiwań DNS.

Podczas korzystania z uwierzytelniania SPF email, za każdym razem, gdy email jest wysyłany z domeny do domeny odbiorcy, serwer email odbiorcy wykonuje zapytania DNS, znane również jako DNS lookups, aby sprawdzić istniejące autoryzowane adresy IP w Twoim DNS i porównać je z adresem IP w nagłówku ścieżki zwrotnej otrzymanego emaila. Standard SPF RFC7208 ogranicza maksymalną liczbę takich odszukań do 10. 

Modyfikator "przekierowanie", jeśli jest stosowany, również zwiększa tę liczbę. Tak więc organizacja musi zachować ostrożność przy stosowaniu modyfikatora "redirect", ponieważ limit 10 wyszukiwań DNS może zostać przekroczony. Może to spowodować przerwanie SPF i doprowadzić do niepowodzeń w uwierzytelnianiu.

W PowerDMARC nasi użytkownicy konfigurują PowerSPF, który jest skutecznym narzędziem spłaszczającym SPF, aby ograniczyć liczbę odszukiwań i cieszyć się bezbłędnym SPF.

2. Błędny wynik jest zwracany w przypadku braku zdefiniowanej polityki SPF w domenach używających "przekierowania".

W przypadku dołączenia domeny, która nie zawiera rekordu SPF lub ma nieprawidłowy rekord, zwracany jest wynik softfail (brak), który nie ma wpływu na proces weryfikacji. 

Jednak podczas używania modyfikatora przekierowania SPF, jeśli przekierowywana domena zawiera nieprawidłowy lub brakujący rekord SPF, zwracany jest wynik SPF Permerror, który jest poważnym błędem i może spowodować uszkodzenie SPF.

Używanie mechanizmu SPF include zamiast modyfikatora SPF redirect

Zalecamy używanie mechanizmu SPF include zamiast modyfikatora redirect, aby uniknąć pewnych typowych komplikacji:

• Gdy używany jest mechanizm przekierowania, oznacza to koniec rekordu i nie można dokonywać dalszych modyfikacji. Z drugiej strony, jeśli używasz SPF include, możesz modyfikować swój rekord i dodawać kolejne rekordy include, a lub mx zgodnie z własną wolą, co daje większą elastyczność.
  
• Mechanizm include może pomóc w skróceniu rekordu SPF tak, aby nie przekraczał on limitu długości znaków SPF. Możesz utworzyć rekord SPF TXT dla spfrecord1.xyz.com i spfrecord2.abc.com, rozdzielając pierwotnie pojedynczy, długi rekord SPF i dołączając obie domeny do rekordu TXT dla jednej z domen (np. xyz.com).
  
• W przypadku, gdy nie znaleziono rekordu SPF w przekierowywanej domenie, zachowanie stanu błędu (wartość permerror) dla przekierowania, jak wspomniano powyżej, może być również ominięte poprzez użycie mechanizmu include, który zwróci wynik softfail zamiast tego, a Twoje e-maile nadal będą dostarczane.
  
• W przeciwieństwie do SPF include, który nie ma żadnego wpływu na mechanizm all, modyfikator SPF redirect nakazuje serwerowi renderować domeny SPF ~all dla domeny głównej za pomocą przekierowania, jak w poniższym przypadku:
  domain1.com "v=spf1 redirect=_spf.domain2.com"
  _spf.domain2.com "v=spf1 ip4:164.100.226.127 ~all
  Dzieje się tak dlatego, że w przypadku każdego rekordu korzystającego z przekierowania, mechanizm "all" jest w ogóle nieobecny, a może on współistnieć podczas korzystania z mechanizmów include. Dlatego też "~all" ustawione dla przekierowywanej subdomeny jest nakładane również na domenę główną.

Wniosek

Jest wiele rzeczy, na które należy uważać przy stosowaniu modyfikatora "redirect", jak np. limit 10 wyszukiwań DNS, dlatego Twoja organizacja musi być ostrożna przy ustawianiu Rekordu SPF. Twoja organizacja musi od czasu do czasu optymalizować rekordy SPF, upewniając się, że odszukiwania DNS mieszczą się w limicie. Dla wszystkich zapytań związanych z SPF w Twojej organizacji sprawdź PowerSPF. Przeprowadza on automatyczne spłaszczanie i automatyczną aktualizację bloków sieci, aby zapewnić, że autoryzowane adresy IP są zawsze aktualne i bezpieczne. Dodatkowo, nie musisz się martwić o przekroczenie limitów zapytań DNS.

Najlepszym sposobem na zabezpieczenie wiadomości e-mail za pomocą SPF jest wdrożenie go wraz z DKIM i darmowy DMARC. Pomoże to w ochronie organizacji przed spamem i ewentualnymi próbami spear-phishingu. Sprawdź PowerDMARC i upewnij się, że Twoja organizacja korzysta z aktywnego dostawcy usług technologii antyspoofingowej DMARC.

• O
• Latest Posts

Yunes Tarada

Yunes jest liderem zespołu operacyjnego w PowerDMARC z wiedzą ekspercką w zakresie uwierzytelniania i bezpieczeństwa poczty elektronicznej. Yunes jest certyfikowanym przez Microsoft Azure Administrator Associate z certyfikatami CompTIA A+ i wieloma innymi.

Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)

• Wyjaśnienie kodów błędów SMTP Yahoo - 1 maja 2024 r.
• SPF Softfail vs Hardfail: Jaka jest różnica? - 26 kwietnia 2024 r.
• FTC donosi, że poczta e-mail jest popularnym medium do oszustw związanych z podszywaniem się pod inne osoby - 16 kwietnia 2024 r.