SPF (Sender Policy Framework) är en postmodifierare som pekar på ett separat domännamn som innehåller en SPF-post. Domänägare kan konfigurera flera domäner så att de kan använda en enda SPF-post som finns på en domän med hjälp av SPF-omdirigering. Även om det kan verka fördelaktigt på vissa sätt rekommenderar vi det inte. Läs mer för att ta reda på varför!

Introduktion till SPF och Redirect Modifier

SPF är en standard för autentisering av e-post som skyddar din organisation mot personifiering och skräppost genom att upprätthålla ett register över auktoriserade parter. 

SPF-omdirigeringsmodifieringen är valfri och får endast användas en gång per SPF-post. Det finns vissa förutsättningar för att använda SPF-omdirigering. Dessa är följande:

  • Det är bara meningsfullt när en organisation arbetar med flera olika domäner. 
  • Alla dessa domäner måste dela samma e-postinfrastruktur.
  • Den andra domänen, som omdirigeras, måste ha en giltig SPF-post.
  • För att använda SPF-omdirigering måste domänägaren ha kontroll över alla domäner som deltar i omdirigeringskedjan.

Hur fungerar SPF Redirect-modifieringen?

För att bättre förstå funktionaliteten hos SPF-omdirigeringen kan vi ta en titt på följande exempel: 

Om domain_test.com har en SPF-post som t.ex:
v=spf1 redirect=domain_test2.com

Detta visar att SPF-posten för "domain_test2.com" ska användas i stället för "domain_test". E-postmeddelanden från domain_test skulle då omdirigeras med hjälp av "domain_test2".

När kan du använda SPF-omdirigeringsmodifieringen?

1. När en enda post ska användas för flera domäner

Till exempel,

delaware.example.com. TXT "v=spf1 redirect=_spf.example1.com"
austin.example.com TXT "v=spf1 redirect=_spf.example1.com"
washington.example.com TXT "v=spf1 redirect=_spf.example1.com"
_spf.example.com. TXT "v=spf1 mx:example1.com -all"

I det här exemplet kommer all e-post från de tre ovanstående domänerna att beskrivas av samma post, i det här fallet "_spf.example1.com", vilket ger användarna en administrativ fördel.

2. När domännamnet behöver ändras.

För alla mekanismer är värdena "a", "mx" och "ptr" valfria. Om inga specifika värden anges sätts de till den aktuella domänen. När en "redirect" används pekar dock mekanismerna "a", "mx" och "ptr" på den omdirigerade domänen.

Ta följande exempel:
exempel: powerdmarc.com "v=spf1 a -all"

Här har mekanismen "a" inget specificerat värde, så den kommer att peka på DNS A-posten "powerdmarc.com" eftersom det är där SPF-posten finns enligt exemplet.

Ta följande exempel:
powerdmarc.com "v=spf1 redirect=_spf.powerdmarc.com"
_spf.powerdmarc.com "v=spf1 a -all"

I exemplet ovan pekar "a"-mekanismen på DNS A-posten "_spf.powerdmarc.com", även om rotdomänen "powerdmarc.com" omdirigerar den.

Detta är en av de vanligaste orsakerna till valideringsproblem i SPF och är svårt att felsöka. Om din organisation använder en SPF-"redirect", observera att om det finns en "a"-, "mx"- eller "ptr"-mekanism utan ett explicit definierat domännamn i din omdirigerade SPF-post, kommer den bara att peka på den omdirigerade domänen.

Nackdelar med att använda SPF Redirect

1. Modifieringen "redirect" ökar antalet DNS-sökningar.

När du använder SPF-autentisering av e-post, varje gång ett e-postmeddelande skickas från en domän till mottagarens domän, utför mottagarens e-postserver DNS-förfrågningar, även kallade DNS-uppslag, för att kontrollera om det finns auktoriserade IP-adresser i din DNS och jämföra dem med IP-adressen i returvägshuvudet i det mottagna e-postmeddelandet. SPF RFC7208 begränsar det maximala antalet sökningar till 10. 

Om du använder en "redirect"-modifiering ökar antalet också. Din organisation måste alltså vara försiktig när den använder en "redirect"-modifiering, eftersom 10 DNS-sökgränsen kan överskridas. Detta kan leda till att SPF bryts och att autentiseringen misslyckas.

På PowerDMARC konfigurerar våra användare PowerSPF, som är ett effektivt SPF-utjämningsverktyg för att begränsa antalet sökningar och få en felfri SPF.

2. Ett felaktigt resultat returneras om ingen SPF-policy har definierats i domäner som använder "redirect".

Om du inkluderar en domän som inte innehåller någon SPF-post eller har en ogiltig sådan returneras ett softfail (ingen) resultat som inte påverkar verifieringsprocessen. 

Men om den omdirigerade domänen innehåller en ogiltig eller saknad SPF-post för SPF när du använder SPF-omdirigeringsmodifieringen returneras ett SPF Permerror-resultat, vilket är ett svårt misslyckande och kan leda till att SPF går sönder.

Användning av SPF include-mekanismen i stället för SPF redirect-modifieringen.

Vi rekommenderar att du använder SPF include-mekanismen i stället för redirect-modifieringen för att undvika vissa vanliga komplikationer:

  • När en omdirigering används innebär det att posten är avslutad och inga ytterligare ändringar kan göras. Om du däremot använder en SPF include kan du göra ändringar i din post och lägga till fler includes-, a- eller mx-poster efter eget önskemål, vilket ger större flexibilitet.
  • Inkluderingsmekanismen kan hjälpa dig att förkorta din SPF-post så att den inte överskrider gränsen för SPF-teckenlängd. Du kan skapa en SPF TXT-post för spfrecord1.xyz.com och spfrecord2.abc.com genom att dela upp den ursprungliga långa SPF-posten och inkludera båda domänerna i TXT-posten för en av domänerna (t.ex. xyz.com).
  • Om det finns ingen SPF-post hittades I en omdirigerad domän kan man också undvika att behålla feltillstånd (permerror-värde) för omdirigering som nämns ovan genom att använda include-mekanismen, som i stället returnerar ett softfail-resultat och som fortfarande levererar din e-post.
  • Till skillnad från SPF include, som inte har någon effekt på all-mekanismen, instruerar SPF-omdirigeringsmodifieringen servern att göra SPF ~all för rotdomänen med hjälp av omdirigering som i följande fall:
    domain1.com "v=spf1 redirect=_spf.domain2.com"
    _spf.domain2.com "v=spf1 ip4:164.100.226.127 ~all
    Detta beror på att för alla poster som använder redirect saknas "all"-mekanismen i första hand, vilket kan förekomma vid användning av include-mekanismer. Därför gäller "~all"-satsen för den omdirigerade underdomänen även för rotdomänen.

Slutsats

Det finns många saker att vara försiktig med när du använder en modifiering för "omdirigering" som begränsningen på 10 DNS-sökningar, och därför måste din organisation vara försiktig när du skapar din SPF-post. Din organisation måste optimera SPF-posterna från tid till annan och se till att DNS-sökningarna ligger inom gränsen. För alla SPF-relaterade frågor inom din organisation, kolla in PowerSPF.. Den utför automatisk utjämning och automatisk uppdatering av nätblocken för att se till att de auktoriserade IP-adresserna alltid är uppdaterade och säkra. Dessutom behöver du inte oroa dig för att permerror eller överskrida gränserna för DNS-uppslag.

Det bästa sättet att säkra din e-post med SPF är att implementera det med DKIM och gratis DMARC. Detta hjälper dig att skydda din organisation mot skräppost och eventuella spear-phishing-försök. Kolla in PowerDMARC och se till att din organisation använder en aktiv tjänsteleverantör för DMARC-teknik mot spionage.