Stanowiska

Strona SPF (Sender Policy Framework) redirect to modyfikator rekordu, który wskazuje na oddzielną nazwę domeny zawierającą rekord SPF. Właściciele domen mogą skonfigurować wiele domen tak, aby korzystały z pojedynczego rekordu SPF hostowanego na jednej domenie za pomocą SPF redirect. Chociaż może się to wydawać korzystne w niektórych aspektach, nie zalecamy tego. Przeczytaj więcej, aby dowiedzieć się dlaczego!

Wprowadzenie do SPF i modyfikatora przekierowania

SPF to standard uwierzytelniania wiadomości e-mail, który chroni organizację przed podszywaniem się pod inne osoby i spamem, prowadząc rejestr autoryzowanych stron. 

Podczas gdy modyfikator SPF redirect jest opcjonalny i może być użyty tylko raz na rekord SPF. Istnieją pewne warunki wstępne do użycia SPF redirect. Są one następujące:

  • Ma to sens tylko wtedy, gdy organizacja pracuje z wieloma domenami 
  • Wszystkie te domeny muszą korzystać z tej samej infrastruktury poczty elektronicznej
  • Druga domena, która jest przekierowywana, musi posiadać ważny rekord SPF
  • Aby korzystać z przekierowania SPF, kontrola nad wszystkimi domenami uczestniczącymi w łańcuchu przekierowań musi należeć do właściciela domeny

Jak działa modyfikator SPF Redirect?

Aby lepiej zrozumieć działanie przekierowania SPF, przyjrzyjmy się następującemu przykładowi: 

Jeśli domena_test.com ma rekord SPF taki jak:
v=spf1 redirect=domain_test2.com

Oznacza to, że rekord SPF dla "domain_test2.com" powinien być użyty zamiast "domain_test". Wiadomości z domeny_test będą wtedy przekierowywane przy użyciu "domain_test2".

Kiedy można używać modyfikatora przekierowania SPF?

1. Gdy jeden rekord ma być używany dla wielu domen

Na przykład,

delaware.example.com. TXT "v=spf1 redirect=_spf.example1.com"
austin.example.com TXT "v=spf1 redirect=_spf.example1.com"
washington.example.com TXT "v=spf1 redirect=_spf.example1.com"
_spf.example.com. TXT "v=spf1 mx:example1.com -all"

W tym przykładzie każda poczta z trzech powyższych domen będzie opisana tym samym rekordem, w tym przypadku "_spf.example1.com", co daje użytkownikom przewagę administracyjną.

2. Gdy konieczna jest zmiana nazwy domeny.

Dla wszystkich mechanizmów wartości "a", "mx" i "ptr" są opcjonalne. Jeśli nie podano konkretnych wartości, są one ustawiane na bieżącą domenę. Jednak w przypadku użycia "redirect" mechanizmy "a", "mx" i "ptr" wskazują na przekierowaną domenę.

Rozważmy następujący przykład:
powerdmarc.com "v=spf1 a -all"

W tym przypadku mechanizm "a" nie ma określonej wartości, więc będzie wskazywał na rekord DNS 'A' "powerdmarc.com", ponieważ tam właśnie znajduje się rekord SPF określony w przykładzie.

Rozważmy teraz następujący przykład:
powerdmarc.com "v=spf1 redirect=_spf.powerdmarc.com".
_spf.powerdmarc.com "v=spf1 a -all"

W powyższym przykładzie mechanizm "a" wskazuje na rekord DNS 'A' "_spf.powerdmarc.com", mimo że przekierowuje go domena główna "powerdmarc.com".

Jest to jedna z najczęstszych przyczyn problemów z walidacją SPF i jest trudna do usunięcia. Jeśli Twoja organizacja używa SPF "redirect", zauważ, że jeśli istnieje mechanizm "a", "mx" lub "ptr" bez wyraźnie zdefiniowanej nazwy domeny w Twoim przekierowanym rekordzie SPF, będzie on wskazywał tylko na przekierowaną domenę.

Wady korzystania z funkcji SPF Redirect

1. Modyfikator "przekierowanie" zwiększa liczbę wyszukiwań DNS.

Podczas korzystania z uwierzytelniania SPF email, za każdym razem, gdy email jest wysyłany z domeny do domeny odbiorcy, serwer email odbiorcy wykonuje zapytania DNS, znane również jako DNS lookups, aby sprawdzić istniejące autoryzowane adresy IP w Twoim DNS i porównać je z adresem IP w nagłówku ścieżki zwrotnej otrzymanego emaila. Standard SPF RFC7208 ogranicza maksymalną liczbę takich odszukań do 10. 

Modyfikator "przekierowanie", jeśli jest stosowany, również zwiększa tę liczbę. Tak więc organizacja musi zachować ostrożność przy stosowaniu modyfikatora "redirect", ponieważ limit 10 wyszukiwań DNS może zostać przekroczony. Może to spowodować przerwanie SPF i doprowadzić do niepowodzeń w uwierzytelnianiu.

W PowerDMARC nasi użytkownicy konfigurują PowerSPF, który jest skutecznym narzędziem spłaszczającym SPF, aby ograniczyć liczbę odszukiwań i cieszyć się bezbłędnym SPF.

2. Błędny wynik jest zwracany w przypadku braku zdefiniowanej polityki SPF w domenach używających "przekierowania".

W przypadku dołączenia domeny, która nie zawiera rekordu SPF lub ma nieprawidłowy rekord, zwracany jest wynik softfail (brak), który nie ma wpływu na proces weryfikacji. 

Jednak podczas używania modyfikatora przekierowania SPF, jeśli przekierowywana domena zawiera nieprawidłowy lub brakujący rekord SPF, zwracany jest wynik SPF Permerror, który jest poważnym błędem i może spowodować uszkodzenie SPF.

Używanie mechanizmu SPF include zamiast modyfikatora SPF redirect

Zalecamy używanie mechanizmu SPF include zamiast modyfikatora redirect, aby uniknąć pewnych typowych komplikacji:

  • Gdy używany jest mechanizm przekierowania, oznacza to koniec rekordu i nie można dokonywać dalszych modyfikacji. Z drugiej strony, jeśli używasz SPF include, możesz modyfikować swój rekord i dodawać kolejne rekordy include, a lub mx zgodnie z własną wolą, co daje większą elastyczność.
  • Mechanizm include może pomóc w skróceniu rekordu SPF tak, aby nie przekraczał on limitu długości znaków SPF. Możesz utworzyć rekord SPF TXT dla spfrecord1.xyz.com i spfrecord2.abc.com, rozdzielając pierwotnie pojedynczy, długi rekord SPF i dołączając obie domeny do rekordu TXT dla jednej z domen (np. xyz.com).
  • W przypadku, gdy jest nie znaleziono rekordu SPF w domenie z przekierowaniem, zachowanie stanu błędu (wartość permerror) dla przekierowania, jak wspomniano powyżej, może być również ominięte poprzez użycie mechanizmu include, który zwróci wynik softfail zamiast tego, a Twoje e-maile nadal będą dostarczane.
  • W przeciwieństwie do SPF include, który nie ma żadnego wpływu na mechanizm all, modyfikator SPF redirect nakazuje serwerowi renderowanie pliku SPF ~ wszystkie dla domeny głównej za pomocą przekierowania, jak w poniższym przypadku:
    domain1.com "v=spf1 redirect=_spf.domain2.com"
    _spf.domain2.com "v=spf1 ip4:164.100.226.127 ~all
    Dzieje się tak dlatego, że w przypadku każdego rekordu korzystającego z przekierowania, mechanizm "all" jest w ogóle nieobecny, co może mieć miejsce podczas korzystania z mechanizmów include. Dlatego też zestaw "~all" dla przekierowywanej subdomeny jest nakładany również na domenę główną.

Wniosek

Jest wiele rzeczy, na które należy uważać przy stosowaniu modyfikatora "redirect", jak np. limit 10 wyszukiwań DNS, dlatego Twoja organizacja musi być ostrożna przy ustawianiu Rekordu SPF. Twoja organizacja musi od czasu do czasu optymalizować rekordy SPF, upewniając się, że odszukiwania DNS mieszczą się w limicie. Dla wszystkich zapytań związanych z SPF w Twojej organizacji sprawdź PowerSPF. Przeprowadza on automatyczne spłaszczanie i automatyczną aktualizację bloków sieci, aby zapewnić, że autoryzowane adresy IP są zawsze aktualne i bezpieczne. Dodatkowo, nie musisz się martwić o przekroczenie limitów zapytań DNS.

Najlepszym sposobem zabezpieczenia wiadomości e-mail za pomocą SPF jest wdrożenie go wraz z DKIM i bezpłatny DMARC. Pomoże to w ochronie Twojej organizacji przed spamem i ewentualnymi próbami spear-phishingu. Sprawdź PowerDMARC i upewnij się, że Twoja organizacja korzysta z usług aktywnego dostawcy technologii antyspoofingowej DMARC.

W tym artykule, będziemy badać, jak zoptymalizować rekord SPF łatwo dla Twojej domeny. Dla przedsiębiorstw, jak również małych firm, które są w posiadaniu domeny e-mail do wysyłania i odbierania wiadomości wśród swoich klientów, partnerów i pracowników, jest bardzo prawdopodobne, że rekord SPF istnieje domyślnie, który został ustawiony przez dostawcę usług skrzynki odbiorczej. Bez względu na to, czy masz już istniejący rekord SPF, czy musisz utworzyć nowy, musisz zoptymalizować rekord SPF poprawnie dla swojej domeny, aby upewnić się, że nie powoduje on problemów z dostarczaniem wiadomości e-mail.

Niektórzy odbiorcy emaili ściśle wymagają SPF, co oznacza, że jeśli nie masz opublikowanego rekordu SPF dla swojej domeny, Twoje emaile mogą zostać oznaczone jako spam w skrzynce odbiorczej Twojego odbiorcy. Ponadto, SPF pomaga w wykrywaniu nieautoryzowanych źródeł wysyłających emaile w imieniu Twojej domeny.

Najpierw zrozummy, co to jest SPF i dlaczego go potrzebujesz?

Sender Policy Framework (SPF)

SPF jest zasadniczo standardowym protokołem uwierzytelniania emaili, który określa adresy IP, które są upoważnione do wysyłania emaili z Twojej domeny. Działa on poprzez porównywanie adresów nadawców z listą autoryzowanych hostów wysyłających i adresów IP dla konkretnej domeny, która jest opublikowana w DNS dla tej domeny.

SPF, wraz z DMARC (Domain-based Message Authentication, Reporting and Conformance) jest zaprojektowany do wykrywania fałszywych adresów nadawcy podczas dostarczania wiadomości e-mail i zapobiegania atakom spoofingowym, phishingowi i oszustwom e-mailowym.

Ważne jest, aby wiedzieć, że chociaż domyślny SPF zintegrowany z Twoją domeną przez dostawcę usług hostingowych zapewnia, że e-maile wysyłane z Twojej domeny są uwierzytelniane względem SPF, jeśli masz wielu dostawców zewnętrznych do wysyłania e-maili z Twojej domeny, ten istniejący wcześniej rekord SPF musi być dostosowany i zmodyfikowany do Twoich wymagań. Jak możesz to zrobić? Przeanalizujmy dwa z najbardziej popularnych sposobów:

  • Tworzenie nowego rekordu SPF
  • Optymalizacja istniejącego rekordu SPF

Instrukcja jak zoptymalizować rekord SPF

Utwórz zupełnie nowy rekord SPF

Tworzenie rekordu SPF jest po prostu publikacją rekordu TXT w DNS Twojej domeny, aby skonfigurować SPF dla Twojej domeny. Jest to obowiązkowy krok, który należy wykonać przed rozpoczęciem optymalizacji rekordu SPF. Jeśli dopiero zaczynasz swoją przygodę z uwierzytelnianiem i nie jesteś pewien składni, możesz użyć naszego darmowego generatora rekordów SPF online, aby utworzyć rekord SPF dla swojej domeny.

Wpis rekordu SPF z poprawną składnią będzie wyglądał mniej więcej tak:

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Określa wersję SPF, która jest używana
ip4/ip6Ten mechanizm określa prawidłowe adresy IP, które są upoważnione do wysyłania wiadomości e-mail z Twojej domeny.
zamieścićTen mechanizm mówi serwerom odbierającym, aby włączyły wartości dla rekordu SPF określonej domeny.
-allTen mechanizm określa, że emaile, które nie są zgodne z SPF będą odrzucane. Jest to zalecany znacznik, którego możesz użyć publikując swój rekord SPF. Może on jednak zostać zastąpiony przez ~ dla SPF Soft Fail (emaile niezgodne z SPF będą oznaczone jako soft fail, ale nadal będą akceptowane) lub +, który określa, że każdy serwer będzie mógł wysyłać emaile w imieniu Twojej domeny, co jest zdecydowanie odradzane.

Jeśli masz już skonfigurowany SPF dla swojej domeny, możesz również skorzystać z naszego darmowego SPF record checker, aby sprawdzić i zweryfikować rekord SPF i wykryć problemy.

Częste wyzwania i błędy podczas konfigurowania SPF

1) 10 limitów DNS Lookup 

Najczęstszym wyzwaniem napotykanym przez właścicieli domen podczas konfigurowania i przyjmowania protokołu uwierzytelniającego SPF dla ich domeny, jest to, że SPF posiada limit na liczbę wyszukiwań DNS, który nie może przekroczyć 10. Dla domen polegających na wielu dostawcach zewnętrznych, limit 10 wyszukiwań DNS łatwo przekroczyć, co z kolei łamie SPF i zwraca SPF PermError. Serwer odbiorczy w takich przypadkach automatycznie unieważnia Twój rekord SPF i blokuje go.

Mechanizmy inicjujące wyszukiwanie DNS: MX, A, INCLUDE, modyfikator REDIRECT

2) SPF Void Lookup 

Void lookups odnoszą się do DNS lookups, które albo zwracają odpowiedź NOERROR albo NXDOMAIN (void answer). Podczas implementacji SPF zaleca się, aby upewnić się, że wyszukiwania DNS nie zwracają w pierwszej kolejności odpowiedzi void.

3) Pętla rekursywna SPF

Ten błąd wskazuje, że rekord SPF dla podanej domeny zawiera rekurencyjne problemy z jednym lub więcej mechanizmów INCLUDE. Dzieje się tak, gdy jedna z domen określonych w znaczniku INCLUDE zawiera domenę, której rekord SPF zawiera znacznik INCLUDE oryginalnej domeny. Prowadzi to do niekończącej się pętli powodującej, że serwery pocztowe stale wykonują wyszukiwania DNS dla rekordów SPF. Ostatecznie prowadzi to do przekroczenia limitu 10 wyszukiwań DNS, w wyniku czego emaile nie przechodzą SPF.

4) Błędy składni 

Rekord SPF może istnieć w DNS Twojej domeny, ale jest bezużyteczny, jeśli zawiera błędy w składni. Jeśli Twój rekord SPF TXT zawiera niepotrzebne białe spacje podczas wpisywania nazwy domeny lub nazwy mechanizmu, ciąg znaków poprzedzający dodatkową spację zostanie całkowicie zignorowany przez serwer odbierający podczas wykonywania wyszukiwania, tym samym unieważniając rekord SPF.

5) Wiele rekordów SPF dla tej samej domeny

Pojedyncza domena może mieć tylko jeden wpis SPF TXT w DNS. Jeśli Twoja domena zawiera więcej niż jeden rekord SPF, serwer odbierający unieważnia je wszystkie, powodując, że emaile nie spełniają SPF.

6) Długość rekordu SPF 

Maksymalna długość rekordu SPF w DNS jest ograniczona do 255 znaków. Jednakże, limit ten może zostać przekroczony i rekord TXT dla SPF może zawierać wiele ciągów znaków połączonych razem, ale nie więcej niż limit 512 znaków, aby zmieścić się w odpowiedzi na zapytanie DNS (zgodnie z RFC 4408). Chociaż zostało to później poprawione, odbiorcy polegający na starszych wersjach DNS nie byli w stanie zweryfikować emaili wysłanych z domen zawierających długi rekord SPF.

Optymalizacja rekordu SPF

Aby szybko zmodyfikować swój rekord SPF, możesz skorzystać z następujących najlepszych praktyk SPF:

  • Spróbuj wpisać swoje źródła emaili w porządku malejącym od lewej do prawej w swoim rekordzie SPF
  • Usuń nieaktualne źródła email z DNS
  • Użyj mechanizmów IP4/IP6 zamiast A i MX
  • Utrzymuj liczbę mechanizmów INCLUDE na jak najniższym poziomie i unikaj zagnieżdżonych include'ów.
  • Nie publikuj więcej niż jednego rekordu SPF dla tej samej domeny w swoim DNS
  • Upewnij się, że Twój rekord SPF nie zawiera żadnych zbędnych białych spacji lub błędów w składni

Uwaga: SPF flattening nie jest zalecany, ponieważ nie jest to jednorazowa transakcja. Jeśli Twój dostawca usług email zmieni swoją infrastrukturę, będziesz musiał odpowiednio zmienić swoje rekordy SPF, za każdym razem.

Optymalizacja rekordu SPF jest łatwa dzięki PowerSPF

Możesz spróbować wdrożyć wszystkie powyższe modyfikacje, aby zoptymalizować rekord SPF ręcznie, lub możesz zapomnieć o kłopotach i polegać na naszym dynamicznym PowerSPF, który zrobi to wszystko za Ciebie automatycznie! PowerSPF pomoże Ci zoptymalizować Twój rekord SPF za pomocą jednego kliknięcia, dzięki któremu możesz:

  • Dodawanie i usuwanie źródeł wysyłania z łatwością
  • Łatwa aktualizacja rekordów bez konieczności ręcznego wprowadzania zmian w DNS
  • Uzyskaj zoptymalizowany automatyczny rekord SPF za pomocą jednego kliknięcia przycisku
  • Trzymaj się poniżej limitu 10 zapytań DNS przez cały czas
  • Pomyślnie złagodzono PermError
  • Zapomnij o błędach składni rekordu SPF i problemach z konfiguracją
  • Zdejmujemy z Ciebie ciężar rozwiązywania ograniczeń SPF w Twoim imieniu

Zapisz się do PowerDMARC już dziś, aby na zawsze pożegnać się z ograniczeniami SPF!