Naruszenie SPF

Wiadomości e-mail wysyłane przez marketerów mogą być odrzucane z różnych powodów. Zdarzały się problemy z dostarczeniem wiadomości e-mail w przypadku aktualizacji spraw i komentarzy.

W większości przypadków użytkownicy otrzymują powiadomienie o niepowodzeniu, takie jak: "SPF Violation".

Powód główny: Nie zamieścili rekordu SPF.

Co to jest rekord SPF?

Rekord SPF (sender policy framework) jest rekordem DNS TXT, który identyfikuje wszystkie serwery upoważnione do wysyłania wiadomości e-mail z określonej domeny.

Administrator domeny może użyć rekordu DNS TXT ("tekstowego"), aby dodać dowolny tekst do Systemu Nazw Domen (DNS). Rekordy TXT zostały zaprojektowane, aby zawierać ważne informacje o domenie, ale ewoluowały, aby spełniać różne funkcje.

SPF jest weryfikowany poprzez odpytywanie wartości Return-Path domeny w nagłówkach wiadomości e-mail przez serwery odbierające wiadomości. Gdy ta ścieżka zwrotna jest używana, serwer odbiorcy przeszukuje serwer DNS pod kątem rekordu TXT. W przypadku, gdy SPF jest włączony, wyświetla listę wszystkich zaakceptowanych serwerów, z których można wysyłać pocztę. Kontrola SP F nie powiedzie się i wygeneruje komunikat o błędzie "SPF Violation", jeśli adres IP nie znajduje się na liście.

Dlaczego odzyskiwanie po naruszeniu SPF jest ważne?

Sender Policy Framework (SPF) to prosta, ale skuteczna metoda sprawdzania poprawności wiadomości e-mail służąca do wykrywania fałszywych wiadomości e-mail.

W celu zapobiegania spamowi i fałszywym wiadomościom e-mail wymagany jest rekord SPF. Chociaż protokół SMTP (Simple Mail Transfer Protocol) nie może całkowicie zablokować fałszywych e-maili, nagłówek SPF pokazuje, czy e-mail jest autentyczny, czy nie. Jeśli masz rekord SPF, to serwery pocztowe mogą sprawdzić, czy adresy IP wymienione w rekordzie SPF są upoważnione do wysyłania wiadomości e-mail w imieniu Twojej domeny. Jeśli nie, to odrzucają wszystkie wiadomości otrzymane z tych adresów IP.

Aby odzyskać SPF Violation, Twój rekord musi być ważny i zaktualizowany. W celu sprawdzenia składni i serwerów MTA, upewnij się, że rekord SPF DNS jest skonfigurowany poprawnie, przeprowadzając rutynowe kontrole za pomocą naszego narzędzia do sprawdzania rekordów SPF. W przypadku wykrycia jakiegokolwiek błędu, będziesz potrzebował dostępu do panelu kontrolnego DNS swojej domeny, aby zmodyfikować rekord i rozwiązać problem naruszenia SPF. Jeśli korzystasz z usługi hostingu DNS, proces ten jest dość prosty, ponieważ zajmują się oni aktualizacją za Ciebie.

Zapewnij również defensywny rekord SPF dla każdej domeny w Twojej organizacji, która nie dostarcza e-maili, jak np. domena zaparkowana. Jest to również zalecane przez Messaging, Malware, and Mobile Anti-Abuse Working Group (M3AAWG). Złośliwe podmioty mogą wysyłać spoofed emaile imitując dowolną domenę (tj. nawet nieaktywną).

Gotowy do utworzenia rekordu SPF, aby złagodzić naruszenie SPF?

Twój host DNS określa sposób dostarczenia rekordu SPF. Jeśli korzystasz z serwera DNS rejestratora domeny, powinieneś być w stanie dodawać i usuwać wpisy DNS z pulpitu nawigacyjnego rejestratora. To jest ekran, na którym możesz utworzyć rekord SPF.

• Zacznij od v=spf1 (wersja 1) a następnie dodaj adresy IP, które mogą wysyłać pocztę. v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 Oto przykład.
• Jeśli korzystasz z usług strony trzeciej do wysyłania wiadomości e-mail w Twoim imieniu, musisz napisać oświadczenie "include" w rekordzie SPF (np. include:thirdparty.com), aby wyznaczyć stronę trzecią jako prawdziwego nadawcę. AI writer może pomóc zaoszczędzić czas i stworzyć unikalne teksty.
• Po dodaniu wszystkich zatwierdzonych adresów IP i poleceń include dodaj znacznik all lub -all.
• Miękki błąd SPF jest wskazywany przez znacznik all, natomiast twardy błąd SPF jest wskazywany przez znacznik -all. Według głównych dostawców skrzynek pocztowych, zarówno all, jak i -all spowodują niepowodzenie SPF. Znacznik -all jest najbezpieczniejszy.
• Rekordy SPF nie mogą być dłuższe niż 255 znaków i nie mogą zawierać więcej niż 10 poleceń include (znanych również jako "lookups"). Oto przykład tego, jak może wyglądać Twój rekord:

v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 include:thirdparty.com -all

• Rekord SPF wykluczy wszelkie modyfikacje z wyjątkiem -all dla domen, które nie wysyłają poczty. Poniżej znajduje się przykładowy rekord dla domeny niewysyłającej:

v=spf1 -all

Można również użyć Generator Rekordów SPF przez PowerDMARC, aby wygenerować natychmiastowy rekord, który jest wolny od błędów.

Wykrywanie naruszeń SPF za pomocą SPF Record Checker

Z SPF record checker przez PowerDMARC można uzyskać informacje o następujących danych:

• Czy masz już rekord SPF w swoim DNS?
• Czy Twój rekord został uznany za nieważny z powodu częstych problemów z SPF, takich jak przekroczenie limitu 10 odwołań DNS, publikowanie wielu rekordów SPF dla tej samej domeny lub nieprawidłowa składnia

Jeśli Twoja domena ma włączony SPF, powinieneś regularnie sprawdzać rekordy SPF, aby być na bieżąco z aktualizacjami DNS.

• Zacznij od wpisania nazwy domeny w odpowiednie pole. (Na przykład, jeśli adres URL Twojej domeny to, kolejna nazwa domeny to company.com, która nie ma prefiksu).
• Zakończenie pracy następuje po kliknięciu przycisku "Szukaj".

Przykładowe szczegóły polityki SPF:

Adres IP: 13.108.238.141

SPF Record: v=spf1 ip4:13.108.238.141/26 ip4:87.222.138.192/26 ip4:80.43.144.0/20 ip4:126.146.128.64/27 ip4:116.146.208.0/21 ip4:136.147.32.0/19 ip4:112.50.78.64/28 exists:%{i}._spf.mta.dummyvalue.com -all

Adres dla HELO/EHLO: myaddress@salesforce.com

Przykładowe dane wyjściowe

Poczta wysłana z tego adresu IP: 13.108.238.141

Tożsamość serwera pocztowego HELO/EHLO: myaddress@salesforce.com

HELO/EHLO Wyniki - PASS nadawca SPF autoryzowany

Słowa końcowe

Naruszenie SPF jest poważnym ryzykiem, które uniemożliwia wysyłanie ważnych wiadomości e-mail. Możesz przyjąć łatwiejsze podejście, nie wybierając tagów egzekwowania i wybierając bardziej zrelaksowaną politykę, pozwalającą na dostarczanie wszystkich wiadomości e-mail (nawet tych, które nie przejdą uwierzytelnienia). Jest to dobre posunięcie dla początkujących, którzy chcą jedynie monitorować przepływ wiadomości e-mail poprzez raportowanie DMARC. Jednak w celu ochrony przed spamem i oszustwami e-mailowymi, kwestia ta musi zostać rozwiązana jako priorytet.

PowerDMARC, dzięki swoim najnowszym narzędziom, ułatwia konfigurację poprawnych rekordów DNS TXT, aby zapobiec naruszeniom SPF. Utwórz bezpłatne konto PowerDMARC i wykonaj DMARC aby uzyskać dostęp do szerokiej gamy narzędzi uwierzytelniania i walidacji!

• O
• Latest Posts

Ahona Rudra

Ahona jest Marketing Managerem w PowerDMARC, z ponad 5-letnim doświadczeniem w pisaniu na tematy związane z cyberbezpieczeństwem, specjalizującym się w bezpieczeństwie domen i poczty elektronicznej. Ahona posiada dyplom ukończenia studiów podyplomowych w zakresie dziennikarstwa i komunikacji, umacniając swoją karierę w sektorze bezpieczeństwa od 2019 roku.

Latest posts by Ahona Rudra (zobacz wszystkie)

• Jak znaleźć najlepszego dostawcę rozwiązań DMARC dla swojej firmy? - 25 kwietnia 2024 r.
• PowerDMARC i Zendata nawiązują partnerstwo w celu zwiększenia bezpieczeństwa domeny - 25 kwietnia 2024 r.
• PowerDMARC współpracuje z CNS w celu rozwoju praktyk bezpieczeństwa poczty elektronicznej na Bliskim Wschodzie - 24 kwietnia 2024 r.