Stanowiska

Standardy uwierzytelniania poczty elektronicznej: SPF, DKIM i DMARC okazują się obiecujące w ograniczaniu prób spoofingu emaili i poprawie dostarczalności emaili. Standardy uwierzytelniania emaili, odróżniając spoofed (fałszywe) emaile od tych legalnych, idą dalej w odróżnianiu czy email jest legalny poprzez weryfikację tożsamości nadawcy.

W miarę jak coraz więcej organizacji będzie przyjmować te standardy, ogólny przekaz zaufania i autorytetu w komunikacji e-mailowej zacznie się umacniać. Każda firma, której działalność zależy od e-mail marketingu, zapytań projektowych, transakcji finansowych i ogólnej wymiany informacji w ramach lub pomiędzy firmami, musi zrozumieć podstawy tego, co te rozwiązania są przeznaczone do osiągnięcia i jakie korzyści mogą z nich uzyskać.

Co to jest Email Spoofing?

Spoofing poczty elektronicznej jest częstym problemem związanym z bezpieczeństwem cybernetycznym, z którym borykają się dzisiejsze firmy. W tym artykule zrozumiemy, jak działa spoofing i jakie są różne metody walki z nim. Dowiemy się o trzech standardach uwierzytelniania używanych przez dostawców poczty elektronicznej - SPF, DKIM i DMARC, aby zapobiec temu zjawisku.

Spofing poczty elektronicznej może być sklasyfikowany jako zaawansowany atak socjotechniczny, który wykorzystuje kombinację wyrafinowanych technik do manipulowania środowiskiem wiadomości i wykorzystywania legalnych funkcji poczty elektronicznej. Wiadomości te często wyglądają na całkowicie legalne, ale są zaprojektowane z zamiarem uzyskania dostępu do informacji i/lub zasobów użytkownika. Email spoofing jest wykorzystywany do różnych celów, od prób popełnienia oszustwa, do naruszania bezpieczeństwa, a nawet do prób uzyskania dostępu do poufnych informacji biznesowych. Jako bardzo popularna forma fałszowania wiadomości e-mail, ataki spoofingowe mają na celu wprowadzenie odbiorców w błąd i przekonanie ich, że wiadomość e-mail została wysłana od firmy, z której usług korzystają i której mogą zaufać, a nie od rzeczywistego nadawcy. Ponieważ wiadomości e-mail są coraz częściej wysyłane i odbierane masowo, ta złośliwa forma oszustwa pocztowego w ostatnich latach gwałtownie się nasiliła.

W jaki sposób uwierzytelnianie poczty elektronicznej może zapobiegać spoofingowi?

Uwierzytelnianie poczty elektronicznej pomaga zweryfikować źródła wysyłania wiadomości e-mail za pomocą protokołów takich jak SPF, DKIM i DMARC, aby zapobiec fałszowaniu nazw domen przez atakujących i przeprowadzaniu ataków spoofingowych w celu oszukania niczego niepodejrzewających użytkowników. Dostarcza weryfikowalnych informacji o nadawcach emaili, które mogą być użyte do udowodnienia ich legalności oraz określa odbiorcom MTA co zrobić z emailami, które nie przejdą uwierzytelnienia.

Stąd, aby wymienić różne korzyści z uwierzytelniania wiadomości e-mail, możemy potwierdzić, że SPF, DKIM i DMARC pomoc w:

  • Ochrona domeny przed atakami phishingowymi, spoofingiem domeny i BEC
  • Dostarczanie szczegółowych informacji i wgląd w źródła wysyłania emaili
  • Poprawa reputacji domeny i wskaźników dostarczalności wiadomości e-mail
  • Zapobieganie oznaczaniu prawidłowych wiadomości e-mail jako spamu

Jak SPF, DKIM i DMARC współpracują ze sobą, aby zapobiec spoofingowi?

Ramy polityki nadawcy

SPF jest techniką uwierzytelniania emaili używaną do zapobiegania wysyłania wiadomości przez spamerów w imieniu Twojej domeny. Dzięki niej, możesz publikować autoryzowane serwery pocztowe, dając możliwość określenia, które serwery pocztowe są upoważnione do wysyłania wiadomości w imieniu Twojej domeny. Rekord SPF jest przechowywany w DNS, wymieniając wszystkie adresy IP, które są upoważnione do wysyłania poczty dla Twojej organizacji.

Jeśli chcesz wykorzystać SPF w sposób, który zapewniłby jego prawidłowe działanie, musisz upewnić się, że SPF nie zostanie złamany dla Twoich emaili. Może się to zdarzyć w przypadku, gdy przekroczysz limit 10 DNS lookup, powodując permerror SPF. SPF flattening może pomóc Ci pozostać poniżej limitu i bezproblemowo uwierzytelniać Twoje emaile.

DomainKeys Identified Mail

Podszywanie się pod zaufanego nadawcę może być wykorzystane do oszukania odbiorcy, aby ten opuścił gardę. DKIM to rozwiązanie zabezpieczające pocztę elektroniczną, które dodaje podpis cyfrowy do każdej wiadomości przychodzącej ze skrzynki odbiorczej Twojego klienta, pozwalając odbiorcy na sprawdzenie, czy rzeczywiście została ona autoryzowana przez Twoją domenę i wpisana na listę zaufanych nadawców Twojej witryny.

DKIM dołącza unikalną wartość hash, powiązaną z nazwą domeny, do każdej wychodzącej wiadomości e-mail, umożliwiając odbiorcy sprawdzenie, czy wiadomość e-mail, która twierdzi, że pochodzi z określonej domeny, została rzeczywiście autoryzowana przez właściciela tej domeny, czy też nie. To ostatecznie pomaga w wychwytywaniu prób spoofingu.

Uwierzytelnianie, zgłaszanie i zgodność komunikatów w oparciu o domenę

Zwykłe wdrożenie SPF i DKIM może pomóc w weryfikacji źródeł wysyłania, ale nie jest wystarczająco skuteczne, aby samodzielnie powstrzymać spoofing. Aby powstrzymać cyberprzestępców przed dostarczaniem fałszywych emaili do odbiorców, musisz wdrożyć DMARC już dziś. DMARC pomaga dopasować nagłówki wiadomości e-mail do weryfikacji adresów nadawcy, demaskując próby spoofingu i nieuczciwego wykorzystania nazw domen. Co więcej, daje właścicielom domen możliwość określenia serwerom odbierającym wiadomości e-mail, w jaki sposób mają reagować na wiadomości e-mail, które nie przejdą uwierzytelnienia SPF i DKIM. Właściciele domen mogą wybrać dostarczanie, kwarantannę i odrzucanie fałszywych emaili w oparciu o stopień egzekwowania DMARC, którego potrzebują.

Uwaga: Tylko polityka DMARC o wartości odrzucenia pozwala zatrzymać spoofing.

Dodatkowo, DMARC oferuje również mechanizm raportowania, aby zapewnić właścicielom domen wgląd w ich kanały e-mail i wyniki uwierzytelniania. Konfigurując swój analizator raportów DMARC, możesz regularnie monitorować swoje domeny e-mail, uzyskując szczegółowe informacje na temat źródeł wysyłania wiadomości e-mail, wyników uwierzytelniania wiadomości e-mail, geolokalizacji nieuczciwych adresów IP oraz ogólnej wydajności wiadomości e-mail. Pomaga to w przekształceniu danych DMARC w zorganizowany i czytelny format oraz w szybszym podejmowaniu działań przeciwko napastnikom.

Ostatecznie, SPF, DKIM i DMARC mogą współpracować, aby pomóc Ci wznieść bezpieczeństwo poczty elektronicznej Twojej organizacji na nowe wyżyny i powstrzymać atakujących przed podszywaniem się pod Twoją nazwę domeny, aby chronić reputację i wiarygodność Twojej organizacji.

Jeśli jesteś na tej stronie, czytając ten blog, są szanse, że natknąłeś się na jedną z poniższych podpowiedzi:

  • Nie znaleziono rekordu SPF
  • Brak rekordu SPF
  • Brak rekordu SPF
  • Nie znaleziono rekordu SPF
  • Nie opublikowano rekordu SPF
  • Nie można znaleźć rekordu SPF

Podpowiedź oznacza po prostu, że Twoja domena nie jest skonfigurowana ze standardem uwierzytelniania SPF email. Rekord SPF jest rekordem DNS TXT, który jest publikowany w DNS Twojej domeny w celu uwierzytelnienia wiadomości poprzez sprawdzenie ich względem autoryzowanych adresów IP, które są uprawnione do wysyłania e-maili w imieniu Twojej domeny, zawartych w rekordzie SPF. Więc naturalnie, jeśli Twoja domena nie jest uwierzytelniona protokołem SPF, możesz natknąć się na komunikat "Nie znaleziono rekordu SPF".

Co to jest Sender Policy Framework (SPF)?

Standard uwierzytelniania pocztySPF jest mechanizmem używanym do zapobiegania fałszowaniu wiadomości e-mail przez spamerów. Wykorzystuje on rekordy DNS do weryfikacji, czy serwer wysyłający jest uprawniony do wysyłania e-maili z danej domeny. SPF, który jest skrótem od Sender Policy Framework, pozwala na identyfikację dozwolonych nadawców e-maili w Twojej domenie.

SPF jest systemem uwierzytelniania "opartym na ścieżce", co oznacza, że jest on związany ze ścieżką, którą email przechodzi z oryginalnego serwera wysyłającego do serwera odbierającego. SPF nie tylko pozwala organizacjom autoryzować adresy IP do używania nazw domen podczas wysyłania e-maili, ale również zapewnia sposób, w jaki serwer odbierający pocztę może sprawdzić tę autoryzację.

Czy muszę skonfigurować SPF?

Prawdopodobnie powiedziano Ci, że potrzebujesz uwierzytelniania emaili SPF (Sender Policy Framework). Ale czy firma naprawdę tego potrzebuje? A jeśli tak, to czy są jakieś inne korzyści? To pytanie jest zwykle zrozumiałe, gdy przedsiębiorstwo staje się dużym wymiennikiem poczty elektronicznej dla swojej organizacji. Dzięki SPF, możesz śledzić zachowanie emaili w celu wykrycia fałszywych wiadomości i chronić swoją firmę przed problemami związanymi ze spamem, spoofingiem i atakami phishingowymi. SPF pomaga osiągnąć maksymalną dostarczalność i ochronę marki poprzez weryfikację tożsamości nadawców.

Jak działa SPF?

  • Rekordy SPF są specjalnie sformatowanymi rekordami Domain Name System (DNS) publikowanymi przez administratorów domen, które określają, które serwery pocztowe są upoważnione do wysyłania poczty w imieniu danej domeny.
  • Po skonfigurowaniu SPF dla Twojej domeny, za każdym razem, gdy email jest wysyłany z Twojej domeny, serwer pocztowy odbiorcy sprawdza specyfikację domeny ścieżki zwrotnej w
  • DNS. Następnie próbował dopasować adres IP nadawcy do autoryzowanych adresów zdefiniowanych w Twoim rekordzie SPF.
  • Zgodnie ze specyfikacją polityki SPF, serwer odbiorczy decyduje, czy dostarczyć, odrzucić lub oflagować wiadomość e-mail, jeśli nie przejdzie ona uwierzytelnienia.

Rozbicie składni rekordu SPF

Weźmy przykład rekordu SPF dla fikcyjnej domeny z poprawną składnią:

v=spf1 ip4:29.337.148 include:domain.com -all

 

Zatrzymanie komunikatu "Nie znaleziono rekordu SPF".

Jeśli chcesz przestać otrzymywać irytujący monit "Nie znaleziono rekordu SPF", wszystko co musisz zrobić, to skonfigurować SPF dla swojej domeny poprzez opublikowanie rekordu DNS TXT. Możesz użyć naszego darmowego generatora rekord ów SPF, aby stworzyć natychmiastowy rekord z poprawną składnią, do opublikowania w DNS.

Wszystko, co musisz zrobić, to:

  • Wybierz czy chcesz zezwolić serwerom wymienionym jako MX na wysyłanie maili dla Twojej domeny
  • Wybierz, czy chcesz zezwolić bieżącemu adresowi IP domeny na wysyłanie wiadomości e-mail dla tej domeny
  • Wypełnij adresy IP uprawnione do wysyłania e-maili z Twojej domeny
  • Dodaj wszystkie inne nazwy hostów lub domen serwerów, które mogą dostarczać lub przekazywać pocztę dla Twojej domeny
  • Wybierz tryb polityki SPF lub poziom restrykcyjności serwera odbiorczego z Fail (niezgodne emaile będą odrzucane), Soft-fail (niezgodne emaile będą akceptowane, ale oznaczone), oraz Neutral (emaile prawdopodobnie będą akceptowane).
  • Kliknij na Wygeneruj rekord SPF aby natychmiast utworzyć swój rekord

W przypadku, gdy masz już skonfigurowany SPF dla swojej domeny, możesz również skorzystać z naszego darmowego SPF record checker, aby sprawdzić i zweryfikować rekord SPF i wykryć problemy.

Czy publikacja rekordu SPF jest wystarczająca?

Odpowiedź brzmi: nie. Sam SPF nie może zapobiec podszywaniu się pod Twoją markę. Dla optymalnej ochrony przed spoofingiem bezpośredniej domeny, atakami phishingowymi i BEC, musisz skonfigurować DKIM i DMARC dla swojej domeny.

Co więcej, SPF ma limit 10 wyszukiwań DNS. Jeśli przekroczysz ten limit, SPF się zepsuje i uwierzytelnianie nie powiedzie się nawet dla legalnych emaili. Dlatego właśnie potrzebujesz dynamicznego SPF flattenera, który pomoże Ci pozostać poniżej limitu 10 DNS lookup, jak również będzie Cię informował o zmianach wprowadzanych przez dostawców usług wymiany poczty.

Mam nadzieję, że ten blog pomógł Ci rozwiązać Twój problem i już nigdy nie będziesz musiał się martwić, że wiadomość "Nie znaleziono rekordu SPF" będzie Ci przeszkadzać. Zapisz się na bezpłatną wersję próbną uwierzytelniania poczty e-mail, aby poprawić dostarczalność i bezpieczeństwo poczty e-mail już dziś!

 

Powody, dla których należy unikać SPF Flattening

Sender Policy Framework, lub SPF jest powszechnie uznawanym protokołem uwierzytelniania emaili, który waliduje Twoje wiadomości poprzez uwierzytelnianie ich względem wszystkich autoryzowanych adresów IP zarejestrowanych dla Twojej domeny w rekordzie SPF. W celu walidacji emaili, SPF wymaga od serwera pocztowego, aby wykonał zapytanie DNS w celu sprawdzenia autoryzowanych adresów IP, co skutkuje wyszukiwaniem w DNS.

Twój rekord SPF istnieje jako rekord DNS TXT, który jest utworzony z zespołu różnych mechanizmów. Większość z tych mechanizmów (takich jak include, a, mx, redirect, exists, ptr) generuje wyszukiwania DNS. Jednakże, maksymalna liczba wyszukiwań DNS dla uwierzytelnienia SPF jest ograniczona do 10. Jeśli używasz różnych zewnętrznych dostawców do wysyłania emaili używając swojej domeny, możesz łatwo przekroczyć twardy limit SPF.

Możesz się zastanawiać, co się stanie, jeśli przekroczysz ten limit? Przekroczenie limitu 10 DNS lookup doprowadzi do niepowodzenia SPF i unieważni nawet legalne wiadomości wysłane z Twojej domeny. W takich przypadkach odbierający serwer pocztowy zwraca raport SPF PermError do Twojej domeny, jeśli masz włączone monitorowanie DMARC.To sprawia, że dochodzimy do głównego tematu dyskusji na tym blogu: SPF flattening.

Co to jest SPF Flattening?

Spłaszczanie rekordu SPF jest jedną z popularnych metod używanych przez ekspertów branżowych do optymalizacji rekordu SPF i uniknięcia przekroczenia twardego limitu SPF. Procedura spłaszczania SPF jest dość prosta. Spłaszczanie rekordu SPF to proces zastępowania wszystkich mechanizmów include ich odpowiednimi adresami IP, aby wyeliminować potrzebę wykonywania wyszukiwań DNS.

Na przykład, jeśli Twój rekord SPF początkowo wyglądał tak:

v=spf1 include:spf.domain.com -all

Spłaszczony rekord SPF będzie wyglądał mniej więcej tak:

v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -all

Ten spłaszczony rekord generuje tylko jedno odszukanie DNS, zamiast wykonywania wielu odszukań. Zmniejszenie liczby zapytań DNS wykonywanych przez serwer odbiorczy podczas uwierzytelniania emaila pomaga w utrzymaniu się poniżej limitu 10 zapytań DNS, jednak ma swoje własne problemy.

Problem z SPF Flattening

Pomijając fakt, że Twój ręcznie spłaszczony rekord SPF może stać się zbyt długi do opublikowania w DNS Twojej domeny (przekraczając limit 255 znaków), musisz wziąć pod uwagę, że Twój dostawca usług email może zmienić lub dodać do swoich adresów IP bez powiadamiania Ciebie jako użytkownika. Co jakiś czas, gdy Twój dostawca wprowadza zmiany w swojej infrastrukturze, zmiany te nie będą odzwierciedlone w Twoim rekordzie SPF. W związku z tym, gdy te zmienione lub nowe adresy IP są używane przez Twój serwer pocztowy, email nie przejdzie SPF po stronie odbiorcy.

PowerSPF: Twój dynamiczny generator rekordów SPF

Ostatecznym celem PowerDMARC było wymyślenie rozwiązania, które może zapobiec uderzeniu właścicieli domen w limit 10 wyszukiwań DNS, jak również zoptymalizować Twój rekord SPF tak, aby zawsze był na bieżąco z najnowszymi adresami IP, których używają Twoi dostawcy usług email. PowerSPF jest zautomatyzowanym rozwiązaniem SPF flattening, które przeciąga rekord SPF w celu wygenerowania pojedynczego oświadczenia include. PowerSPF pomoże Ci:

  • Łatwe dodawanie i usuwanie adresów IP oraz mechanizmów
  • Automatyczna aktualizacja blokad sieci, aby upewnić się, że autoryzowane adresy IP są zawsze aktualne
  • Nie przekraczaj limitu 10 zapytań DNS z łatwością
  • Uzyskaj zoptymalizowany rekord SPF za pomocą jednego kliknięcia
  • Permanentnie pokonać 'permerror'
  • Wdrożenie bezbłędnego SPF

Zarejestruj się w PowerDMARC już dziś, aby zapewnić lepszą dostarczalność i uwierzytelnianie wiadomości e-mail, a jednocześnie nie przekroczyć limitu 10 wyszukiwań DNS SPF .

W tym artykule, będziemy badać, jak zoptymalizować rekord SPF łatwo dla Twojej domeny. Dla przedsiębiorstw, jak również małych firm, które są w posiadaniu domeny e-mail do wysyłania i odbierania wiadomości wśród swoich klientów, partnerów i pracowników, jest bardzo prawdopodobne, że rekord SPF istnieje domyślnie, który został ustawiony przez dostawcę usług skrzynki odbiorczej. Bez względu na to, czy masz już istniejący rekord SPF, czy musisz utworzyć nowy, musisz zoptymalizować rekord SPF poprawnie dla swojej domeny, aby upewnić się, że nie powoduje on problemów z dostarczaniem wiadomości e-mail.

Niektórzy odbiorcy emaili ściśle wymagają SPF, co oznacza, że jeśli nie masz opublikowanego rekordu SPF dla swojej domeny, Twoje emaile mogą zostać oznaczone jako spam w skrzynce odbiorczej Twojego odbiorcy. Ponadto, SPF pomaga w wykrywaniu nieautoryzowanych źródeł wysyłających emaile w imieniu Twojej domeny.

Najpierw zrozummy, co to jest SPF i dlaczego go potrzebujesz?

Sender Policy Framework (SPF)

SPF jest zasadniczo standardowym protokołem uwierzytelniania emaili, który określa adresy IP, które są upoważnione do wysyłania emaili z Twojej domeny. Działa on poprzez porównywanie adresów nadawców z listą autoryzowanych hostów wysyłających i adresów IP dla konkretnej domeny, która jest opublikowana w DNS dla tej domeny.

SPF, wraz z DMARC (Domain-based Message Authentication, Reporting and Conformance) jest zaprojektowany do wykrywania fałszywych adresów nadawcy podczas dostarczania wiadomości e-mail i zapobiegania atakom spoofingowym, phishingowi i oszustwom e-mailowym.

Ważne jest, aby wiedzieć, że chociaż domyślny SPF zintegrowany z Twoją domeną przez dostawcę usług hostingowych zapewnia, że e-maile wysyłane z Twojej domeny są uwierzytelniane względem SPF, jeśli masz wielu dostawców zewnętrznych do wysyłania e-maili z Twojej domeny, ten istniejący wcześniej rekord SPF musi być dostosowany i zmodyfikowany do Twoich wymagań. Jak możesz to zrobić? Przeanalizujmy dwa z najbardziej popularnych sposobów:

  • Tworzenie nowego rekordu SPF
  • Optymalizacja istniejącego rekordu SPF

Instrukcja jak zoptymalizować rekord SPF

Utwórz zupełnie nowy rekord SPF

Tworzenie rekordu SPF jest po prostu publikacją rekordu TXT w DNS Twojej domeny, aby skonfigurować SPF dla Twojej domeny. Jest to obowiązkowy krok, który należy wykonać przed rozpoczęciem optymalizacji rekordu SPF. Jeśli dopiero zaczynasz swoją przygodę z uwierzytelnianiem i nie jesteś pewien składni, możesz użyć naszego darmowego generatora rekordów SPF online, aby utworzyć rekord SPF dla swojej domeny.

Wpis rekordu SPF z poprawną składnią będzie wyglądał mniej więcej tak:

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Określa wersję SPF, która jest używana
ip4/ip6Ten mechanizm określa prawidłowe adresy IP, które są upoważnione do wysyłania wiadomości e-mail z Twojej domeny.
zamieścićTen mechanizm mówi serwerom odbierającym, aby włączyły wartości dla rekordu SPF określonej domeny.
-allTen mechanizm określa, że emaile, które nie są zgodne z SPF będą odrzucane. Jest to zalecany znacznik, którego możesz użyć publikując swój rekord SPF. Może on jednak zostać zastąpiony przez ~ dla SPF Soft Fail (emaile niezgodne z SPF będą oznaczone jako soft fail, ale nadal będą akceptowane) lub +, który określa, że każdy serwer będzie mógł wysyłać emaile w imieniu Twojej domeny, co jest zdecydowanie odradzane.

Jeśli masz już skonfigurowany SPF dla swojej domeny, możesz również skorzystać z naszego darmowego SPF record checker, aby sprawdzić i zweryfikować rekord SPF i wykryć problemy.

Częste wyzwania i błędy podczas konfigurowania SPF

1) 10 limitów DNS Lookup 

Najczęstszym wyzwaniem napotykanym przez właścicieli domen podczas konfigurowania i przyjmowania protokołu uwierzytelniającego SPF dla ich domeny, jest to, że SPF posiada limit na liczbę wyszukiwań DNS, który nie może przekroczyć 10. Dla domen polegających na wielu dostawcach zewnętrznych, limit 10 wyszukiwań DNS łatwo przekroczyć, co z kolei łamie SPF i zwraca SPF PermError. Serwer odbiorczy w takich przypadkach automatycznie unieważnia Twój rekord SPF i blokuje go.

Mechanizmy inicjujące wyszukiwanie DNS: MX, A, INCLUDE, modyfikator REDIRECT

2) SPF Void Lookup 

Void lookups odnoszą się do DNS lookups, które albo zwracają odpowiedź NOERROR albo NXDOMAIN (void answer). Podczas implementacji SPF zaleca się, aby upewnić się, że wyszukiwania DNS nie zwracają w pierwszej kolejności odpowiedzi void.

3) Pętla rekursywna SPF

Ten błąd wskazuje, że rekord SPF dla podanej domeny zawiera rekurencyjne problemy z jednym lub więcej mechanizmów INCLUDE. Dzieje się tak, gdy jedna z domen określonych w znaczniku INCLUDE zawiera domenę, której rekord SPF zawiera znacznik INCLUDE oryginalnej domeny. Prowadzi to do niekończącej się pętli powodującej, że serwery pocztowe stale wykonują wyszukiwania DNS dla rekordów SPF. Ostatecznie prowadzi to do przekroczenia limitu 10 wyszukiwań DNS, w wyniku czego emaile nie przechodzą SPF.

4) Błędy składni 

Rekord SPF może istnieć w DNS Twojej domeny, ale jest bezużyteczny, jeśli zawiera błędy w składni. Jeśli Twój rekord SPF TXT zawiera niepotrzebne białe spacje podczas wpisywania nazwy domeny lub nazwy mechanizmu, ciąg znaków poprzedzający dodatkową spację zostanie całkowicie zignorowany przez serwer odbierający podczas wykonywania wyszukiwania, tym samym unieważniając rekord SPF.

5) Wiele rekordów SPF dla tej samej domeny

Pojedyncza domena może mieć tylko jeden wpis SPF TXT w DNS. Jeśli Twoja domena zawiera więcej niż jeden rekord SPF, serwer odbierający unieważnia je wszystkie, powodując, że emaile nie spełniają SPF.

6) Długość rekordu SPF 

Maksymalna długość rekordu SPF w DNS jest ograniczona do 255 znaków. Jednakże, limit ten może zostać przekroczony i rekord TXT dla SPF może zawierać wiele ciągów znaków połączonych razem, ale nie więcej niż limit 512 znaków, aby zmieścić się w odpowiedzi na zapytanie DNS (zgodnie z RFC 4408). Chociaż zostało to później poprawione, odbiorcy polegający na starszych wersjach DNS nie byli w stanie zweryfikować emaili wysłanych z domen zawierających długi rekord SPF.

Optymalizacja rekordu SPF

Aby szybko zmodyfikować swój rekord SPF, możesz skorzystać z następujących najlepszych praktyk SPF:

  • Spróbuj wpisać swoje źródła emaili w porządku malejącym od lewej do prawej w swoim rekordzie SPF
  • Usuń nieaktualne źródła email z DNS
  • Użyj mechanizmów IP4/IP6 zamiast A i MX
  • Utrzymuj liczbę mechanizmów INCLUDE na jak najniższym poziomie i unikaj zagnieżdżonych include'ów.
  • Nie publikuj więcej niż jednego rekordu SPF dla tej samej domeny w swoim DNS
  • Upewnij się, że Twój rekord SPF nie zawiera żadnych zbędnych białych spacji lub błędów w składni

Uwaga: SPF flattening nie jest zalecany, ponieważ nie jest to jednorazowa transakcja. Jeśli Twój dostawca usług email zmieni swoją infrastrukturę, będziesz musiał odpowiednio zmienić swoje rekordy SPF, za każdym razem.

Optymalizacja rekordu SPF jest łatwa dzięki PowerSPF

Możesz spróbować wdrożyć wszystkie powyższe modyfikacje, aby zoptymalizować rekord SPF ręcznie, lub możesz zapomnieć o kłopotach i polegać na naszym dynamicznym PowerSPF, który zrobi to wszystko za Ciebie automatycznie! PowerSPF pomoże Ci zoptymalizować Twój rekord SPF za pomocą jednego kliknięcia, dzięki któremu możesz:

  • Dodawanie i usuwanie źródeł wysyłania z łatwością
  • Łatwa aktualizacja rekordów bez konieczności ręcznego wprowadzania zmian w DNS
  • Uzyskaj zoptymalizowany automatyczny rekord SPF za pomocą jednego kliknięcia przycisku
  • Trzymaj się poniżej limitu 10 zapytań DNS przez cały czas
  • Pomyślnie złagodzono PermError
  • Zapomnij o błędach składni rekordu SPF i problemach z konfiguracją
  • Zdejmujemy z Ciebie ciężar rozwiązywania ograniczeń SPF w Twoim imieniu

Zapisz się do PowerDMARC już dziś, aby na zawsze pożegnać się z ograniczeniami SPF!  

Jako dostawca usług DMARC, często dostajemy to pytanie: "Jeśli DMARC po prostu używa uwierzytelniania SPF i DKIM, dlaczego powinniśmy zawracać sobie głowę DMARC? Czy to nie jest po prostu niepotrzebne?"

Na pierwszy rzut oka może się wydawać, że to niewielka różnica, ale rzeczywistość jest zupełnie inna. DMARC nie jest tylko połączeniem technologii SPF i DKIM, jest to zupełnie nowy protokół sam w sobie. Posiada on kilka cech, które czynią go jednym z najbardziej zaawansowanych standardów uwierzytelniania emaili na świecie i absolutną koniecznością dla firm.

Ale poczekaj chwilę. Nie odpowiedzieliśmy dokładnie dlaczego potrzebujesz DMARC. Co on oferuje, czego nie oferują SPF i DKIM? Cóż, to dość długa odpowiedź; zbyt długa jak na jeden wpis na blogu. Więc podzielmy to i porozmawiajmy najpierw o SPF. Na wypadek gdybyś nie był z nim zaznajomiony, oto krótkie wprowadzenie.

Co to jest SPF?

SPF, lub Sender Policy Framework, jest protokołem uwierzytelniania emaili, który chroni odbiorcę emaili przed spoofed emailami. Jest to w zasadzie lista wszystkich adresów IP upoważnionych do wysyłania emaili poprzez Twoje (właściciela domeny) kanały. Kiedy serwer odbiorczy widzi wiadomość z Twojej domeny, sprawdza Twój rekord SPF, który jest opublikowany w Twoim DNS. Jeśli IP nadawcy znajduje się na tej "liście", email zostaje dostarczony. Jeśli nie, serwer odrzuca wiadomość.

Jak widać, SPF całkiem nieźle radzi sobie z ochroną przed wieloma nieprzyjemnymi emailami, które mogą uszkodzić Twoje urządzenie lub narazić na szwank systemy bezpieczeństwa Twojej organizacji. Ale SPF nie jest tak dobry jak niektórzy mogą myśleć. Dzieje się tak dlatego, że ma kilka bardzo poważnych wad. Porozmawiajmy o niektórych z tych problemów.

Ograniczenia SPF

Rekordy SPF nie mają zastosowania do adresu From.

E-maile mają wiele adresów identyfikujących ich nadawcę: adres Od, który zwykle widzisz, oraz adres Ścieżki zwrotnej, który jest ukryty i wymaga jednego lub dwóch kliknięć, aby go zobaczyć. Z włączonym SPF, serwer odbierający email patrzy na ścieżkę zwrotną i sprawdza rekordy SPF domeny z tego adresu.

Problem polega na tym, że atakujący mogą to wykorzystać, używając fałszywej domeny w adresie ścieżki zwrotnej i legalnego (lub wyglądającego na legalny) adresu e-mail w sekcji Od. Nawet jeśli odbiorca sprawdziłby identyfikator nadawcy, najpierw zobaczyłby adres From i zazwyczaj nie zawracałby sobie głowy sprawdzaniem Return Path. W rzeczywistości, większość ludzi nie jest nawet świadoma istnienia czegoś takiego jak adres Return Path.

SPF może być dość łatwo ominięty przez użycie tej prostej sztuczki, a to sprawia, że nawet domeny zabezpieczone SPF są w dużej mierze podatne na ataki.

Rekordy SPF mają ograniczenie DNS lookup

Rekordy SPF zawierają listę wszystkich adresów IP, które zostały upoważnione przez właściciela domeny do wysyłania e-maili. Jednakże, mają one zasadniczą wadę. Serwer odbiorczy musi sprawdzić rekord, aby sprawdzić czy nadawca jest autoryzowany, a żeby zmniejszyć obciążenie serwera, rekordy SPF mają limit 10 odwołań do DNS.

Oznacza to, że jeśli Twoja organizacja korzysta z wielu zewnętrznych dostawców, którzy wysyłają e-maile przez Twoją domenę, rekord SPF może przekroczyć ten limit. O ile nie zostaną odpowiednio zoptymalizowane (co nie jest łatwe do zrobienia samemu), rekordy SPF będą miały bardzo restrykcyjny limit. Gdy przekroczysz ten limit, implementacja SPF zostanie uznana za niepoprawną, a Twój email nie otrzyma SPF. Może to potencjalnie zaszkodzić Twoim wskaźnikom dostarczalności emaili.

 

SPF nie zawsze działa, gdy email jest przekazywany dalej

SPF ma jeszcze jeden krytyczny punkt awarii, który może zaszkodzić dostarczalności Twoich emaili. Jeśli zaimplementowałeś SPF na swojej domenie i ktoś przekazuje dalej Twoją wiadomość, przekazana wiadomość może zostać odrzucona z powodu Twojej polityki SPF.

Dzieje się tak, ponieważ przekazana wiadomość zmieniła odbiorcę, ale adres nadawcy pozostał ten sam. Staje się to problemem, ponieważ wiadomość zawiera adres From oryginalnego nadawcy, ale serwer odbierający widzi inny IP. Adres IP serwera przekierowującego nie jest zawarty w rekordzie SPF oryginalnej domeny nadawcy. Może to spowodować odrzucenie wiadomości przez serwer odbierający.

W jaki sposób DMARC rozwiązuje te problemy?

DMARC używa kombinacji SPF i DKIM do uwierzytelniania emaili. Email musi przejść albo SPF albo DKIM aby przejść DMARC i zostać pomyślnie dostarczony. DMARC dodaje również jedną kluczową cechę, która czyni go o wiele bardziej efektywnym niż SPF lub DKIM: Raportowanie.

Dzięki raportowaniu DMARC, otrzymujesz codzienną informację zwrotną na temat statusu Twoich kanałów e-mail. Obejmuje to informacje o wyrównaniu DMARC, dane o mailach, które nie przeszły uwierzytelnienia oraz szczegóły dotyczące potencjalnych prób spoofingu.

Jeśli zastanawiasz się, co możesz zrobić, aby nie dać się nabrać na spoofing, zapoznaj się z naszym podręcznym przewodnikiem na temat 5 sposobów unikania spoofingu pocztyelektronicznej.