Tag Archive for: SPF Record

Vad är en SPF-post i DNS?

Varje På 39 sekunder sker en cyberattack över hela världen., varav de flesta sker via e-post. SPF hjälper dig att godkänna dina avsändare så att din domän inte kan bli manipulerad av en obehörig tredje part som skickar e-post. För att ställa in SPF i DNS måste du först veta vad SPF-post i DNS är.

SPF (Sender Policy Framework) är ett protokoll för autentisering av e-post som gör det möjligt för specifika IP-adresser att skicka e-postmeddelanden med ett domännamn. En IP-adress utanför listan kommer inte att nå mottagarens brevlåda eftersom det leder till SPF-fel.

Den skyddar dina e-postdomäner från hackare för att undvika nätfiske, spamming och e-postförfalskning. Tekniker för autentisering av e-post som SPF är idealiska för att skydda din e-postdomän. Dess struktur består av tre huvudkomponenter: mekanism, modifieringsenheter och kvalificeringsenheter. 

I den här bloggen diskuterar vi vad SPF-post i DNS är och mer .

Vad är en SPF-post i DNS?

SPF är en förkortning för Sender Policy Framework, en DNS TXT-post med en lista över servrar som får skicka e-post från en viss domän. Det fungerar när domänägare uppdaterar godtyckliga texter i DNS (Domain Name System) för att spåra och reglera respektive domännamn. 

För att förstå DNS SPF-posten måste vi först se vad DNS är.

Det är ett system som översätter en dators värdnamn till en IP-adress på Internet. Alla enheter som är anslutna till internet har en IP-adress som hjälper andra enheter att hitta dem. 

Låt oss återgå till huvudfrågan "Vad är en SPF-post?". Om ditt företag använder olika sändande IP:er kan du använda PowerDMARC:s kostnadsfria SPF-postgenerator för att skapa en förteckning över godkända IP:er i form av ett TXT-dokument som kallas SPF-record för att autentisera äkta IP:er som får använda ditt domännamn.

Hur fungerar SPF-poster?

Hittills har vi diskuterat vad SPF-post i DNS är, nu är det dags att förstå hur det fungerar. Autentiseringsprocessen börjar när du har genererat en SPF-post för din domän. E-postadressen för returvägen dubbelkontrolleras i mottagarens ände. En e-postadress för returvägen anges i e-posthuvudet, vilket definierar hur studsade e-postmeddelanden ska hanteras. Den kontrollerar om den avsändande e-postadressen finns i SPF-posterna eller inte.

Om godkännandet är positivt skickas e-postmeddelanden till "inbox", annars kan det leda till att SPF-fel.

SPF-postens struktur och komponenter

DNS SPF-posten gör din domän trovärdig, pålitlig och upprätthåller därmed ditt företags image. Det finns en lämplig struktur för SPF-poster som gör det enkelt att upprätthålla den. SPF-poster har en TXT-posttyp, som är en enda textsträng.

En DNS SPF-post börjar med elementet "v=" som anger vilken version som används. SPF1 är den vanligaste versionen som används av e-postutbytesföretag. Följande termer anger mekanismer för att kontrollera om en domän kan skicka e-post eller inte.

Mekanismer

Här är de åtta mekanismerna

  1. ALL: Det matchar alltid. Detta visar standardresultat som "-all" för IP:er som inte matchar.
  2. A: Domännamn med A eller AAAA-adresspost matchar eftersom de kan upplösas till avsändarens adress.
  3. IP4: Matchningen är framgångsrik när avsändaren är kopplad till det angivna IPv4-adressintervallet.
  4. IP6: Matchningen är framgångsrik om avsändaren tillhör det angivna IPv6-adressintervallet.
  5. MX: Avsändarens e-postadress godkänns när domännamnet har en MX-post för upplösning.
  6. PTR: Matchningen valideras när PTR-posten är kopplad till en viss domän som kan lösas upp till kundens adress. Det rekommenderas inte eftersom det kan blockera all e-post som skickas med din domän.
  7. EXISTERAR: Det fungerar om det angivna domännamnet är validerat. Denna SPF-mekanism fungerar med alla upplösta adresser.
  8. INKLUSIVE: Den hänvisar till andra domänpolicyer. Så om den godkänns godkänns den automatiskt. Men om den inkluderade principen misslyckas fortsätter bearbetningen.

Modifieringsmedel

Modifierare bestämmer DNS SPF-postens arbetsparametrar. Den består av namn- eller värdepar som är separerade med symbolen "=" och som visar på ytterligare information. De bevittnas flera gånger i slutet av SPF-posten, och alla modifierare som inte erkänns ignoreras i processen.

Modifieringen "redirect" leder till andra SPF-poster som är ansvariga för en effektiv funktion. Experter använder dem när mer än en domän är kopplad till samma SPF-post. Denna modifiering måste användas om en enda enhet kontrollerar alla domäner, annars används modifieringen "include".

Kvalificeringsförfaranden

Varje mekanism kan kombineras med en av fyra kvalificerande faktorer.

"+" för resultatet PASS

'?' för ett resultat NEUTRAL som tolkas som NONE-politiken.

"~" för SOFTFAIL. Vanligtvis accepteras meddelanden som returnerar SOFTFAIL, men de är märkta.

"-" för FAIL, e-postmeddelandet avvisas.

Varför används SPF-poster?

Följande är de främsta skälen till att veta vad SPF-posten i DNS är och hur den används .

Att undvika cyberattacker

Skadliga aktörer skickar oautentiserade och bedrägliga e-postmeddelanden med ditt domännamn för att vinna förtroende hos dina kunder, potentiella kunder, intressenter osv. De skapar e-postadresser för företag som använder din domän för att försöka nätfiske, spamming, e-postspoofing och andra cyberattacker. 

Om du förstår konfigurationsprocessen för protokollet kan du dock och skapar en sådan för ditt företag, blir det relativt svårt och tidskrävande för hotbildare att utnyttja din domän. Detta kommer så småningom att minska sannolikheten för att komma under deras radar.

Förbättra leveransbarheten för e-post

Domäner utan DNS SPF-poster har stor chans att deras e-postmeddelanden avvisas eller stämplas som "skräppost ". Om detta fortsätter kommer möjligheten att nå brevlådan att försämras. Detta innebär att de flesta e-postmeddelanden som skickas med ditt domännamn inte når fram till mottagaren, vilket påverkar din verksamhet.

DMARC-överensstämmelse

DMARC står för Domain-based Message Authentication, Reporting and Conformance (domänbaserad autentisering, rapportering och överensstämmelse av meddelanden). Det är en annan teknik för autentisering av e-post som förhindrar spamming, phishing och spofing av e-postmeddelanden.

Det säkerställer att endast tillåtna enheter kan skicka e-post via en viss domän. Den bygger på SPF- och DKIM-verifiering (en annan policy för autentisering av e-post) och anger hur mottagarens brevlåda ska behandla varje e-postmeddelande som tas emot från din domän. Baserat på detta markeras de som "skräppost", "avvisade" eller "levererade som normalt". 

Dessutom kan domänadministratörer kontrollera rapporter som registrerar deras e-postaktivitet och ändra sin DMARC-policy i enlighet därmed. PowerDMARC kan göra det problemfritt för ditt företag att anta DMARC-policyn genom att regelbundet övervaka och justera den enligt kraven. 

Slutliga tankar

SPF-skyddade e-postdomäner avskräcker dåliga aktörer eftersom det tar extra tid och ansträngning att äventyra dem för att försöka utföra skadlig verksamhet. SPF synkroniseras med DNS för att se till att endast auktoriserade enheter kan skicka e-post från en viss domän. 

Annars kan cyberaktörer utnyttja ditt varumärke genom att skicka falska e-postmeddelanden och skräppost där de ber mottagarna att klicka på en skadlig länk, ladda ner en skadad fil eller dela känsliga uppgifter. I många fall begär de till och med en direkt penningöverföring i ditt företags namn. 

När du väl har konfigurerat din DNS-post för SPF, glöm inte att kontrollera den med hjälp av vår kostnadsfria SPF-kontroll för att testa dess giltighet!

Vad är SPF-post i DNS?

/av

Hur fixar jag för många DNS-sökningar?

Ett mycket vanligt problem som SPF-användare möter dagligen är risken att generera för många DNS-sökningar som kan göra att de enkelt överskrider SPF-hårdgränsen. Detta returnerar ett SPF PermError-resultat när DMARC-övervakning är aktiverat och orsakar problem med e-postresultat. Med branschexperter som kommer med lösningar som SPF-förenklingstjänster för att mildra problemet levererar PowerSPF faktiskt sina påståenden och överträffar förväntningarna. Läs vidare för att lära dig hur!

För många DNS-uppslag: Varför händer detta?

Det första du bör förstå är varför du i slutändan genererar för många DNS-uppslag i första hand. Detta beror på att oavsett vilken e-postväxlarlösning du använder lägger din tjänsteleverantör till fler mekanismer i din post vilket resulterar i fler uppslag.

Om du till exempel använder Googles e-postväxlare eller Gmail genererar en SPF-post som v=spf1 include:[email protected]alla faktiskt totalt 4 DNS-sökningar. Kapslade inkluderar också initiera fler uppslag och om du använder flera tredjepartsleverantörer för att skicka e-postmeddelanden med din domän kan du enkelt överskrida gränsen för 10 DNS-sökning.

Förenklar SPF lösningen? Nej!

Svaret är nej. Manuell förenkling av SPF kan hjälpa dig att hålla dig under SPF 10-uppslagsgränsen, men den har sin egen uppsättning begränsningar och utmaningar. Om du plattar ut din SPF manuellt ersätter den helt enkelt include-satserna i din SPF-post med motsvarande IP-adresser för att eliminera behovet av uppslag. Detta säkerställer att du inte i slutändan genererar för många DNS-sökningar i första hand, vilket hjälper dig att hålla dig under 10-uppslags SPF-gränsen och undvika permerror . Men problem med manuella SPF-förenklingslösningar är:

  • SPF-postlängden kan vara för lång (mer än 255 tecken)
  • Din e-postleverantör kan ändra eller lägga till sina IP-adresser utan att meddela dig
  • Det finns ingen instrumentpanel för att övervaka e-postflöde, ändra eller uppdatera dina domäner och mekanismer och spåra aktiviteter
  • Du måste ständigt göra ändringar i din DNS för att uppdatera din SPF-post
  • Din e-postavkomlighet kan påverkas på grund av de frekventa IP-ändringarna

Hur påverkar de här dig? Tja, om din SPF-post inte uppdateras på de nya IP-adresserna som dina e-postleverantörer använder, kommer dina IP-adresser oundvikligen att misslyckas SPF på mottagarens sida.

Dynamisk SPF-förenkling för att lösa för många DNS-uppslag

En smartare lösning för att bjuda adieu till DNS-uppslagsfel är PowerSPF, din automatiska SPF-postplatta. PowerSPF är din SPF-förenklingslösning i realtid som hjälper dig att:

  • Konfigurera enkelt SPF för din domän med bara några klick
  • Platta till SPF-post med ett klick direkt med en enda inkludera-sats för att njuta av automatisk SPF-hantering
  • Håll dig alltid under gränsen för 10 DNS-sökning
  • Uppdatera netblock automatiskt och sök efter ändrade IP-adresser hela tiden för att hålla din SPF-post uppdaterad
  • Underhåll en användarvänlig instrumentpanel där du enkelt kan uppdatera ändringar i dina principer, lägga till domäner och mekanismer och övervaka e-postflödet.

Varför förlita sig på SPF-komprimeringsverktyg som kan ge tillfälliga resultat med underliggande begränsningar? Optimera din SPF-post och minska SPF-hårdgränsen med Automatisk SPF idag! Registrera dig för PowerSPF nu?

Vad är SPF-post i DNS?

/av

Skäl att undvika SPF-förenkling

Skäl till varför man undviker SPF-förenkling

Sender Policy Framework, eller SPF är ett allmänt hyllat e-postautentiseringsprotokoll som validerar dina meddelanden genom att autentisera dem mot alla auktoriserade IP-adresser som är registrerade för din domän i din SPF-post. För att validera e-postmeddelanden anger SPF till den mottagande e-postservern att utföra DNS-frågor för att söka efter auktoriserade IP-adresser, vilket resulterar i DNS-sökningar.

Din SPF-post finns som en DNS TXT-post som består av en sammansättning av olika mekanismer. De flesta av dessa mekanismer (till exempel inkluderar, a, mx, redirect, exists, ptr) genererar DNS-uppslag. Det maximala antalet DNS-sökningar för SPF-autentisering är dock begränsat till 10. Om du använder olika tredjepartsleverantörer för att skicka e-postmeddelanden med din domän kan du enkelt överskrida SPF-hårdgränsen.

Du kanske undrar, vad händer om du överskrider denna gräns? Om du överskrider gränsen för 10 DNS-sökningar kommer SPF att misslyckas och även legitima meddelanden som skickas från din domän ogiltigförklaras. I sådana fall returnerar den mottagande e-postservern en SPF PermError-rapport till din domän om du har DMARC-övervakning aktiverad. Detta gör att vi kommer till det primära diskussionsämnet för den här bloggen: SPF-förenkling.

Vad är SPF-förenkling?

SPF-skivbetoning är en av de populära metoderna som används av branschexperter för att optimera din SPF-post och undvika att överskrida SPF-hårdgränsen. Förfarandet för SPF-förenkling är ganska enkelt. Att förenkla din SPF-post är processen att ersätta alla inkludera mekanismer med sina respektive IP-adresser för att eliminera behovet av att utföra DNS-sökningar.

Om SPF-posten till exempel först såg ut ungefär så här:

v=spf1 inkludera:spf.domain.com -all

En tillplattad SPF-skiva kommer att se ut ungefär så här:

v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -all

Den här förenklade posten genererar bara en DNS-sökning i stället för att utföra flera uppslag. Att minska antalet DNS-frågor som utförs av den mottagande servern under e-postautentisering hjälper till att hålla sig under gränsen för 10 DNS-sökning, men det har egna problem.

Problemet med SPF-förenkling

Bortsett från det faktum att din manuellt tillplattade SPF-post kan bli för lång för att publicera på din domäns DNS (som överskrider gränsen på 255 tecken), måste du ta hänsyn till att din e-postleverantör kan ändra eller lägga till sina IP-adresser utan att meddela dig som användare. Då och då när din leverantör gör ändringar i sin infrastruktur skulle dessa ändringar inte återspeglas i din SPF-post. Därför, när dessa ändrade eller nya IP-adresser används av din e-postserver, misslyckas e-postmeddelandet SPF på mottagarens sida.

PowerSPF: Din dynamiska SPF-postgenerator

Det ultimata målet med PowerDMARC var att komma fram till en lösning som kan förhindra domänägare från att nå 10 DNS-uppslagsgränsen, samt optimera din SPF-post för att alltid hålla dig uppdaterad om de senaste IP-adresserna som dina e-postleverantörer använder. PowerSPF är din automatiserade SPF-förenklingslösning som drar igenom din SPF-post för att generera en enda include-sats. PowerSPF hjälper dig:

  • Lägga till eller ta bort IPs och mekanismer med lätthet
  • Uppdatera netblocks automatiskt för att se till att dina auktoriserade IPs alltid är uppdaterade
  • Håll dig under 10 DNS-uppslagsgränsen med lätthet
  • Få en optimerad SPF-post med ett enda klick
  • Permanent besegra "permerror"
  • Implementera felfri SPF

Anmäl dig till PowerDMARC idag för att säkerställa förbättrad leveransbarhet och autentisering av e-post, samtidigt som du håller dig under gränsen på 10 DNS SPF-sökningar.

Vad är SPF-post i DNS?

/av

Hur optimerar jag SPF-posten?

I den här artikeln kommer vi att utforska hur du enkelt optimerar SPF-posten för din domän. För företag såväl som småföretag som har en e-postdomän för att skicka och ta emot meddelanden bland sina kunder, partners och anställda är det mycket troligt att det finns en SPF-post som standard, som har konfigurerats av din inkorgstjänstleverantör. Oavsett om du har en befintlig SPF-post eller om du behöver skapa en ny, måste du optimera din SPF-post korrekt för din domän för att säkerställa att den inte orsakar några problem med e-postleverans.

Vissa e-postmottagare kräver strikt SPF, vilket indikerar att om du inte har en SPF-post publicerad för din domän kan dina e-postmeddelanden markeras som skräppost i mottagarens inkorg. Dessutom hjälper SPF till att upptäcka obehöriga källor som skickar e-postmeddelanden för din domäns räkning.

Låt oss först förstå vad som är SPF och varför behöver du det?

SPF (Sender Policy Framework)

SPF är i huvudsak ett standardprotokoll för e-postautentisering som anger de IP-adresser som har behörighet att skicka e-postmeddelanden från din domän. Den fungerar genom att jämföra avsändaradresser med listan över auktoriserade sändande värdar och IP-adresser för en viss domän som publiceras i DNS för den domänen.

SPF, tillsammans med DMARC (Domänbaserad meddelandeautentisering, rapportering och konformation) är utformad för att upptäcka förfalskade avsändaradresser under e-postleverans och förhindra förfalskning av attacker, nätfiske och e-postbedrägerier.

Det är viktigt att veta att även om standard-SPF som är integrerat i din domän av din värdleverantör säkerställer att e-postmeddelanden som skickas från din domän autentiseras mot SPF om du har flera tredjepartsleverantörer för att skicka e-postmeddelanden från din domän, måste denna befintliga SPF-post skräddarsys och ändras för att passa dina krav. Hur kan du göra det? Låt oss utforska två av de vanligaste sätten:

  • Skapa en helt ny SPF-post
  • Optimera en befintlig SPF-post

Instruktioner om hur du optimerar SPF-post

Skapa en helt ny SPF-post

Att skapa en SPF-post är helt enkelt att publicera en TXT-post i domänens DNS för att konfigurera SPF för din domän. Detta är ett obligatoriskt steg som kommer innan du börjar med hur du optimerar SPF-posten. Om du precis har börjat med autentisering och osäker på syntaxen kan du använda vår kostnadsfria SPF-postgenerator online för att skapa en SPF-post för din domän.

En SPF-postpost med rätt syntax ser ut ungefär så här:

v=spf1 ip4:38.146.237 inkludera:exempel.com -all

v=spf1Anger vilken version av SPF som används
ip4/ip6Den här mekanismen anger giltiga IP-adresser som har behörighet att skicka e-post från din domän.
inbegripaDen här mekanismen talar om för de mottagande servrarna att inkludera värdena för SPF-posten för den angivna domänen.
-allaDen här mekanismen anger att e-postmeddelanden som inte är SPF-kompatibla skulle avvisas. Det här är den rekommenderade taggen du kan använda när du publicerar SPF-posten. Men det kan ersättas med ~ för SPF Soft Fail (icke-kompatibla e-postmeddelanden skulle markeras som mjukt fel men skulle fortfarande accepteras) Eller + som anger att alla servrar skulle tillåtas att skicka e-postmeddelanden för din domäns räkning, vilket är starkt avskräckt.

Om du redan har konfigurerat SPF för din domän kan du också använda vår kostnadsfria SPF-postkontroll för att slå upp och validera din SPF-post och upptäcka problem.

Vanliga utmaningar och fel när du konfigurerar SPF

1) 10 DNS-uppslagsgräns 

Den vanligaste utmaningen för domänägare när de konfigurerar och antar SPF-autentiseringsprotokoll för sin domän är att SPF har en gräns för antalet DNS-sökningar, som inte får överstiga 10. För domäner som förlitar sig på flera tredjepartsleverantörer överskrider gränsen för 10 DNS-sökning lätt vilket i sin tur bryter SPF och returnerar en SPF PermError. Den mottagande servern ogiltigförklarar i sådana fall automatiskt din SPF-post och blockerar den.

Mekanismer som initierar DNS-sökningar: MX, A, INCLUDE, REDIRECT modifier

2) SPF Void-sökning 

Annullerade sökningar refererar till DNS-sökningar som antingen returnerar NOERROR-svar eller NXDOMAIN-svar (ogiltigt svar). När du implementerar SPF rekommenderas att se till att DNS-sökningar inte returnerar ett ogiltigt svar i första hand.

3) SPF Rekursiv slinga

Det här felet indikerar att SPF-posten för den angivna domänen innehåller rekursiva problem med en eller flera av INCLUDE-mekanismerna. Detta sker när en av de domäner som anges i INCLUDE-taggen innehåller en domän vars SPF-post innehåller INCLUDE-taggen för den ursprungliga domänen. Detta leder till en oändlig slinga som gör att e-postservrar kontinuerligt utför DNS-sökningar för SPF-posterna. Detta leder i slutändan till att överskrida 10 DNS-uppslagsgränsen, vilket resulterar i att e-postmeddelanden misslyckas SPF.

4) Syntaxfel 

Det kan finnas en SPF-post i domänens DNS, men den är inte till någon nytta om den innehåller syntaxfel. Om din SPF TXT-post innehåller onödiga blanksteg när du skriver domännamnet eller mekanismnamnet ignoreras strängen före det extra utrymmet helt av den mottagande servern när du utför en sökning och därmed ogiltigförklarar SPF-posten.

5) Flera SPF-poster för samma domän

En enda domän kan bara ha en SPF TXT-post i DNS. Om din domän innehåller mer än en SPF-post ogiltigförklarar den mottagande servern dem alla, vilket gör att e-postmeddelanden misslyckas med SPF.

6) SPF-postens längd 

Den maximala längden på en SPF-post i DNS är begränsad till 255 tecken. Den här gränsen kan dock överskridas och en TXT-post för SPF kan innehålla flera strängar sammanfogade tillsammans, men inte över en gräns på 512 tecken, för att passa DNS-frågesvaret (enligt RFC 4408). Även om detta senare reviderades, skulle mottagare som förlitar sig på äldre DNS-versioner inte kunna validera e-postmeddelanden som skickas från domäner som innehåller en lång SPF-post.

Optimera SPF-posten

För att snabbt ändra din SPF-post kan du använda följande metodtips för SPF:

  • Försök att skriva ner dina e-postkällor i minska prioritetsordningen från vänster till höger i din SPF-post
  • Ta bort föråldrade e-postkällor från din DNS
  • Använd IP4/IP6-mekanismer istället för A och MX
  • Håll antalet INCLUDE-mekanismer så lågt som möjligt och undvik kapslade
  • Publicera inte mer än en SPF-post för samma domän i din DNS
  • Kontrollera att SPF-posten inte innehåller några redundanta blanksteg eller syntaxfel

Anmärkning: SPF-förenkling rekommenderas inte eftersom det inte är en engångsaffär. Om din e-postleverantör ändrar sin infrastruktur måste du ändra dina SPF-poster i enlighet därmed, varje gång.

Optimera din SPF-post enkelt med PowerSPF

Du kan gå vidare och försöka implementera alla dessa ovan nämnda ändringar för att optimera din SPF-post manuellt, eller så kan du glömma besväret och lita på vår dynamiska PowerSPF för att göra allt det för dig automatiskt! PowerSPF hjälper dig att optimera din SPF-post med ett enda klick, där du kan:

  • Lägg enkelt till eller ta bort sändarkällor
  • Uppdatera poster enkelt utan att behöva göra ändringar manuellt i din DNS
  • Få en optimerad automatisk SPF-post med ett enda klick på en knapp
  • Håll dig under gränsen för 10 DNS-sökningar hela tiden
  • Minska PermError
  • Glöm syntaxfel och konfigurationsproblem med SPF-post
  • Vi tar bort bördan av att lösa SPF-begränsningar för din räkning

Registrera dig hos PowerDMARC idag för att bjuda adieu till SPF-begränsningar för alltid!  

Vad är SPF-post i DNS?

/av

Varför SPF inte är tillräckligt bra för att sluta förfalska

Som DMARC-tjänsteleverantör får vi frågan mycket: "Om DMARC bara använder SPF- och DKIM-autentisering, varför ska vi bry oss om DMARC? Är inte det bara onödigt?"

På ytan kan det tyckas göra liten skillnad, men verkligheten är väldigt annorlunda. DMARC är inte bara en kombination av SPF- och DKIM-teknik, det är ett helt nytt protokoll i sig. Den har flera funktioner som gör det till en av de mest avancerade e-postautentiseringsstandarderna i världen och en absolut nödvändighet för företag.

Men vänta lite. Vi har inte svarat exakt varför du behöver DMARC. Vad erbjuder det att SPF och DKIM inte gör det? Det är ett ganska långt svar. för länge för bara ett blogginlägg. Så låt oss dela upp det och prata om SPF först. Om du inte känner till det, här är ett snabbt intro.

Vad är SPF?

SPF, eller Sender Policy Framework, är ett e-postautentiseringsprotokoll som skyddar e-postmottagaren från falska e-postmeddelanden. Det är i huvudsak en lista över alla IP-adresser som är auktoriserade att skicka e-post via dina (domänägarens) kanaler. När den mottagande servern ser ett meddelande från din domän kontrollerar den din SPF-post som publiceras på din DNS. Om avsändarens IP finns i denna "lista" levereras e-postmeddelandet. Om inte, avvisar servern e-postmeddelandet.

Läs mer

Som du kan se gör SPF ett ganska bra jobb med att hålla många obehagliga e-postmeddelanden som kan skada din enhet eller äventyra din organisations säkerhetssystem. Men SPF är inte alls så bra som vissa kanske tror. Det beror på att det har några mycket stora nackdelar. Låt oss prata om några av dessa problem.

Begränsningar för SPF

SPF-poster gäller inte för från-adressen

E-postmeddelanden har flera adresser för att identifiera avsändaren: från-adressen som du normalt ser och retursökvägens adress som är dold och kräver ett eller två klick för att visa. När SPF är aktiverat tittar den mottagande e-postservern på retursökvägen och kontrollerar SPF-posterna för domänen från den adressen.

Problemet här är att angripare kan utnyttja detta genom att använda en falsk domän i sin return path-adress och en legitim (eller legitim) e-postadress i avsnittet Från. Även om mottagaren skulle kontrollera avsändarens e-post-ID skulle de se från-adressen först och bryr sig vanligtvis inte om att kontrollera retursökvägen. Faktum är att de flesta människor inte ens är medvetna om att det finns något sådant som Return Path-adress.

SPF kan ganska enkelt kringgås genom att använda detta enkla trick, och det lämnar även domäner säkrade med SPF till stor del sårbara.

SPF-poster har en DNS-uppslagsgräns

SPF-poster innehåller en lista över alla IP-adresser som domänägaren har godkänt för att skicka e-post. Men de har en avgörande nackdel. Den mottagande servern måste kontrollera posten för att se om avsändaren har behörighet och för att minska belastningen på servern har SPF-poster en gräns på 10 DNS-sökningar.

Detta innebär att om din organisation använder flera tredjepartsleverantörer som skickar e-post via din domän kan SPF-posten sluta överskrida den gränsen. Om du inte är korrekt optimerad (vilket inte är lätt att göra själv) kommer SPF-poster att ha en mycket restriktiv gräns. När du överskrider den här gränsen anses SPF-implementeringen vara ogiltig och din e-post misslyckas med SPF. Detta kan potentiellt skada dina e-postleveranskostnader.

Lära sig mer

 

SPF fungerar inte alltid när e-postmeddelandet vidarebefordras

SPF har en annan kritisk felpunkt som kan skada din e-post leveransbarhet. När du har implementerat SPF på din domän och någon vidarebefordrar din e-post kan den vidarebefordrade e-postmeddelandet avvisas på grund av din SPF-policy.

Det beror på att det vidarebefordrade meddelandet har ändrat e-postmeddelandets mottagare, men e-postavsändarens adress förblir densamma. Detta blir ett problem eftersom meddelandet innehåller den ursprungliga avsändarens Från-adress men den mottagande servern ser en annan IP. IP-adressen för vidarebefordran av e-postservern ingår inte i SPF-posten för den ursprungliga avsändarens domän. Detta kan leda till att e-postmeddelandet avvisas av den mottagande servern.

Hur löser DMARC dessa problem?

DMARC använder en kombination av SPF och DKIM för att autentisera e-post. Ett e-postmeddelande måste passera antingen SPF eller DKIM för att passera DMARC och levereras framgångsrikt. Och det lägger också till en nyckelfunktion som gör den mycket effektivare än SPF eller DKIM ensam: Rapportering.

Med DMARC-rapportering får du daglig feedback om statusen för dina e-postkanaler. Detta inkluderar information om din DMARC-anpassning, data om e-postmeddelanden som misslyckades med autentisering och detaljer om potentiella spoofing-försök.

Om du undrar vad du kan göra för att inte bli förfalskad, kolla in vår praktiska guide på de 5 bästa sätten att undvika e-postförfalskning.

Vad är SPF-post i DNS?

/av