Сообщения

Сайт SPF (Sender Policy Framework) redirect - это модификатор записи, который указывает на отдельное доменное имя, содержащее запись SPF. Владельцы доменов могут настроить несколько доменов на использование одной SPF-записи, размещенной на одном домене, с помощью SPF-редиректа. Хотя это может показаться выгодным в некоторых отношениях, мы не рекомендуем этого делать. Читайте дальше, чтобы узнать почему!

Введение в SPF и модификатор перенаправления

SPF - это стандарт аутентификации электронной почты, который защищает вашу организацию от самозванства и спама, ведя учет авторизованных сторон. 

Хотя модификатор SPF redirect является необязательным и может быть использован только один раз для каждой SPF-записи. Существуют определенные предпосылки для использования SPF редиректа. Они следующие:

  • Это имеет смысл только тогда, когда организация работает с несколькими доменами 
  • Все эти домены должны использовать одну и ту же инфраструктуру электронной почты
  • Второй домен, который перенаправляется, должен иметь действующую запись SPF.
  • Для использования SPF-перенаправления контроль над всеми доменами, участвующими в цепочке перенаправления, должен принадлежать владельцу домена

Как работает модификатор SPF Redirect?

Чтобы лучше понять функциональность SPF-перенаправления, давайте рассмотрим следующий пример: 

Если домен_test.com имеет запись SPF, например:
v=spf1 redirect=domain_test2.com

Это указывает на то, что запись SPF для "domain_test2.com" должна быть использована вместо "domain_test". Почта из domain_test будет перенаправляться с помощью "domain_test2".

Когда вы можете использовать модификатор перенаправления SPF?

1. Когда одна запись должна использоваться для нескольких доменов

Например,

delaware.example.com. TXT "v=spf1 redirect=_spf.example1.com"
austin.example.com TXT "v=spf1 redirect=_spf.example1.com"
washington.example.com TXT "v=spf1 redirect=_spf.example1.com"
_spf.example.com. TXT "v=spf1 mx:example1.com -all"

В этом примере любая почта с трех вышеуказанных доменов будет описываться одной и той же записью, в данном случае "_spf.example1.com", что дает пользователям административное преимущество.

2. Когда необходимо изменить имя домена.

Для всех механизмов значения "a", "mx" и "ptr" являются необязательными. Если конкретные значения не указаны, они устанавливаются на текущий домен. Однако, когда используется "перенаправление", механизмы "a", "mx" и "ptr" указывают на перенаправленный домен.

Рассмотрим следующий пример:
powerdmarc.com "v=spf1 a -all"

Здесь механизм "a" не имеет определенного значения, поэтому он будет указывать на DNS 'A' запись "powerdmarc.com", поскольку именно там размещена запись SPF, как указано в примере.

Теперь рассмотрим следующий пример:
powerdmarc.com "v=spf1 redirect=_spf.powerdmarc.com"
_spf.powerdmarc.com "v=spf1 a -all"

В приведенном выше примере механизм "a" указывает на запись DNS 'A' "_spf.powerdmarc.com", хотя корневой домен "powerdmarc.com" перенаправляет его.

Это одна из распространенных причин проблем с проверкой SPF, которую сложно отладить. Если ваша организация использует "перенаправление" SPF, обратите внимание, что если существует механизм "a", "mx" или "ptr" без явно определенного доменного имени в вашей перенаправленной записи SPF, она будет указывать только на перенаправленный домен.

Недостатки использования SPF Redirect

1. Модификатор "перенаправление" увеличивает количество DNS-поисков

При использовании SPF-аутентификации электронной почты каждый раз, когда электронное письмо отправляется из домена в домен получателя, почтовый сервер получателя выполняет DNS-запросы, также известные как DNS-поиск, для проверки существующих авторизованных IP-адресов в вашем DNS и сравнения их с IP-адресом в заголовке обратного пути полученного электронного письма. SPF RFC7208 ограничивает максимальное число таких запросов до 10. 

Модификатор "redirect" при использовании также увеличивает это количество. Таким образом, ваша организация должна быть осторожна при использовании модификатора "redirect", т.к. ограничение на 10 DNS-поисков может быть превышен. Это может привести к нарушению SPF и сбоям аутентификации.

В PowerDMARC наши пользователи настраивают PowerSPF, который является эффективным инструментом сглаживания SPF, чтобы ограничить количество поисков и наслаждаться безошибочным SPF.

2. Результат Permerror возвращается при отсутствии политики SPF, определенной в доменах, использующих "redirect"

Если вы включаете домен, который не содержит SPF-запись или имеет недействительную запись, возвращается результат softfail (none), который не влияет на процесс проверки. 

Однако при использовании модификатора перенаправления SPF, если перенаправляемый домен содержит недопустимую или отсутствующую запись для SPF, возвращается результат SPF Permerror, что является жестким отказом и может привести к нарушению SPF.

Использование механизма SPF include вместо модификатора SPF redirect

Мы рекомендуем использовать механизм включения SPF вместо модификатора перенаправления, чтобы избежать некоторых распространенных осложнений:

  • Когда используется механизм перенаправления, это означает конец записи, и дальнейшие изменения невозможны. С другой стороны, если вы используете SPF include, вы можете вносить изменения в свою запись и добавлять дополнительные include, a или mx записи по своему усмотрению, тем самым обеспечивая большую гибкость.
  • Механизм включения может помочь сократить вашу SPF-запись, чтобы она не превышала лимит длины символов SPF. Вы можете создать по одной записи SPF TXT на spfrecord1.xyz.com и spfrecord2.abc.com, разделив первоначально одну длинную запись SPF и включив оба домена в запись TXT для одного из доменов (например: xyz.com).
  • В случае, если есть запись SPF не найдена в перенаправленном домене сохранение состояния ошибки (значение permerror) для перенаправления, как указано выше, также можно обойти, используя механизм include, который вместо этого вернет результат softfail, при этом ваши электронные письма все равно будут доставлены.
  • В отличие от SPF include, который не оказывает никакого влияния на механизм all, модификатор SPF redirect инструктирует сервер, чтобы он отображал SPF ~ все для корневого домена с помощью перенаправления, как в следующем случае:
    domain1.com "v=spf1 redirect=_spf.domain2.com"
    _spf.domain2.com "v=spf1 ip4:164.100.226.127 ~all
    Это происходит потому, что для любой записи, использующей перенаправление, в первую очередь отсутствует механизм "all", который может сосуществовать при использовании механизмов include. Следовательно, набор "~all" для перенаправляемого поддомена распространяется и на корневой домен.

Заключение

При использовании модификатора "перенаправления", такого как ограничение на 10 DNS-поисков, есть много вещей, которые следует учитывать, поэтому ваша организация должна быть осторожна при настройке SPF-записи. Ваша организация должна время от времени оптимизировать SPF-записи, следя за тем, чтобы количество DNS-поисков не превышало установленный лимит. Для всех запросов вашей организации, связанных с SPF, воспользуйтесь PowerSPF. Он выполняет автоматическое выравнивание и автоматическое обновление сетевых блоков, чтобы обеспечить постоянную актуальность и безопасность авторизованных IP-адресов. Кроме того, вам не придется беспокоиться о превышении лимитов на поиск DNS.

Лучший способ защитить электронную почту с помощью SPF - внедрить его вместе с DKIM и бесплатный DMARC. Это поможет защитить вашу организацию от спама и возможных попыток spear-phishing. Ознакомьтесь с PowerDMARC и убедитесь, что ваша организация использует активного поставщика услуг технологии DMARC с защитой от спуфинга.

В этой статье мы рассмотрим, как легко оптимизировать SPF-запись для вашего домена. Для предприятий и малого бизнеса, которые владеют почтовым доменом для отправки и получения сообщений среди своих клиентов, партнеров и сотрудников, весьма вероятно, что запись SPF существует по умолчанию, которая была настроена вашим поставщиком услуг входящей почты. Независимо от того, есть ли у вас уже существующая запись SPF или вам нужно создать новую, вам необходимо правильно оптимизировать запись SPF для вашего домена, чтобы она не вызывала проблем с доставкой электронной почты.

Некоторые получатели электронной почты строго требуют SPF, что указывает на то, что если у вас нет опубликованной для вашего домена записи SPF, ваша электронная почта может быть помечена как спам в почтовом ящике получателя. Более того, SPF помогает в обнаружении неавторизованных источников, посылающих электронную почту от имени вашего домена.

Давайте сначала поймем, что такое SPF и зачем он вам нужен?

Основы политики в отношении отправителей (ОП)

SPF, по сути, является стандартным протоколом аутентификации электронной почты, который определяет IP-адреса, которые авторизированы для отправки электронной почты с вашего домена. Он работает путем сравнения адресов отправителей со списком авторизованных хостов-отправителей и IP-адресов для определенного домена, который опубликован в DNS для этого домена.

SPF, наряду с DMARC (Domain-based Message Authentication, Reporting and Conformance), предназначен для обнаружения поддельных адресов отправителей во время доставки электронной почты и предотвращения атак подделки, фишинга и почтового мошенничества.

Важно знать, что хотя стандартный SPF, интегрированный в ваш домен хостинг-провайдером, гарантирует, что электронные письма, отправленные с вашего домена, будут проверены на подлинность по SPF, если у вас есть несколько сторонних поставщиков для отправки электронных писем с вашего домена, эту существующую запись SPF необходимо адаптировать и изменить в соответствии с вашими требованиями. Как вы можете это сделать? Давайте рассмотрим два наиболее распространенных способа:

  • Создание совершенно нового рекорда SPF
  • Оптимизация существующего рекорда ПСФ

Инструкции по оптимизации SPF-записи

Создать совершенно новую запись SPF

Создание SPF-записи - это простая публикация TXT-записи в DNS вашего домена для настройки SPF для вашего домена. Это обязательный шаг, который выполняется перед тем, как вы начнете оптимизировать SPF-запись. Если вы только начинаете работать с аутентификацией и не знаете синтаксиса, вы можете использовать наш бесплатный онлайн-генератор SPF-записей для создания SPF-записи для вашего домена.

Запись SPF с правильным синтаксисом будет выглядеть примерно так:

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Определяет используемую версию SPF
ip4/ip6Этот механизм определяет действительные IP адреса, которые авторизованы для отправки электронной почты с вашего домена.
включатьЭтот механизм говорит принимающим серверам включать значения для записи SPF указанного домена.
-всеЭтот механизм предусматривает, что сообщения по электронной почте, не соответствующие требованиям ПСФ, будут отклоняться. Это рекомендуемый тег, который вы можете использовать во время публикации вашей записи SPF. Однако он может быть заменён на ~ для SPF Soft Fail (сообщения электронной почты, не соответствующие SPF, будут помечены как сообщения, не соответствующие SPF, но всё равно будут приняты) Или +, который указывает, что любому и каждому серверу будет позволено отправлять сообщения электронной почты от имени вашего домена, что настоятельно не рекомендуется.

Если у вас уже настроен SPF для вашего домена, вы также можете использовать нашу бесплатную SPF проверку записи для поиска и проверки вашей SPF записи и обнаружения проблем.

Общие проблемы и ошибки при настройке ПСФ

1) 10 Ограничение поиска DNS 

Самой распространенной проблемой, с которой сталкиваются владельцы доменов при настройке и принятии протокола SPF-аутентификации для своего домена, является то, что SPF поставляется с ограничением на количество DNS-поисков, которое не может превышать 10. Для доменов, полагающихся на несколько сторонних производителей, 10 DNS поиск пределов легко превышает, что в свою очередь нарушает SPF и возвращает SPF ошибку PermError. Принимающий сервер в таких случаях автоматически аннулирует вашу SPF запись и блокирует её.

Механизмы, которые инициируют DNS поиск: MX, A, INCLUDE, REDIRECT модификатор.

2) Поиск пустоты SPF 

Поиск по пустоте относится к поиску DNS, который возвращает либо ответ NOERROR, либо ответ NXDOMAIN (пустой ответ). При реализации SPF рекомендуется убедиться, что DNS поиск не возвращает пустой ответ.

3) рекурсивная петля SPF

Эта ошибка указывает на то, что SPF-запись для указанного вами домена содержит рекурсивные проблемы с одним или несколькими механизмами INCLUDE. Это происходит, когда один из доменов, указанных в теге INCLUDE, содержит домен, чья SPF-запись содержит тег INCLUDE исходного домена. Это приводит к бесконечному циклу, заставляющему почтовые серверы непрерывно выполнять DNS поиск SPF-записей. В конечном счёте это приводит к превышению лимита на поиск в 10 DNS, что приводит к тому, что сообщения электронной почты не будут иметь SPF.

4) Ошибки синтаксиса 

Запись SPF может существовать в DNS вашего домена, но она бесполезна, если содержит синтаксические ошибки. Если ваша запись SPF TXT содержит ненужные белые пробелы при наборе имени домена или механизма, то строка, предшествующая лишнему пространству, будет полностью проигнорирована принимающим сервером во время выполнения поиска, тем самым делая запись SPF недействительной.

5) Несколько записей SPF для одного и того же домена

Один домен может иметь только одну SPF TXT запись в DNS. Если ваш домен содержит более одной SPF записи, то принимающий сервер аннулирует их все, что приводит к отказу SPF электронной почты.

6) Длина записи SPF 

Максимальная длина записи SPF в DNS ограничена 255 символами. Однако этот предел может быть превышен, и запись TXT для SPF может содержать несколько строк, соединенных вместе, но не более 512 символов, чтобы соответствовать ответу на запрос DNS (согласно RFC 4408). Хотя позднее это требование было пересмотрено, получатели, полагающиеся на старые версии DNS, не могли подтвердить электронную почту, отправленную с доменов, содержащих длинную запись SPF.

Оптимизация записи SPF

Для того, чтобы быстро изменить вашу запись в SPF, вы можете использовать следующий передовой опыт SPF:

  • Попробуйте напечатать ваши источники электронной почты в порядке уменьшения важности слева направо в вашей записи SPF.
  • Удалить устаревшие источники электронной почты из вашего DNS
  • Используйте механизмы IP4/IP6 вместо A и MX
  • Держите ваше количество механизмов INCLUDE как можно меньше и избежать вложенных включает в себя
  • Не публикуйте более одной SPF-записи для одного и того же домена в вашем DNS.
  • Убедитесь, что ваша SPF запись не содержит лишних белых пробелов или синтаксических ошибок.

Примечание: SPF сплющивание не рекомендуется, так как это не одноразовая сделка. Если ваш поставщик услуг электронной почты меняет свою инфраструктуру, вам придется каждый раз вносить соответствующие изменения в записи SPF.

Оптимизация вашей записи SPF легко с помощью PowerSPF

Вы можете попробовать внедрить все вышеперечисленные модификации, чтобы оптимизировать вашу запись в SPF вручную, или вы можете забыть о сложностях и положиться на наш динамический PowerSPF, чтобы сделать все это за вас автоматически! PowerSPF поможет вам оптимизировать вашу запись в SPF одним щелчком мыши, где вы сможете это сделать:

  • Добавление или удаление источников отправки с легкостью
  • Обновлять записи легко без необходимости вносить изменения в DNS вручную.
  • Получить оптимизированную автоматическую SPF запись одним щелчком кнопки
  • Держитесь все время под 10 лимитом поиска DNS
  • Успешное устранение ПермОшибки
  • Забудьте о синтаксических ошибках записи SPF и проблемах конфигурации
  • Мы снимаем с вас бремя решения ограничений ПСФ.

Зарегистрируйтесь в PowerDMARC сегодня, чтобы навсегда отказаться от ограничений СПФ!