Sender Policy Framework lub SPF nie wystarcza do zabezpieczenia firmowych e-maili przed phishingiem i spamem atakami. Limit SPF na maksymalną liczbę wyszukiwań DNS i nierównorzędność adresu From i domeny powodują błędy w implementacji skutkujące problemami z dostarczalnością emaili. Ten blog omawia te problemy i jak DMARC pomaga przezwyciężyć te ograniczenia SPF.

Jakie są ograniczenia Rekordu SPF?

Istnieją 2 główne ograniczenia SPF, które sprawiają, że jest to trochę trudne do wdrożenia i utrzymania. 

1. Limit SPF 10-Lookup

Kiedy użytkownik zadaje pytanie do serwera DNS, jego zasoby walidatora takie jak pasmo, czas, CPU i pamięć są wykorzystywane. Aby uniknąć obciążenia walidatora, istnieje limit SPF wynoszący 10 dodatkowych zapytań. Jednakże, zapytanie DNS dla samego rekordu polityki SPF nie wlicza się do tego limitu.

Zgodnie z RFC7208 sekcja 4.6.4, serwer pocztowy odbiorcy nie powinien przetwarzać dalej po osiągnięciu limitu 10-lookupów. W takim przypadku email odrzuca walidację SPF z błędem Permerror. SPF Permerror jest jednym z komunikatów, które często pojawiają się w procesie implementacji SPF. Powoduje on niedostarczenie emaila i pojawia się w przypadku istnienia wielu rekordów SPF w jednej domenie, błędu składni lub z powodu przekroczenia limitu rekordów SPF.

Możesz skorzystać z darmowego SPF record checker aby wyeliminować ten błąd i zapewnić bezpieczne rozmowy e-mail.

Ponadto, zgodnie z RFC, zapytanie DNS o nazwę hosta znajdującą się w rekordzie MX nie powinno wygenerować więcej niż 10 rekordów A lub rekordów AAAA. Jeśli zapytanie DNS PTR generuje więcej niż 10 wyników, tylko pierwsze 10 wyników jest wyświetlane i używane.

2. Adres "od" czytelny dla człowieka

Drugim ograniczeniem SPF jest to, że rekordy SPF odnoszą się do konkretnych domen Return-Path, a nie do adresu From. Odbiorcy zazwyczaj nie zwracają uwagi na adres Return-Path i skupiają się tylko na adresie From, kiedy otwierają wiadomość. Hakerzy wykorzystują tę lukę do prób ataków phishingowych poprzez fałszowanie adresu From.

Wpływ rozmiaru rekordu SPF na dostarczanie wiadomości e-mail

Gdy odbiorca przekracza limit rekordów SPF, nie przechodzi kontroli SPF i pojawia się Permerror. Możesz zaobserwować ten błąd podczas korzystania z monitoringu DMARC. Odbiorca może wybrać jak poradzić sobie z emailami z błędem Permerror. Może wybrać, aby odrzucić jego wpis, co oznacza, że email będzie się odbijał. Niektórzy odbiorcy konfigurują go tak, aby pokazywał 'neutralny' wynik SPF (tak jakby SPF nie był używany). Mogą również wybrać 'fail' lub 'softfail' co oznacza, że emaile, które nie przejdą kontroli autentyczności SPF nie zostaną odrzucone, ale wylądują w folderze spam. 

Wyniki te są również określane poprzez uwzględnienie wyników DMARC, DKIM i oceny spamu. Przekroczenie limitu SPF ma wpływ na dostarczalność emaili poprzez zmniejszenie prawdopodobieństwa, że emaile wylądują w głównej skrzynce odbiorczej adresatów.

Walidator ocenia politykę SPF od lewej do prawej strony i kiedy zostanie znalezione dopasowanie na adresie IP nadawcy, proces się kończy. Obecnie, w zależności od nadawcy, walidator może nie zawsze osiągnąć limit lookupów, nawet jeśli polityka SPF wymaga więcej niż 10 lookupów do pełnej oceny. Powoduje to trudności w identyfikacji problemów z dostarczalnością emaili związanych z limitem rekordów SPF. 

Jak zmniejszyć liczbę wymaganych wyszukiwań?

Niektórym właścicielom domen trudno jest zmieścić się w limicie SPF wynoszącym 10 odszukań, ponieważ zwyczaje związane z wymianą poczty elektronicznej znacznie się zmieniły od 2006 roku (czasu, kiedy wdrożono RFC4408). Teraz firmy korzystają z wielu programów i usług w chmurze z jedną domeną. Tak więc, poniżej przedstawiono kilka sposobów na pokonanie tego wspólnego ograniczenia SPF.

• Usuń nieużywane usługi

Oceń swój rekord SF i spójrz, czy są jakieś niewykorzystane lub niewymagane usługi. Sprawdź, czy nie ma w niminclude' lub innych mechanizmów, które pokazują domeny usług, które nie są już używane.

• Usuń domyślne wartości SPF

Domyślna polityka SPF jest zwykle ustawiona nav=spf1 a mx'. Ponieważ większość rekordów A i AAAA jest używana dla serwerów internetowych, które mogą nie wysyłać e-maili, stąd 'a' i 'mx' mechanizm nie są wymagane.

• Unikaj używania ptr Mechanizm

Strona ptr Mechanizm jest wysoce odradzany z powodu słabego bezpieczeństwa i zawodności. Mechanizm ten powoduje problem limitu SPF poprzez wymaganie większej ilości looku. Dlatego należy go unikać jak tylko się da

• Unikaj używania mx Mechanizm

Strona mx mechanizm jest używany do odbierania wiadomości e-mail, a niekoniecznie do ich wysyłania. Dlatego możesz uniknąć używania go, aby pozostać w granicach limitu rekordów SPF ustawionych na looku. Jeśli jesteś użytkownikiem usługi poczty elektronicznej w chmurze, użyj mechanizmu 'include mechanizm zamiast tego.

• Użyj IPv6 lub IPv4 

IPv4 i IPv6 nie potrzebują żadnych dodatkowych odszukiwań, co oznacza, że pomagają nie przekroczyć limitu SPF, który wynosi nie więcej niż 10 odszukiwań. Musisz jednak regularnie aktualizować i utrzymywać te dwa mechanizmy, ponieważ są one bardziej podatne na błędy, gdy nie są regenerowane.

• Nie spłaszczaj płyt SPF

Niektóre zasoby twierdzą, że im bardziej spłaszczona (lub krótsza) polityka SPF, tym lepsza reputacja domeny. Sugerują tę metodę, aby pozostać w granicach rekordów SPF ustawionych na looku. Jednak spłaszczanie jest odradzane, ponieważ sprawia, że twój rekord jest bardziej podatny na błędy i wymaga regularnych aktualizacji. 

Rola DMARC w pokonywaniu ograniczeń SPF

DMARC rozwiązuje ograniczenie SPF dotyczące czytelnego dla człowieka adresu From, wymagając dopasowania lub wyrównania między czytelnym dla człowieka polem From a serwerem uwierzytelnionym przez SPF.

Jeśli więc email przejdzie kontrolę SPF, ale domena nie jest taka sama jak adres Od, DMARC unieważnia to uwierzytelnienie. Oznacza to, że email nie przejdzie testu uwierzytelniania.

Jak spłaszczenie rekordu SPF pomaga pokonać limit 10 wyszukiwań DNS

Spłaszczanie rekordów SPF jest techniką używaną do optymalizacji rekordów SPF (Sender Policy Framework), aby pokonać limit 10 zapytań DNS dla SPF. Limit 10 wyszukiwań DNS jest ograniczeniem nałożonym przez wiele resolwerów DNS, który ogranicza liczbę zapytań DNS, które mogą być wykonane podczas weryfikacji rekordu SPF dla domeny.

Kiedy email jest odbierany, serwer pocztowy odbiorcy pyta DNS domeny nadawcy o jej rekord SPF, aby sprawdzić czy nadawca jest upoważniony do wysyłania emaili z tej domeny. Jednakże, jeśli rekord SPF zawiera wiele zagnieżdżonych elementów, może szybko przekroczyć limit 10 wyszukiwań DNS, co prowadzi do niepowodzenia weryfikacji SPF i fałszywie pozytywnych detekcji spamu.

Aby pokonać to ograniczenie, stosuje się spłaszczanie rekordów SPF. Spłaszczenie rekordu SPF jest techniką, która zastępuje wszystkie zagnieżdżone deklaracje include w rekordzie SPF odpowiadającymi im adresami IP lub zakresami CIDR. To zmniejsza liczbę zapytań DNS wymaganych do weryfikacji rekordu SPF, ponieważ każda dołączona domena nie jest już odpytywana indywidualnie.

Poprzez spłaszczenie rekordu SPF, liczba zapytań DNS wymaganych do weryfikacji rekordu SPF jest znacznie zredukowana, co pozwala wiadomościom e-mail przejść weryfikację SPF, nawet jeśli oryginalny rekord miał więcej niż 10 zapytań DNS. Technika ta zmniejsza również ryzyko niepowodzenia walidacji rekordu SPF z powodu timeoutów zapytań DNS lub tymczasowych problemów z serwerem DNS.

Wyzwania związane z wdrażaniem SPF w dużych przedsiębiorstwach

SPF wymusił ograniczenie do nie więcej niż 10 lookups, aby zapobiec atakom DoS i DDoS. Niestety, te looki mogą się bardzo szybko sumować, zwłaszcza w dużych przedsiębiorstwach. Wcześniej firmy obsługiwały własne serwery pocztowe, jednak teraz korzystają z nadawców zewnętrznych. Stwarza to problem, ponieważ każdy z nich może zająć do 3 lub 4 serwerów i bardzo szybko osiągasz limit.