Stanowiska

Bardzo częstym problemem, z którym użytkownicy SPF spotykają się na co dzień, jest ryzyko generowania zbyt wielu odwołań do DNS, co może spowodować, że łatwo przekroczą twardy limit SPF. Zwraca to wynik SPF PermError kiedy monitoring DMARC jest włączony i powoduje problemy z dostarczalnością emaili. Dzięki ekspertom z branży, którzy proponują rozwiązania takie jak SPF flattening, aby złagodzić ten problem, PowerSPF faktycznie spełnia swoje założenia i przekracza oczekiwania. Czytaj dalej, aby dowiedzieć się jak!

Zbyt wiele wyszukiwań DNS: Dlaczego tak się dzieje?

Pierwszą rzeczą, którą należy zrozumieć jest to, dlaczego kończy się generowanie zbyt wielu wyszukiwań DNS w pierwszej kolejności. Dzieje się tak dlatego, że bez względu na to, jakiego rozwiązania wymiany poczty używasz, Twój dostawca usług dodaje więcej mechanizmów do Twojego rekordu, co skutkuje większą liczbą odszukań.

Na przykład, jeśli korzystasz z poczty Google, czyli Gmaila, rekord SPF taki jak v=spf1 include:[email protected] -all w rzeczywistości generuje w sumie 4 wyszukiwania DNS. Zagnieżdżone rekordy również inicjują więcej odszukiwań i jeśli używasz kilku zewnętrznych dostawców do wysyłania e-maili przy użyciu Twojej domeny, możesz łatwo przekroczyć limit 10 odszukiwań DNS.

Czy spłaszczanie SPF jest rozwiązaniem? Nie!

Odpowiedź brzmi: nie. Ręczne spłaszczanie SPF może pomóc Ci pozostać poniżej limitu SPF 10 lookupów, ale ma swój własny zestaw ograniczeń i wyzwań. Jeśli spłaszczasz SPF ręcznie, to po prostu zastępujesz deklaracje include w rekordzie SPF odpowiadającymi im adresami IP, aby wyeliminować potrzebę odszukiwania. Gwarantuje to, że nie skończysz generując zbyt wiele wyszukiwań DNS w pierwszej kolejności, pomagając w ten sposób pozostać poniżej limitu 10 wyszukiwań SPF i uniknąć permerror . Ale problemy z ręcznymi rozwiązaniami spłaszczania SPF są:

  • Długość rekordu SPF może być zbyt duża (więcej niż 255 znaków)
  • Twój dostawca usług poczty elektronicznej może zmieniać lub dodawać swoje adresy IP bez powiadamiania Cię o tym.
  • Nie ma pulpitu nawigacyjnego do monitorowania przepływu e-maili, zmiany lub aktualizacji domen i mechanizmów oraz śledzenia aktywności.
  • Musisz stale wprowadzać zmiany w DNS, aby zaktualizować rekord SPF
  • Częste zmiany adresów IP mogą mieć wpływ na dostarczalność Twoich wiadomości e-mail.

Jak to wpływa na Ciebie? Cóż, jeśli Twój rekord SPF nie jest zaktualizowany na nowych adresach IP, których używają Twoi dostawcy usług email, to od czasu do czasu, gdy te adresy IP są używane, Twoje emaile nieuchronnie nie będą miały SPF po stronie odbiorcy .

Dynamic SPF Flattening to Resolve Too Many DNS Lookups

Mądrzejszym rozwiązaniem, aby pożegnać się z błędem DNS lookups jest PowerSPF, automatyczny SPF record flattener. PowerSPF jest rozwiązaniem spłaszczającym SPF w czasie rzeczywistym, które pomaga:

  • Łatwo skonfiguruj SPF dla swojej domeny za pomocą kilku kliknięć
  • Jedno kliknięcie, natychmiastowe spłaszczenie rekordu SPF za pomocą pojedynczej instrukcji include, aby korzystać z automatycznego zarządzania SPF include
  • Zawsze nie przekraczaj limitu 10 odwołań do DNS
  • Automatyczna aktualizacja netblocka i ciągłe skanowanie w poszukiwaniu zmienionych adresów IP, aby utrzymać aktualność rekordu SPF
  • Utrzymanie przyjaznego dla użytkownika pulpitu nawigacyjnego, w którym można łatwo aktualizować zmiany w polityce, dodawać domeny i mechanizmy oraz monitorować przepływ wiadomości e-mail.

Po co polegać na narzędziach kompresji SPF, które mogą zapewnić tymczasowe rezultaty z podstawowymi ograniczeniami? Zoptymalizuj swój Rekord SPF i złagodź twardy limit SPF z Automatycznym SPF już dziś! Zapisz się do PowerSPF teraz?

Powody, dla których należy unikać SPF Flattening

Sender Policy Framework, lub SPF jest powszechnie uznawanym protokołem uwierzytelniania emaili, który waliduje Twoje wiadomości poprzez uwierzytelnianie ich względem wszystkich autoryzowanych adresów IP zarejestrowanych dla Twojej domeny w rekordzie SPF. W celu walidacji emaili, SPF wymaga od serwera pocztowego, aby wykonał zapytanie DNS w celu sprawdzenia autoryzowanych adresów IP, co skutkuje wyszukiwaniem w DNS.

Twój rekord SPF istnieje jako rekord DNS TXT, który jest utworzony z zespołu różnych mechanizmów. Większość z tych mechanizmów (takich jak include, a, mx, redirect, exists, ptr) generuje wyszukiwania DNS. Jednakże, maksymalna liczba wyszukiwań DNS dla uwierzytelnienia SPF jest ograniczona do 10. Jeśli używasz różnych zewnętrznych dostawców do wysyłania emaili używając swojej domeny, możesz łatwo przekroczyć twardy limit SPF.

Możesz się zastanawiać, co się stanie, jeśli przekroczysz ten limit? Przekroczenie limitu 10 DNS lookup doprowadzi do niepowodzenia SPF i unieważni nawet legalne wiadomości wysłane z Twojej domeny. W takich przypadkach odbierający serwer pocztowy zwraca raport SPF PermError do Twojej domeny, jeśli masz włączone monitorowanie DMARC.To sprawia, że dochodzimy do głównego tematu dyskusji na tym blogu: SPF flattening.

Co to jest SPF Flattening?

Spłaszczanie rekordu SPF jest jedną z popularnych metod używanych przez ekspertów branżowych do optymalizacji rekordu SPF i uniknięcia przekroczenia twardego limitu SPF. Procedura spłaszczania SPF jest dość prosta. Spłaszczanie rekordu SPF to proces zastępowania wszystkich mechanizmów include ich odpowiednimi adresami IP, aby wyeliminować potrzebę wykonywania wyszukiwań DNS.

Na przykład, jeśli Twój rekord SPF początkowo wyglądał tak:

v=spf1 include:spf.domain.com -all

Spłaszczony rekord SPF będzie wyglądał mniej więcej tak:

v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -all

Ten spłaszczony rekord generuje tylko jedno odszukanie DNS, zamiast wykonywania wielu odszukań. Zmniejszenie liczby zapytań DNS wykonywanych przez serwer odbiorczy podczas uwierzytelniania emaila pomaga w utrzymaniu się poniżej limitu 10 zapytań DNS, jednak ma swoje własne problemy.

Problem z SPF Flattening

Pomijając fakt, że Twój ręcznie spłaszczony rekord SPF może stać się zbyt długi do opublikowania w DNS Twojej domeny (przekraczając limit 255 znaków), musisz wziąć pod uwagę, że Twój dostawca usług email może zmienić lub dodać do swoich adresów IP bez powiadamiania Ciebie jako użytkownika. Co jakiś czas, gdy Twój dostawca wprowadza zmiany w swojej infrastrukturze, zmiany te nie będą odzwierciedlone w Twoim rekordzie SPF. W związku z tym, gdy te zmienione lub nowe adresy IP są używane przez Twój serwer pocztowy, email nie przejdzie SPF po stronie odbiorcy.

PowerSPF: Twój dynamiczny generator rekordów SPF

Ostatecznym celem PowerDMARC było wymyślenie rozwiązania, które może zapobiec uderzeniu właścicieli domen w limit 10 wyszukiwań DNS, jak również zoptymalizować Twój rekord SPF tak, aby zawsze był na bieżąco z najnowszymi adresami IP, których używają Twoi dostawcy usług email. PowerSPF jest zautomatyzowanym rozwiązaniem SPF flattening, które przeciąga rekord SPF w celu wygenerowania pojedynczego oświadczenia include. PowerSPF pomoże Ci:

  • Łatwe dodawanie i usuwanie adresów IP oraz mechanizmów
  • Automatyczna aktualizacja blokad sieci, aby upewnić się, że autoryzowane adresy IP są zawsze aktualne
  • Nie przekraczaj limitu 10 zapytań DNS z łatwością
  • Uzyskaj zoptymalizowany rekord SPF za pomocą jednego kliknięcia
  • Permanentnie pokonać 'permerror'
  • Wdrożenie bezbłędnego SPF

Zarejestruj się w PowerDMARC już dziś, aby zapewnić lepszą dostarczalność i uwierzytelnianie wiadomości e-mail, a jednocześnie nie przekroczyć limitu 10 wyszukiwań DNS SPF .

W tym artykule, będziemy badać, jak zoptymalizować rekord SPF łatwo dla Twojej domeny. Dla przedsiębiorstw, jak również małych firm, które są w posiadaniu domeny e-mail do wysyłania i odbierania wiadomości wśród swoich klientów, partnerów i pracowników, jest bardzo prawdopodobne, że rekord SPF istnieje domyślnie, który został ustawiony przez dostawcę usług skrzynki odbiorczej. Bez względu na to, czy masz już istniejący rekord SPF, czy musisz utworzyć nowy, musisz zoptymalizować rekord SPF poprawnie dla swojej domeny, aby upewnić się, że nie powoduje on problemów z dostarczaniem wiadomości e-mail.

Niektórzy odbiorcy emaili ściśle wymagają SPF, co oznacza, że jeśli nie masz opublikowanego rekordu SPF dla swojej domeny, Twoje emaile mogą zostać oznaczone jako spam w skrzynce odbiorczej Twojego odbiorcy. Ponadto, SPF pomaga w wykrywaniu nieautoryzowanych źródeł wysyłających emaile w imieniu Twojej domeny.

Najpierw zrozummy, co to jest SPF i dlaczego go potrzebujesz?

Sender Policy Framework (SPF)

SPF jest zasadniczo standardowym protokołem uwierzytelniania emaili, który określa adresy IP, które są upoważnione do wysyłania emaili z Twojej domeny. Działa on poprzez porównywanie adresów nadawców z listą autoryzowanych hostów wysyłających i adresów IP dla konkretnej domeny, która jest opublikowana w DNS dla tej domeny.

SPF, wraz z DMARC (Domain-based Message Authentication, Reporting and Conformance) jest zaprojektowany do wykrywania fałszywych adresów nadawcy podczas dostarczania wiadomości e-mail i zapobiegania atakom spoofingowym, phishingowi i oszustwom e-mailowym.

Ważne jest, aby wiedzieć, że chociaż domyślny SPF zintegrowany z Twoją domeną przez dostawcę usług hostingowych zapewnia, że e-maile wysyłane z Twojej domeny są uwierzytelniane względem SPF, jeśli masz wielu dostawców zewnętrznych do wysyłania e-maili z Twojej domeny, ten istniejący wcześniej rekord SPF musi być dostosowany i zmodyfikowany do Twoich wymagań. Jak możesz to zrobić? Przeanalizujmy dwa z najbardziej popularnych sposobów:

  • Tworzenie nowego rekordu SPF
  • Optymalizacja istniejącego rekordu SPF

Instrukcja jak zoptymalizować rekord SPF

Utwórz zupełnie nowy rekord SPF

Tworzenie rekordu SPF jest po prostu publikacją rekordu TXT w DNS Twojej domeny, aby skonfigurować SPF dla Twojej domeny. Jest to obowiązkowy krok, który należy wykonać przed rozpoczęciem optymalizacji rekordu SPF. Jeśli dopiero zaczynasz swoją przygodę z uwierzytelnianiem i nie jesteś pewien składni, możesz użyć naszego darmowego generatora rekordów SPF online, aby utworzyć rekord SPF dla swojej domeny.

Wpis rekordu SPF z poprawną składnią będzie wyglądał mniej więcej tak:

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Określa wersję SPF, która jest używana
ip4/ip6Ten mechanizm określa prawidłowe adresy IP, które są upoważnione do wysyłania wiadomości e-mail z Twojej domeny.
zamieścićTen mechanizm mówi serwerom odbierającym, aby włączyły wartości dla rekordu SPF określonej domeny.
-allTen mechanizm określa, że emaile, które nie są zgodne z SPF będą odrzucane. Jest to zalecany znacznik, którego możesz użyć publikując swój rekord SPF. Może on jednak zostać zastąpiony przez ~ dla SPF Soft Fail (emaile niezgodne z SPF będą oznaczone jako soft fail, ale nadal będą akceptowane) lub +, który określa, że każdy serwer będzie mógł wysyłać emaile w imieniu Twojej domeny, co jest zdecydowanie odradzane.

Jeśli masz już skonfigurowany SPF dla swojej domeny, możesz również skorzystać z naszego darmowego SPF record checker, aby sprawdzić i zweryfikować rekord SPF i wykryć problemy.

Częste wyzwania i błędy podczas konfigurowania SPF

1) 10 limitów DNS Lookup 

Najczęstszym wyzwaniem napotykanym przez właścicieli domen podczas konfigurowania i przyjmowania protokołu uwierzytelniającego SPF dla ich domeny, jest to, że SPF posiada limit na liczbę wyszukiwań DNS, który nie może przekroczyć 10. Dla domen polegających na wielu dostawcach zewnętrznych, limit 10 wyszukiwań DNS łatwo przekroczyć, co z kolei łamie SPF i zwraca SPF PermError. Serwer odbiorczy w takich przypadkach automatycznie unieważnia Twój rekord SPF i blokuje go.

Mechanizmy inicjujące wyszukiwanie DNS: MX, A, INCLUDE, modyfikator REDIRECT

2) SPF Void Lookup 

Void lookups odnoszą się do DNS lookups, które albo zwracają odpowiedź NOERROR albo NXDOMAIN (void answer). Podczas implementacji SPF zaleca się, aby upewnić się, że wyszukiwania DNS nie zwracają w pierwszej kolejności odpowiedzi void.

3) Pętla rekursywna SPF

Ten błąd wskazuje, że rekord SPF dla podanej domeny zawiera rekurencyjne problemy z jednym lub więcej mechanizmów INCLUDE. Dzieje się tak, gdy jedna z domen określonych w znaczniku INCLUDE zawiera domenę, której rekord SPF zawiera znacznik INCLUDE oryginalnej domeny. Prowadzi to do niekończącej się pętli powodującej, że serwery pocztowe stale wykonują wyszukiwania DNS dla rekordów SPF. Ostatecznie prowadzi to do przekroczenia limitu 10 wyszukiwań DNS, w wyniku czego emaile nie przechodzą SPF.

4) Błędy składni 

Rekord SPF może istnieć w DNS Twojej domeny, ale jest bezużyteczny, jeśli zawiera błędy w składni. Jeśli Twój rekord SPF TXT zawiera niepotrzebne białe spacje podczas wpisywania nazwy domeny lub nazwy mechanizmu, ciąg znaków poprzedzający dodatkową spację zostanie całkowicie zignorowany przez serwer odbierający podczas wykonywania wyszukiwania, tym samym unieważniając rekord SPF.

5) Wiele rekordów SPF dla tej samej domeny

Pojedyncza domena może mieć tylko jeden wpis SPF TXT w DNS. Jeśli Twoja domena zawiera więcej niż jeden rekord SPF, serwer odbierający unieważnia je wszystkie, powodując, że emaile nie spełniają SPF.

6) Długość rekordu SPF 

Maksymalna długość rekordu SPF w DNS jest ograniczona do 255 znaków. Jednakże, limit ten może zostać przekroczony i rekord TXT dla SPF może zawierać wiele ciągów znaków połączonych razem, ale nie więcej niż limit 512 znaków, aby zmieścić się w odpowiedzi na zapytanie DNS (zgodnie z RFC 4408). Chociaż zostało to później poprawione, odbiorcy polegający na starszych wersjach DNS nie byli w stanie zweryfikować emaili wysłanych z domen zawierających długi rekord SPF.

Optymalizacja rekordu SPF

Aby szybko zmodyfikować swój rekord SPF, możesz skorzystać z następujących najlepszych praktyk SPF:

  • Spróbuj wpisać swoje źródła emaili w porządku malejącym od lewej do prawej w swoim rekordzie SPF
  • Usuń nieaktualne źródła email z DNS
  • Użyj mechanizmów IP4/IP6 zamiast A i MX
  • Utrzymuj liczbę mechanizmów INCLUDE na jak najniższym poziomie i unikaj zagnieżdżonych include'ów.
  • Nie publikuj więcej niż jednego rekordu SPF dla tej samej domeny w swoim DNS
  • Upewnij się, że Twój rekord SPF nie zawiera żadnych zbędnych białych spacji lub błędów w składni

Uwaga: SPF flattening nie jest zalecany, ponieważ nie jest to jednorazowa transakcja. Jeśli Twój dostawca usług email zmieni swoją infrastrukturę, będziesz musiał odpowiednio zmienić swoje rekordy SPF, za każdym razem.

Optymalizacja rekordu SPF jest łatwa dzięki PowerSPF

Możesz spróbować wdrożyć wszystkie powyższe modyfikacje, aby zoptymalizować rekord SPF ręcznie, lub możesz zapomnieć o kłopotach i polegać na naszym dynamicznym PowerSPF, który zrobi to wszystko za Ciebie automatycznie! PowerSPF pomoże Ci zoptymalizować Twój rekord SPF za pomocą jednego kliknięcia, dzięki któremu możesz:

  • Dodawanie i usuwanie źródeł wysyłania z łatwością
  • Łatwa aktualizacja rekordów bez konieczności ręcznego wprowadzania zmian w DNS
  • Uzyskaj zoptymalizowany automatyczny rekord SPF za pomocą jednego kliknięcia przycisku
  • Trzymaj się poniżej limitu 10 zapytań DNS przez cały czas
  • Pomyślnie złagodzono PermError
  • Zapomnij o błędach składni rekordu SPF i problemach z konfiguracją
  • Zdejmujemy z Ciebie ciężar rozwiązywania ograniczeń SPF w Twoim imieniu

Zapisz się do PowerDMARC już dziś, aby na zawsze pożegnać się z ograniczeniami SPF!  

Jako dostawca usług DMARC, często dostajemy to pytanie: "Jeśli DMARC po prostu używa uwierzytelniania SPF i DKIM, dlaczego powinniśmy zawracać sobie głowę DMARC? Czy to nie jest po prostu niepotrzebne?"

Na pierwszy rzut oka może się wydawać, że to niewielka różnica, ale rzeczywistość jest zupełnie inna. DMARC nie jest tylko połączeniem technologii SPF i DKIM, jest to zupełnie nowy protokół sam w sobie. Posiada on kilka cech, które czynią go jednym z najbardziej zaawansowanych standardów uwierzytelniania emaili na świecie i absolutną koniecznością dla firm.

Ale poczekaj chwilę. Nie odpowiedzieliśmy dokładnie dlaczego potrzebujesz DMARC. Co on oferuje, czego nie oferują SPF i DKIM? Cóż, to dość długa odpowiedź; zbyt długa jak na jeden wpis na blogu. Więc podzielmy to i porozmawiajmy najpierw o SPF. Na wypadek gdybyś nie był z nim zaznajomiony, oto krótkie wprowadzenie.

Co to jest SPF?

SPF, lub Sender Policy Framework, jest protokołem uwierzytelniania emaili, który chroni odbiorcę emaili przed spoofed emailami. Jest to w zasadzie lista wszystkich adresów IP upoważnionych do wysyłania emaili poprzez Twoje (właściciela domeny) kanały. Kiedy serwer odbiorczy widzi wiadomość z Twojej domeny, sprawdza Twój rekord SPF, który jest opublikowany w Twoim DNS. Jeśli IP nadawcy znajduje się na tej "liście", email zostaje dostarczony. Jeśli nie, serwer odrzuca wiadomość.

Jak widać, SPF całkiem nieźle radzi sobie z ochroną przed wieloma nieprzyjemnymi emailami, które mogą uszkodzić Twoje urządzenie lub narazić na szwank systemy bezpieczeństwa Twojej organizacji. Ale SPF nie jest tak dobry jak niektórzy mogą myśleć. Dzieje się tak dlatego, że ma kilka bardzo poważnych wad. Porozmawiajmy o niektórych z tych problemów.

Ograniczenia SPF

Rekordy SPF nie mają zastosowania do adresu From.

E-maile mają wiele adresów identyfikujących ich nadawcę: adres Od, który zwykle widzisz, oraz adres Ścieżki zwrotnej, który jest ukryty i wymaga jednego lub dwóch kliknięć, aby go zobaczyć. Z włączonym SPF, serwer odbierający email patrzy na ścieżkę zwrotną i sprawdza rekordy SPF domeny z tego adresu.

Problem polega na tym, że atakujący mogą to wykorzystać, używając fałszywej domeny w adresie ścieżki zwrotnej i legalnego (lub wyglądającego na legalny) adresu e-mail w sekcji Od. Nawet jeśli odbiorca sprawdziłby identyfikator nadawcy, najpierw zobaczyłby adres From i zazwyczaj nie zawracałby sobie głowy sprawdzaniem Return Path. W rzeczywistości, większość ludzi nie jest nawet świadoma istnienia czegoś takiego jak adres Return Path.

SPF może być dość łatwo ominięty przez użycie tej prostej sztuczki, a to sprawia, że nawet domeny zabezpieczone SPF są w dużej mierze podatne na ataki.

Rekordy SPF mają ograniczenie DNS lookup

Rekordy SPF zawierają listę wszystkich adresów IP, które zostały upoważnione przez właściciela domeny do wysyłania e-maili. Jednakże, mają one zasadniczą wadę. Serwer odbiorczy musi sprawdzić rekord, aby sprawdzić czy nadawca jest autoryzowany, a żeby zmniejszyć obciążenie serwera, rekordy SPF mają limit 10 odwołań do DNS.

Oznacza to, że jeśli Twoja organizacja korzysta z wielu zewnętrznych dostawców, którzy wysyłają e-maile przez Twoją domenę, rekord SPF może przekroczyć ten limit. O ile nie zostaną odpowiednio zoptymalizowane (co nie jest łatwe do zrobienia samemu), rekordy SPF będą miały bardzo restrykcyjny limit. Gdy przekroczysz ten limit, implementacja SPF zostanie uznana za niepoprawną, a Twój email nie otrzyma SPF. Może to potencjalnie zaszkodzić Twoim wskaźnikom dostarczalności emaili.

 

SPF nie zawsze działa, gdy email jest przekazywany dalej

SPF ma jeszcze jeden krytyczny punkt awarii, który może zaszkodzić dostarczalności Twoich emaili. Jeśli zaimplementowałeś SPF na swojej domenie i ktoś przekazuje dalej Twoją wiadomość, przekazana wiadomość może zostać odrzucona z powodu Twojej polityki SPF.

Dzieje się tak, ponieważ przekazana wiadomość zmieniła odbiorcę, ale adres nadawcy pozostał ten sam. Staje się to problemem, ponieważ wiadomość zawiera adres From oryginalnego nadawcy, ale serwer odbierający widzi inny IP. Adres IP serwera przekierowującego nie jest zawarty w rekordzie SPF oryginalnej domeny nadawcy. Może to spowodować odrzucenie wiadomości przez serwer odbierający.

W jaki sposób DMARC rozwiązuje te problemy?

DMARC używa kombinacji SPF i DKIM do uwierzytelniania emaili. Email musi przejść albo SPF albo DKIM aby przejść DMARC i zostać pomyślnie dostarczony. DMARC dodaje również jedną kluczową cechę, która czyni go o wiele bardziej efektywnym niż SPF lub DKIM: Raportowanie.

Dzięki raportowaniu DMARC, otrzymujesz codzienną informację zwrotną na temat statusu Twoich kanałów e-mail. Obejmuje to informacje o wyrównaniu DMARC, dane o mailach, które nie przeszły uwierzytelnienia oraz szczegóły dotyczące potencjalnych prób spoofingu.

Jeśli zastanawiasz się, co możesz zrobić, aby nie dać się nabrać na spoofing, zapoznaj się z naszym podręcznym przewodnikiem na temat 5 sposobów unikania spoofingu pocztyelektronicznej.