Inlägg

Standarder för e-postautentisering: SPF, DKIM och DMARC visar lovande sätt att minska e-postförfalskningsförsök och förbättra e-postsäkerheten. Även om du skiljer falska (falska) e-postmeddelanden från legitima, går e-postautentiseringsstandarder längre för att skilja om ett e-postmeddelande är legitimt genom att verifiera avsändarens identitet.

När fler organisationer antar dessa standarder börjar det övergripande budskapet om förtroende och auktoritet i e-postkommunikation att bekräfta sig själv. Varje företag som är beroende av e-postmarknadsföring, projektförfrågningar, finansiella transaktioner och det allmänna informationsutbytet inom eller mellan företag måste förstå grunderna i vad dessa lösningar är utformade för att uppnå och vilka fördelar de kan få ut av dem.

Vad är E-postförfalskning?

E-postförfalskning är en vanlig cybersäkerhetsfråga som möter företag idag. I den här artikeln kommer vi att förstå hur förfalskning fungerar och de olika metoderna för att bekämpa det. Vi kommer att lära oss om de tre autentiseringsstandarder som används av e-postleverantörer − SPF, DKIM och DMARC för att förhindra att det händer.

E-postförfalskning kan klassificeras som en avancerad social ingenjörsattack som använder en kombination av sofistikerade tekniker för att manipulera meddelandemiljön och utnyttja legitima funktioner i e-post. Dessa e-postmeddelanden kommer ofta att verka helt legitima, men de är utformade i syfte att få tillgång till din information och / eller resurser. E-postförfalskning används för en mängd olika ändamål, allt från försök att begå bedrägeri, för att bryta mot säkerheten och till och med för att försöka få tillgång till konfidentiell affärsinformation. Som en mycket populär form av e-postförfalskning syftar falska attacker till att lura mottagare att tro att ett e-postmeddelande skickades från ett företag de använder och kan lita på, istället för den faktiska avsändaren. Eftersom e-postmeddelanden alltmer skickas och tas emot i bulk har denna skadliga form av e-postbedrägeri ökat dramatiskt under de senaste åren.

Hur kan e-postautentisering förhindra förfalskning?

E-postautentisering hjälper dig att verifiera e-post som skickar källor med protokoll som SPF, DKIM och DMARC för att förhindra att angripare förfalskar domännamn och startar falska attacker för att lura intet ont anande användare. Den ger verifierbar information om e-postavsändare som kan användas för att bevisa deras legitimitet och ange för att ta emot MTA vad man ska göra med e-postmeddelanden som misslyckas med autentisering.

För att ta del av de olika fördelarna med e-postautentisering kan vi därför bekräfta att SPF, DKIM och DMARC hjälper till med:

  • Skydda din domän från nätfiskeattacker, domänförfalskning och BEC
  • Tillhandahålla detaljerad information och insikter om e-post som skickar källor
  • Förbättra domänens rykte och e-postens leveranshastigheter
  • Förhindra att dina legitima e-postmeddelanden markeras som skräppost

Hur arbetar SPF, DKIM och DMARC tillsammans för att stoppa förfalskning?

Policyram för avsändare

SPF är en e-postautentiseringsteknik som används för att förhindra spammare från att skicka meddelanden för din domäns räkning. Med den kan du publicera auktoriserade e-postservrar, vilket ger dig möjlighet att ange vilka e-postservrar som får skicka e-post för din domäns räkning. En SPF-post lagras i DNS och listar alla IP-adresser som har behörighet att skicka e-post till din organisation.

Om du vill utnyttja SPF på ett sätt som säkerställer att det fungerar korrekt måste du se till att SPF inte bryts för dina e-postmeddelanden. Detta kan inträffa om du överskrider gränsen för 10 DNS-sökning, vilket orsakar SPF-permerror. SPF-förenkling kan hjälpa dig att hålla dig under gränsen och autentisera dina e-postmeddelanden sömlöst.

Domäntangenter identifierad e-post

Att utge sig för att vara en betrodd avsändare kan användas för att lura mottagaren att släppa garden. DKIM är en e-postsäkerhetslösning som lägger till en digital signatur till varje meddelande som kommer från kundens inkorg, så att mottagaren kan verifiera att den verkligen har godkänts av din domän och ange webbplatsens betrodda lista över avsändare.

DKIM fäster ett unikt hash-värde, länkat till ett domännamn, på varje utgående e-postmeddelande, så att mottagaren kan kontrollera att ett e-postmeddelande som påstår sig ha kommit från en viss domän faktiskt godkändes av domänens ägare eller inte. Detta hjälper i slutändan till att plocka upp falska försök.

Domänbaserad meddelandeautentisering, rapportering och konformation

Att bara implementera SPF och DKIM kan hjälpa till att verifiera sändningskällor men är inte tillräckligt effektivt för att sluta förfalska på egen hand. För att stoppa cyberbrottslingar från att leverera falska e-postmeddelanden till dina mottagare måste du implementera DMARC idag. DMARC hjälper dig att justera e-postrubriker för att verifiera e-post från adresser, avslöja falska försök och bedräglig användning av domännamn. Dessutom ger det domänägare möjlighet att ange till e-post som tar emot servrar hur man svarar på e-postmeddelanden som misslyckas med SPF- och DKIM-autentisering. Domänägare kan välja att leverera, sättas i karantän och avvisa falska e-postmeddelanden baserat på graden av DMARC-verkställighet de behöver.

Endast en DMARC-policy för avslag tillåter dig att sluta förfalska.

Dessutom erbjuder DMARC också en rapporteringsmekanism för att ge domänägare synlighet på sina e-postkanaler och autentiseringsresultat. Genom att konfigurera DMARC-rapportanalysatornkan du regelbundet övervaka dina e-postdomäner med detaljerad information om e-post som skickar källor, e-postautentiseringsresultat, geolokaliseringar av bedrägliga IP-adresser och den övergripande prestandan för dina e-postmeddelanden. Det hjälper dig att tolka dina DMARC-data i ett organiserat och läsbart format och vidta åtgärder mot angripare snabbare.

I slutändan kan SPF, DKIM och DMARC arbeta tillsammans för att hjälpa dig att katapultera organisationens e-postsäkerhet till nya höjder och stoppa angripare från att förfalska ditt domännamn för att skydda din organisations rykte och trovärdighet.

Om du är på den här sidan och läser den här bloggen är chansen stor att du har stött på någon av följande uppmaningar:

  • Ingen SPF-post hittades
  • SPF-posten saknas
  • Ingen SPF-post
  • SPF-posten hittades inte
  • Ingen SPF-post publicerad
  • Det gick inte att hitta SPF-posten

Prompten innebär helt enkelt att din domän inte är konfigurerad med SPF-e-postautentiseringsstandard. En SPF-post är en DNS TXT-post som publiceras i domänens DNS för att autentisera meddelanden genom att kontrollera dem mot de auktoriserade IP-adresser som får skicka e-postmeddelanden för din domäns räkning, som ingår i din SPF-post. Så naturligtvis om din domän inte autentiseras med SPF-protokoll kan du stöta på meddelandet "Ingen SPF-post hittades".

Vad är SPF (Sender Policy Framework)?

SPF-e-postautentiseringsstandard är en mekanism som används för att förhindra spammare från att skapa e-postmeddelanden. Den använder DNS-poster för att verifiera att den sändande servern får skicka e-post från domännamnet.  SPF, som står för Sender Policy Framework, låter dig identifiera tillåtna avsändare av e-postmeddelanden på din domän.

SPF är ett "sökvägsbaserat" autentiseringssystem, vilket innebär att det är relaterat till sökvägen som e-postmeddelandet tar från den ursprungliga sändarservern till den mottagande servern. SPF tillåter inte bara organisationer att auktorisera IP-adresser att använda sina domännamn när de skickar ut e-postmeddelanden, utan ger också ett sätt att en mottagande e-postserver kan kontrollera den auktoriseringen.

Behöver jag konfigurera SPF?

Du har förmodligen fått höra att du behöver SPF -e-postautentisering (Sender Policy Framework). Men behöver ett företag verkligen det? Och om så är så är, finns det några andra fördelar? Den frågan förstås vanligtvis när företaget blir en stor e-postväxlare för sin organisation. Med SPF kan du spåra e-postbeteende för att upptäcka bedrägliga meddelanden och skydda ditt företag från skräppostrelaterade problem, förfalskning och phishing-attacker. SPF hjälper dig att uppnå maximal leveransbarhet och varumärkesskydd genom att verifiera avsändarens identitet.

Hur fungerar SPF?

  • SPF-poster är särskilt formaterade DNS-poster (Domain Name System) som publiceras av domänadministratörer som definierar vilka e-postservrar som har behörighet att skicka e-post för den domänens räkning.
  • När ett e-postmeddelande skickas från domänen söker mottagarens e-postserver upp specifikationerna för retursökvägen i domänen för
  • DNS. Därefter försökte den matcha avsändarens IP-adress med de auktoriserade adresser som definierats i din SPF-post.
  • Enligt SPF-principspecifikationerna bestämmer den mottagande servern sedan om e-postmeddelandet ska levereras, avvisas eller flaggas om det misslyckas med autentiseringen.

Dela upp syntaxen för en SPF-post

Låt oss ta exemplet med en SPF-post för en dummy-domän med rätt syntax:

v=spf1 ip4:29.337.148 inkluderar:.com -all

 

Stoppa meddelandet "Ingen SPF-post hittades"

Om du vill sluta få den irriterande "Ingen SPF-post hittad" fråga allt du behöver göra är att konfigurera SPF för din domän genom att publicera en DNS TXT-post. Du kan använda vår kostnadsfria SPF-postgenerator för att skapa en omedelbar post med rätt syntax, för att publicera i din DNS.

Allt du behöver göra är:

  • Välj om du vill tillåta servrar listade som MX att skicka e-post för din domän
  • Välj om du vill tillåta aktuell IP-adress för domänen att skicka e-post för den här domänen
  • Fyll i de IP-adresser som har behörighet att skicka e-post från din domän
  • Lägga till andra servervärdnamn eller domäner som kan leverera eller vidarebefordra e-post för din domän
  • Välj ditt SPF-principläge eller nivån på striktheten för den mottagande servern från Fail (icke-kompatibla e-postmeddelanden kommer att avvisas), Mjukfel (icke-kompatibla e-postmeddelanden accepteras men markeras) och Neutral (e-postmeddelanden accepteras förmodligen)
  • Klicka på Generera SPF-post för att omedelbart skapa din post

Om du redan har konfigurerat SPF för din domän kan du också använda vår kostnadsfria SPF-postkontroll för att slå upp och validera din SPF-post och upptäcka problem.

Räcker det med att publicera en SPF-post?

Svaret är nej. Enbart SPF kan inte hindra ditt varumärke från att personifieras. För optimalt skydd mot direkt domänförfalskning, nätfiskeattacker och BEC måste du konfigurera DKIM och DMARC för din domän.

Dessutom har SPF en gräns på 10 DNS-sökningar. Om du överskrider denna gräns bryts din SPF och autentiseringen misslyckas för även legitima e-postmeddelanden. Det är därför du behöver en dynamisk SPF-förenkling som hjälper dig att hålla dig under gränsen för 10 DNS-sökning, samt hålla dig uppdaterad om ändringar som gjorts av dina leverantörer av e-postutbyten.

Förhoppningsvis hjälpte den här bloggen dig att lösa ditt problem och du behöver aldrig oroa dig för meddelandet "No SPF record found" som stör dig igen. Registrera dig för en gratis utvärderingsversion av e-postautentisering för att förbättra din e-postsäkerhet och e-postsäkerhet idag!

 

Skäl till varför man undviker SPF-förenkling

Sender Policy Framework, eller SPF är ett allmänt hyllat e-postautentiseringsprotokoll som validerar dina meddelanden genom att autentisera dem mot alla auktoriserade IP-adresser som är registrerade för din domän i din SPF-post. För att validera e-postmeddelanden anger SPF till den mottagande e-postservern att utföra DNS-frågor för att söka efter auktoriserade IP-adresser, vilket resulterar i DNS-sökningar.

Din SPF-post finns som en DNS TXT-post som består av en sammansättning av olika mekanismer. De flesta av dessa mekanismer (till exempel inkluderar, a, mx, redirect, exists, ptr) genererar DNS-uppslag. Det maximala antalet DNS-sökningar för SPF-autentisering är dock begränsat till 10. Om du använder olika tredjepartsleverantörer för att skicka e-postmeddelanden med din domän kan du enkelt överskrida SPF-hårdgränsen.

Du kanske undrar, vad händer om du överskrider denna gräns? Om du överskrider gränsen för 10 DNS-sökningar kommer SPF att misslyckas och även legitima meddelanden som skickas från din domän ogiltigförklaras. I sådana fall returnerar den mottagande e-postservern en SPF PermError-rapport till din domän om du har DMARC-övervakning aktiverad. Detta gör att vi kommer till det primära diskussionsämnet för den här bloggen: SPF-förenkling.

Vad är SPF-förenkling?

SPF-skivbetoning är en av de populära metoderna som används av branschexperter för att optimera din SPF-post och undvika att överskrida SPF-hårdgränsen. Förfarandet för SPF-förenkling är ganska enkelt. Att förenkla din SPF-post är processen att ersätta alla inkludera mekanismer med sina respektive IP-adresser för att eliminera behovet av att utföra DNS-sökningar.

Om SPF-posten till exempel först såg ut ungefär så här:

v=spf1 inkludera:spf.domain.com -all

En tillplattad SPF-skiva kommer att se ut ungefär så här:

v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -all

Den här förenklade posten genererar bara en DNS-sökning i stället för att utföra flera uppslag. Att minska antalet DNS-frågor som utförs av den mottagande servern under e-postautentisering hjälper till att hålla sig under gränsen för 10 DNS-sökning, men det har egna problem.

Problemet med SPF-förenkling

Bortsett från det faktum att din manuellt tillplattade SPF-post kan bli för lång för att publicera på din domäns DNS (som överskrider gränsen på 255 tecken), måste du ta hänsyn till att din e-postleverantör kan ändra eller lägga till sina IP-adresser utan att meddela dig som användare. Då och då när din leverantör gör ändringar i sin infrastruktur skulle dessa ändringar inte återspeglas i din SPF-post. Därför, när dessa ändrade eller nya IP-adresser används av din e-postserver, misslyckas e-postmeddelandet SPF på mottagarens sida.

PowerSPF: Din dynamiska SPF-postgenerator

Det ultimata målet med PowerDMARC var att komma fram till en lösning som kan förhindra domänägare från att nå 10 DNS-uppslagsgränsen, samt optimera din SPF-post för att alltid hålla dig uppdaterad om de senaste IP-adresserna som dina e-postleverantörer använder. PowerSPF är din automatiserade SPF-förenklingslösning som drar igenom din SPF-post för att generera en enda include-sats. PowerSPF hjälper dig:

  • Lägga till eller ta bort IPs och mekanismer med lätthet
  • Uppdatera netblocks automatiskt för att se till att dina auktoriserade IPs alltid är uppdaterade
  • Håll dig under 10 DNS-uppslagsgränsen med lätthet
  • Få en optimerad SPF-post med ett enda klick
  • Permanent besegra "permerror"
  • Implementera felfri SPF

Registrera dig med PowerDMARC idag för att säkerställa förbättrad e-post leveransbarhet och autentisering, samtidigt som du håller dig under 10 DNS SPF-uppslagsgränsen.

I den här artikeln kommer vi att utforska hur du enkelt optimerar SPF-posten för din domän. För företag såväl som småföretag som har en e-postdomän för att skicka och ta emot meddelanden bland sina kunder, partners och anställda är det mycket troligt att det finns en SPF-post som standard, som har konfigurerats av din inkorgstjänstleverantör. Oavsett om du har en befintlig SPF-post eller om du behöver skapa en ny, måste du optimera din SPF-post korrekt för din domän för att säkerställa att den inte orsakar några problem med e-postleverans.

Vissa e-postmottagare kräver strikt SPF, vilket indikerar att om du inte har en SPF-post publicerad för din domän kan dina e-postmeddelanden markeras som skräppost i mottagarens inkorg. Dessutom hjälper SPF till att upptäcka obehöriga källor som skickar e-postmeddelanden för din domäns räkning.

Låt oss först förstå vad som är SPF och varför behöver du det?

SPF (Sender Policy Framework)

SPF är i huvudsak ett standardprotokoll för e-postautentisering som anger de IP-adresser som har behörighet att skicka e-postmeddelanden från din domän. Den fungerar genom att jämföra avsändaradresser med listan över auktoriserade sändande värdar och IP-adresser för en viss domän som publiceras i DNS för den domänen.

SPF, tillsammans med DMARC (Domänbaserad meddelandeautentisering, rapportering och konformation) är utformad för att upptäcka förfalskade avsändaradresser under e-postleverans och förhindra förfalskning av attacker, nätfiske och e-postbedrägerier.

Det är viktigt att veta att även om standard-SPF som är integrerat i din domän av din värdleverantör säkerställer att e-postmeddelanden som skickas från din domän autentiseras mot SPF om du har flera tredjepartsleverantörer för att skicka e-postmeddelanden från din domän, måste denna befintliga SPF-post skräddarsys och ändras för att passa dina krav. Hur kan du göra det? Låt oss utforska två av de vanligaste sätten:

  • Skapa en helt ny SPF-post
  • Optimera en befintlig SPF-post

Instruktioner om hur du optimerar SPF-post

Skapa en helt ny SPF-post

Att skapa en SPF-post är helt enkelt att publicera en TXT-post i domänens DNS för att konfigurera SPF för din domän. Detta är ett obligatoriskt steg som kommer innan du börjar med hur du optimerar SPF-posten. Om du precis har börjat med autentisering och osäker på syntaxen kan du använda vår kostnadsfria SPF-postgenerator online för att skapa en SPF-post för din domän.

En SPF-postpost med rätt syntax ser ut ungefär så här:

v=spf1 ip4:38.146.237 inkludera:exempel.com -all

v=spf1Anger vilken version av SPF som används
ip4/ip6Den här mekanismen anger giltiga IP-adresser som har behörighet att skicka e-post från din domän.
inbegripaDen här mekanismen talar om för de mottagande servrarna att inkludera värdena för SPF-posten för den angivna domänen.
-allaDen här mekanismen anger att e-postmeddelanden som inte är SPF-kompatibla skulle avvisas. Det här är den rekommenderade taggen du kan använda när du publicerar SPF-posten. Men det kan ersättas med ~ för SPF Soft Fail (icke-kompatibla e-postmeddelanden skulle markeras som mjukt fel men skulle fortfarande accepteras) Eller + som anger att alla servrar skulle tillåtas att skicka e-postmeddelanden för din domäns räkning, vilket är starkt avskräckt.

Om du redan har konfigurerat SPF för din domän kan du också använda vår kostnadsfria SPF-postkontroll för att slå upp och validera din SPF-post och upptäcka problem.

Vanliga utmaningar och fel när du konfigurerar SPF

1) 10 DNS-uppslagsgräns 

Den vanligaste utmaningen för domänägare när de konfigurerar och antar SPF-autentiseringsprotokoll för sin domän är att SPF har en gräns för antalet DNS-sökningar, som inte får överstiga 10. För domäner som förlitar sig på flera tredjepartsleverantörer överskrider gränsen för 10 DNS-sökning lätt vilket i sin tur bryter SPF och returnerar en SPF PermError. Den mottagande servern ogiltigförklarar i sådana fall automatiskt din SPF-post och blockerar den.

Mekanismer som initierar DNS-sökningar: MX, A, INCLUDE, REDIRECT modifier

2) SPF Void-sökning 

Annullerade sökningar refererar till DNS-sökningar som antingen returnerar NOERROR-svar eller NXDOMAIN-svar (ogiltigt svar). När du implementerar SPF rekommenderas att se till att DNS-sökningar inte returnerar ett ogiltigt svar i första hand.

3) SPF Rekursiv slinga

Det här felet indikerar att SPF-posten för den angivna domänen innehåller rekursiva problem med en eller flera av INCLUDE-mekanismerna. Detta sker när en av de domäner som anges i INCLUDE-taggen innehåller en domän vars SPF-post innehåller INCLUDE-taggen för den ursprungliga domänen. Detta leder till en oändlig slinga som gör att e-postservrar kontinuerligt utför DNS-sökningar för SPF-posterna. Detta leder i slutändan till att överskrida 10 DNS-uppslagsgränsen, vilket resulterar i att e-postmeddelanden misslyckas SPF.

4) Syntaxfel 

Det kan finnas en SPF-post i domänens DNS, men den är inte till någon nytta om den innehåller syntaxfel. Om din SPF TXT-post innehåller onödiga blanksteg när du skriver domännamnet eller mekanismnamnet ignoreras strängen före det extra utrymmet helt av den mottagande servern när du utför en sökning och därmed ogiltigförklarar SPF-posten.

5) Flera SPF-poster för samma domän

En enda domän kan bara ha en SPF TXT-post i DNS. Om din domän innehåller mer än en SPF-post ogiltigförklarar den mottagande servern dem alla, vilket gör att e-postmeddelanden misslyckas med SPF.

6) SPF-postens längd 

Den maximala längden på en SPF-post i DNS är begränsad till 255 tecken. Den här gränsen kan dock överskridas och en TXT-post för SPF kan innehålla flera strängar sammanfogade tillsammans, men inte över en gräns på 512 tecken, för att passa DNS-frågesvaret (enligt RFC 4408). Även om detta senare reviderades, skulle mottagare som förlitar sig på äldre DNS-versioner inte kunna validera e-postmeddelanden som skickas från domäner som innehåller en lång SPF-post.

Optimera SPF-posten

För att snabbt ändra din SPF-post kan du använda följande metodtips för SPF:

  • Försök att skriva ner dina e-postkällor i minska prioritetsordningen från vänster till höger i din SPF-post
  • Ta bort föråldrade e-postkällor från din DNS
  • Använd IP4/IP6-mekanismer istället för A och MX
  • Håll antalet INCLUDE-mekanismer så lågt som möjligt och undvik kapslade
  • Publicera inte mer än en SPF-post för samma domän i din DNS
  • Kontrollera att SPF-posten inte innehåller några redundanta blanksteg eller syntaxfel

Anmärkning: SPF-förenkling rekommenderas inte eftersom det inte är en engångsaffär. Om din e-postleverantör ändrar sin infrastruktur måste du ändra dina SPF-poster i enlighet därmed, varje gång.

Optimera din SPF-post enkelt med PowerSPF

Du kan gå vidare och försöka implementera alla dessa ovan nämnda ändringar för att optimera din SPF-post manuellt, eller så kan du glömma besväret och lita på vår dynamiska PowerSPF för att göra allt det för dig automatiskt! PowerSPF hjälper dig att optimera din SPF-post med ett enda klick, där du kan:

  • Lägg enkelt till eller ta bort sändarkällor
  • Uppdatera poster enkelt utan att behöva göra ändringar manuellt i din DNS
  • Få en optimerad automatisk SPF-post med ett enda klick på en knapp
  • Håll dig under gränsen för 10 DNS-sökningar hela tiden
  • Minska PermError
  • Glöm syntaxfel och konfigurationsproblem med SPF-post
  • Vi tar bort bördan av att lösa SPF-begränsningar för din räkning

Registrera dig hos PowerDMARC idag för att bjuda adieu till SPF-begränsningar för alltid!  

Som DMARC-tjänsteleverantör får vi frågan mycket: "Om DMARC bara använder SPF- och DKIM-autentisering, varför ska vi bry oss om DMARC? Är inte det bara onödigt?"

På ytan kan det tyckas göra liten skillnad, men verkligheten är väldigt annorlunda. DMARC är inte bara en kombination av SPF- och DKIM-teknik, det är ett helt nytt protokoll i sig. Den har flera funktioner som gör det till en av de mest avancerade e-postautentiseringsstandarderna i världen och en absolut nödvändighet för företag.

Men vänta lite. Vi har inte svarat exakt varför du behöver DMARC. Vad erbjuder det att SPF och DKIM inte gör det? Det är ett ganska långt svar. för länge för bara ett blogginlägg. Så låt oss dela upp det och prata om SPF först. Om du inte känner till det, här är ett snabbt intro.

Vad är SPF?

SPF, eller Sender Policy Framework, är ett e-postautentiseringsprotokoll som skyddar e-postmottagaren från falska e-postmeddelanden. Det är i huvudsak en lista över alla IP-adresser som är auktoriserade att skicka e-post via dina (domänägarens) kanaler. När den mottagande servern ser ett meddelande från din domän kontrollerar den din SPF-post som publiceras på din DNS. Om avsändarens IP finns i denna "lista" levereras e-postmeddelandet. Om inte, avvisar servern e-postmeddelandet.

Som du kan se gör SPF ett ganska bra jobb med att hålla många obehagliga e-postmeddelanden som kan skada din enhet eller äventyra din organisations säkerhetssystem. Men SPF är inte alls så bra som vissa kanske tror. Det beror på att det har några mycket stora nackdelar. Låt oss prata om några av dessa problem.

Begränsningar för SPF

SPF-poster gäller inte för från-adressen

E-postmeddelanden har flera adresser för att identifiera avsändaren: från-adressen som du normalt ser och retursökvägens adress som är dold och kräver ett eller två klick för att visa. När SPF är aktiverat tittar den mottagande e-postservern på retursökvägen och kontrollerar SPF-posterna för domänen från den adressen.

Problemet här är att angripare kan utnyttja detta genom att använda en falsk domän i sin return path-adress och en legitim (eller legitim) e-postadress i avsnittet Från. Även om mottagaren skulle kontrollera avsändarens e-post-ID skulle de se från-adressen först och bryr sig vanligtvis inte om att kontrollera retursökvägen. Faktum är att de flesta människor inte ens är medvetna om att det finns något sådant som Return Path-adress.

SPF kan ganska enkelt kringgås genom att använda detta enkla trick, och det lämnar även domäner säkrade med SPF till stor del sårbara.

SPF-poster har en DNS-uppslagsgräns

SPF-poster innehåller en lista över alla IP-adresser som domänägaren har godkänt för att skicka e-post. Men de har en avgörande nackdel. Den mottagande servern måste kontrollera posten för att se om avsändaren har behörighet och för att minska belastningen på servern har SPF-poster en gräns på 10 DNS-sökningar.

Detta innebär att om din organisation använder flera tredjepartsleverantörer som skickar e-post via din domän kan SPF-posten sluta överskrida den gränsen. Om du inte är korrekt optimerad (vilket inte är lätt att göra själv) kommer SPF-poster att ha en mycket restriktiv gräns. När du överskrider den här gränsen anses SPF-implementeringen vara ogiltig och din e-post misslyckas med SPF. Detta kan potentiellt skada dina e-postleveranskostnader.

 

SPF fungerar inte alltid när e-postmeddelandet vidarebefordras

SPF har en annan kritisk felpunkt som kan skada din e-post leveransbarhet. När du har implementerat SPF på din domän och någon vidarebefordrar din e-post kan den vidarebefordrade e-postmeddelandet avvisas på grund av din SPF-policy.

Det beror på att det vidarebefordrade meddelandet har ändrat e-postmeddelandets mottagare, men e-postavsändarens adress förblir densamma. Detta blir ett problem eftersom meddelandet innehåller den ursprungliga avsändarens Från-adress men den mottagande servern ser en annan IP. IP-adressen för vidarebefordran av e-postservern ingår inte i SPF-posten för den ursprungliga avsändarens domän. Detta kan leda till att e-postmeddelandet avvisas av den mottagande servern.

Hur löser DMARC dessa problem?

DMARC använder en kombination av SPF och DKIM för att autentisera e-post. Ett e-postmeddelande måste passera antingen SPF eller DKIM för att passera DMARC och levereras framgångsrikt. Och det lägger också till en nyckelfunktion som gör den mycket effektivare än SPF eller DKIM ensam: Rapportering.

Med DMARC-rapportering får du daglig feedback om statusen för dina e-postkanaler. Detta inkluderar information om din DMARC-justering, data om e-postmeddelanden som misslyckades med autentisering och information om potentiella förfalskningsförsök.

Om du undrar vad du kan göra för att inte bli förfalskad, kolla in vår praktiska guide på de 5 bästa sätten att undvika e-postförfalskning.