Сайт SPF (Sender Policy Framework) redirect - это модификатор записи, который указывает на отдельное доменное имя, содержащее запись SPF. Владельцы доменов могут настроить несколько доменов на использование одной SPF-записи, размещенной на одном домене, с помощью SPF-редиректа. Хотя это может показаться выгодным в некоторых отношениях, мы не рекомендуем этого делать. Читайте дальше, чтобы узнать почему!

Введение в SPF и модификатор перенаправления

SPF - это стандарт аутентификации электронной почты, который защищает вашу организацию от самозванства и спама, ведя учет авторизованных сторон. 

Хотя модификатор SPF redirect является необязательным и может быть использован только один раз для каждой SPF-записи. Существуют определенные предпосылки для использования SPF редиректа. Они следующие:

  • Это имеет смысл только тогда, когда организация работает с несколькими доменами 
  • Все эти домены должны использовать одну и ту же инфраструктуру электронной почты
  • Второй домен, который перенаправляется, должен иметь действующую запись SPF.
  • Для использования SPF-перенаправления контроль над всеми доменами, участвующими в цепочке перенаправления, должен принадлежать владельцу домена

Как работает модификатор SPF Redirect?

Чтобы лучше понять функциональность SPF-перенаправления, давайте рассмотрим следующий пример: 

Если домен_test.com имеет запись SPF, например:
v=spf1 redirect=domain_test2.com

Это указывает на то, что запись SPF для "domain_test2.com" должна быть использована вместо "domain_test". Почта из domain_test будет перенаправляться с помощью "domain_test2".

Когда вы можете использовать модификатор перенаправления SPF?

1. Когда одна запись должна использоваться для нескольких доменов

Например,

delaware.example.com. TXT "v=spf1 redirect=_spf.example1.com"
austin.example.com TXT "v=spf1 redirect=_spf.example1.com"
washington.example.com TXT "v=spf1 redirect=_spf.example1.com"
_spf.example.com. TXT "v=spf1 mx:example1.com -all"

В этом примере любая почта с трех вышеуказанных доменов будет описываться одной и той же записью, в данном случае "_spf.example1.com", что дает пользователям административное преимущество.

2. Когда необходимо изменить имя домена.

Для всех механизмов значения "a", "mx" и "ptr" являются необязательными. Если конкретные значения не указаны, они устанавливаются на текущий домен. Однако, когда используется "перенаправление", механизмы "a", "mx" и "ptr" указывают на перенаправленный домен.

Рассмотрим следующий пример:
powerdmarc.com "v=spf1 a -all"

Здесь механизм "a" не имеет определенного значения, поэтому он будет указывать на DNS 'A' запись "powerdmarc.com", поскольку именно там размещена запись SPF, как указано в примере.

Теперь рассмотрим следующий пример:
powerdmarc.com "v=spf1 redirect=_spf.powerdmarc.com"
_spf.powerdmarc.com "v=spf1 a -all"

В приведенном выше примере механизм "a" указывает на запись DNS 'A' "_spf.powerdmarc.com", хотя корневой домен "powerdmarc.com" перенаправляет его.

Это одна из распространенных причин проблем с проверкой SPF, которую сложно отладить. Если ваша организация использует "перенаправление" SPF, обратите внимание, что если существует механизм "a", "mx" или "ptr" без явно определенного доменного имени в вашей перенаправленной записи SPF, она будет указывать только на перенаправленный домен.

Недостатки использования SPF Redirect

1. Модификатор "перенаправление" увеличивает количество DNS-поисков

При использовании SPF-аутентификации электронной почты каждый раз, когда электронное письмо отправляется из домена в домен получателя, почтовый сервер получателя выполняет DNS-запросы, также известные как DNS-поиск, для проверки существующих авторизованных IP-адресов в вашем DNS и сравнения их с IP-адресом в заголовке обратного пути полученного электронного письма. SPF RFC7208 ограничивает максимальное число таких запросов до 10. 

Модификатор "redirect" при использовании также увеличивает это количество. Таким образом, ваша организация должна быть осторожна при использовании модификатора "redirect", т.к. ограничение на 10 DNS-поисков может быть превышен. Это может привести к нарушению SPF и сбоям аутентификации.

В PowerDMARC наши пользователи настраивают PowerSPF, который является эффективным инструментом сглаживания SPF, чтобы ограничить количество поисков и наслаждаться безошибочным SPF.

2. Результат Permerror возвращается при отсутствии политики SPF, определенной в доменах, использующих "redirect"

Если вы включаете домен, который не содержит SPF-запись или имеет недействительную запись, возвращается результат softfail (none), который не влияет на процесс проверки. 

Однако при использовании модификатора перенаправления SPF, если перенаправляемый домен содержит недопустимую или отсутствующую запись для SPF, возвращается результат SPF Permerror, что является жестким отказом и может привести к нарушению SPF.

Использование механизма SPF include вместо модификатора SPF redirect

Мы рекомендуем использовать механизм включения SPF вместо модификатора перенаправления, чтобы избежать некоторых распространенных осложнений:

  • Когда используется механизм перенаправления, это означает конец записи, и дальнейшие изменения невозможны. С другой стороны, если вы используете SPF include, вы можете вносить изменения в свою запись и добавлять дополнительные include, a или mx записи по своему усмотрению, тем самым обеспечивая большую гибкость.
  • Механизм включения может помочь сократить вашу SPF-запись, чтобы она не превышала лимит длины символов SPF. Вы можете создать по одной записи SPF TXT на spfrecord1.xyz.com и spfrecord2.abc.com, разделив первоначально одну длинную запись SPF и включив оба домена в запись TXT для одного из доменов (например: xyz.com).
  • В случае, если есть запись SPF не найдена в перенаправленном домене сохранение состояния ошибки (значение permerror) для перенаправления, как указано выше, также можно обойти, используя механизм include, который вместо этого вернет результат softfail, при этом ваши электронные письма все равно будут доставлены.
  • В отличие от SPF include, который не оказывает никакого влияния на механизм all, модификатор SPF redirect инструктирует сервер, чтобы он отображал SPF ~ все для корневого домена с помощью перенаправления, как в следующем случае:
    domain1.com "v=spf1 redirect=_spf.domain2.com"
    _spf.domain2.com "v=spf1 ip4:164.100.226.127 ~all
    Это происходит потому, что для любой записи, использующей перенаправление, в первую очередь отсутствует механизм "all", который может сосуществовать при использовании механизмов include. Следовательно, набор "~all" для перенаправляемого поддомена распространяется и на корневой домен.

Заключение

При использовании модификатора "перенаправления", такого как ограничение на 10 DNS-поисков, есть много вещей, которые следует учитывать, поэтому ваша организация должна быть осторожна при настройке SPF-записи. Ваша организация должна время от времени оптимизировать SPF-записи, следя за тем, чтобы количество DNS-поисков не превышало установленный лимит. Для всех запросов вашей организации, связанных с SPF, воспользуйтесь PowerSPF. Он выполняет автоматическое выравнивание и автоматическое обновление сетевых блоков, чтобы обеспечить постоянную актуальность и безопасность авторизованных IP-адресов. Кроме того, вам не придется беспокоиться о превышении лимитов на поиск DNS.

Лучший способ защитить электронную почту с помощью SPF - внедрить его вместе с DKIM и бесплатный DMARC. Это поможет защитить вашу организацию от спама и возможных попыток spear-phishing. Ознакомьтесь с PowerDMARC и убедитесь, что ваша организация использует активного поставщика услуг технологии DMARC с защитой от спуфинга.