• 登录
  • 注册
  • 联系我们
权力管理机构
  • 特点
    • 权力管理机构
    • 托管的DKIM
    • 权力SPF
    • 劲旅BIMI
    • 医学博士
    • 淘宝网
    • 权力提示
  • 服务
    • 部署服务
    • 管理服务
    • 支持服务
    • 服务效益
  • 定价
  • 动力工具箱
  • 合作伙伴
    • 经销商计划
    • MSSP计划
    • 技术合作伙伴
    • 行业合作伙伴
    • 寻找合作伙伴
    • 成为合作伙伴
  • 资源
    • 什么是DMARC?- 一个详细的指南
    • 数据表
    • 案例研究
    • 您所在国家的DMARC
    • 按行业划分的DMARC
    • 支持
    • 博客
    • DMARC培训
  • 关于
    • 我们的公司
    • 客户
    • 联系我们
    • 预定一个演示
    • 活动
  • 菜单 菜单

了解SPF在电子邮件认证中的局限性

博客
了解SPF在电子邮件认证中的局限性

发件人政策框架或 SPF当涉及到保护企业电子邮件免受网络钓鱼和垃圾邮件的影响时,这并不足够。 钓鱼和垃圾邮件攻击。SPF对DNS查找的最大数量有限制,而且发件人地址和域名不一致,导致实施错误,从而造成电子邮件的交付问题。这篇博客讨论了这些问题以及DMARC如何帮助克服这些SPF限制。

什么是 SPF 记录的限制?

有2个主要的SPF限制,使其在实施和维护上有些棘手。 

1.SPF 10-查询限制

当用户查询DNS服务器时,它的验证器资源,如带宽、时间、CPU和内存都被占用。为了避免验证器的任何负载,SPF 有一个 10 次额外查询的限制。然而,对 SPF 策略记录本身的 DNS 查询并不计入这个限制。

根据 RFC7208第4.6.4节的规定,一旦达到了 10 次查询的限制,收件人的邮件服务器就不应该进一步处理。在这种情况下,邮件会以 Permerror 错误拒绝 SPF 验证。SPF Permerror 是 SPF 实施过程中经常出现的信息之一。它导致电子邮件无法投递,并且在一个域名上存在多个 SPF 记录、弹出一个语法错误或者由于超过 SPF 记录的限制时发生。

你可以使用免费的 SPF记录检查器工具来消除这个错误,确保安全的电子邮件对话。

此外,根据RFC的规定,DNS查询在一个 MX记录不应产生超过10个 A记录或 AAAA 记录。如果一个DNS PTR查询产生的结果超过10个,则只显示和使用前10个结果。

2.人类可读的发件人地址

SPF的第二个限制是,SPF记录适用于特定的Return-Path域名,而不是From地址。收件人一般不会太注意Return-Path地址,当他们打开一封邮件时,只关注From地址。黑客利用这一漏洞,通过伪造发件人地址来进行网络钓鱼攻击。

SPF记录大小对邮件发送的影响

当一个收件人超过了SPF记录的限制,它就无法通过SPF检查,并发生Permerror。你可以在使用DMARC监控时观察到这个错误。收件人可以选择如何处理有Permerror故障的邮件。他们可以选择拒绝其条目,这意味着邮件会被退回。有些收件人把它配置为显示一个 "中性 "的SPF结果(就像没有使用SPF一样)。他们也可以选择 "失败 "或 "软失败",这意味着未能通过SPF认证检查的邮件不会被拒绝,而是进入垃圾邮件文件夹。 

这些结果也是通过考虑DMARC、DKIM和垃圾邮件评级的结果确定的。超出SPF的限制 影响了电子邮件的可送达性,因为它降低了电子邮件落入预定收件人的主要收件箱的概率。

验证器从左到右评估 SPF 策略,当发现与发件人 IP 地址匹配时,这个过程就会停止。现在,根据发件人的情况,即使SPF策略需要10次以上的查询才能完全评估,验证器也不一定能达到查询的极限。这给识别与 SPF 记录限制相关的电子邮件交付能力问题带来了困难。 

如何减少所需的查询次数?

对于一些域名所有者来说,要保持在SPF的10次查询限制内是很困难的,因为与2006年(RFC4408实施的时间)相比,电子邮件交换的习惯已经发生了很大变化。现在,公司用一个域名使用多个基于云的程序和服务。所以,下面是一些克服这个常见的SPF限制的方法。

  • 删除未使用的服务

评估你的SF记录,看看是否有任何未使用或未要求的服务。检查它的'包括'或其他机制,显示不再使用的服务的域。

  • 删除默认的SPF值

默认的SPF策略通常被设置为'v=spf1 a mx. 由于大多数A和AAAA记录是用于网络服务器的,可能不会发送电子邮件,因此,'aa'和'mx机制是不需要的。

  • 避免使用 ptr机制

ǞǞǞ ptr 机制由于其薄弱的安全性和不可靠,是非常不可取的。该机制通过要求更多的查找而导致 SPF 限制问题。因此,它应该被尽可能地避免。

  • 避免使用 mx机制

ǞǞǞ mx机制是用来接收邮件的,而不一定是用来发送邮件的。这就是为什么你可以避免使用它,以保持在查找时设置的SPF记录限制之内。如果你是一个基于云的电子邮件服务的用户,请使用 ''包括机制来代替。

  • 使用IPv6或IPv4 

IPv4和IPv6不需要任何额外的查询,这意味着它们可以帮助你不超过SPF不超过10次查询的限制。然而,你需要定期更新和维护这两种机制,因为它们在不重新修整的情况下更容易出错。

  • 不要压扁SPF记录

一些资源声称,SPF 策略越扁平(或越短),域名的声誉就越好。他们建议采用这种方法,以保持在 SPF 记录的查询限制之内。然而,扁平化是不可取的,因为它使你的记录更容易出错,需要定期更新。 

DMARC在克服SPF限制方面的作用

DMARC通过要求人可读的 "发件人 "字段与通过SPF认证的服务器之间的匹配或一致,解决了SPF对人可读的 "发件人 "地址的限制。

因此,如果一封邮件通过了SPF检查,但域名与发件人地址不一致,DMARC就会推翻这种认证。这意味着该邮件未能通过认证测试。

SPF记录的扁平化是如何帮助克服10个DNS查询限制的?

SPF记录扁平化是一种用于优化SPF(发送方策略框架)记录的技术,以克服SPF的10次DNS查询限制。10次DNS查询限制是许多DNS解析器施加的限制,它限制了验证一个域名的SPF记录时可以进行的DNS查询次数。

当收到一封邮件时,收件人的邮件服务器会查询发件人域名的DNS的SPF记录,以验证发件人是否被授权从该域名发送邮件。然而,如果SPF记录包含许多嵌套的内容,它就会很快超过10个DNS查询的限制,导致SPF验证失败和假阳性的垃圾邮件检测。

为了克服这个限制,我们使用了 SPF 记录的扁平化。SPF 记录扁平化是一种技术,它将 SPF 记录中所有嵌套的包含语句替换为其相应的 IP 地址或 CIDR 范围。这减少了验证 SPF 记录所需的 DNS 查询的数量,因为每个包含的域都不再被单独查询。

通过扁平化SPF记录,验证SPF记录所需的DNS查询次数大大减少,即使原始记录有超过10次的DNS查询,电子邮件也能通过SPF验证。这项技术也减少了由于DNS查询超时或临时DNS服务器问题而导致的SPF记录验证失败的风险。

在大型企业中实施SPF的挑战

SPF已经强制限制了不超过10次的查询,以防止 DoS和DDoS攻击.不幸的是,这些查询会很快增加,特别是在大型企业。早期的公司运营自己的邮件服务器,然而现在他们使用第三方发送器。这就造成了一个问题,因为每个人可能需要3或4个服务器,你很快就达到了极限。

SPF限制

  • 关于
  • 最新文章
Ahona Rudra
在PowerDMARC担任数字营销和内容写作经理
Ahona在PowerDMARC担任数字营销和内容写作经理。她是一个充满激情的作家、博主,以及网络安全和信息技术方面的营销专家。
Ahona Rudra的最新文章(查看全部)
  • 2023年五大网络安全管理服务排行榜- 2023年5月29日
  • 如何计划从DMARC无到DMARC拒绝的平稳过渡?- 2023年5月26日
  • 如何检查你的域名的健康状况?- 2023年5月26日
2023年2月27日/作者 阿霍纳-鲁德拉
Tags:SPF限制,SPF限制, SPF限制, SPF记录限制, SPF记录限制,SPF 记录限制
分享此条目
  • 在Facebook上分享
  • 在Twitter上分享
  • 分享到WhatsApp
  • 在LinkedIn上分享
  • 通过邮件分享
你可能也喜欢
Spf优化博客如何优化SPF记录?
防晒霜限额如何解决 "SPF超过最大字符数限制 "的问题?

保护你的电子邮件

阻止电子邮件欺骗并提高电子邮件的可送达性

15天免费试用!


类别

  • 博客
  • 新闻
  • 新闻发布

最新博客

  • 2023年五大网络安全管理服务排行榜
    2023年五大网络安全管理服务排行榜2023年5月29日 - 上午10:00
  • 如何计划从DMARC无到DMARC拒绝的平稳过渡
    如何计划从DMARC无到DMARC拒绝的平稳过渡?2023年5月26日 - 下午5:00
  • 如何检查域名健康状况
    如何检查你的域名的健康状况?2023年5月26日 - 下午5:00
  • 为什么微软应该开始支持BIMI?
    为什么微软要拥抱BIMI?2023年5月25日 - 下午6:00
徽标页脚powerdmarc
SOC2 GDPR PowerDMARC符合GDPR标准 皇冠商业服务
全球网络联盟认证的Powerdmarc csa

知识

什么是电子邮件认证?
什么是DMARC?
什么是DMARC策略?
什么是SPF?
什么是DKIM?
什么是BIMI?
什么是MTA-STS?
什么是TLS-RPT?
什么是 RUA?
什么是RUF?
反垃圾邮件与DMARC
DMARC调整
DMARC合规性
DMARC强制执行
BIMI实施指南
恐怖袭击
MTA-STS和TLS-RPT实施指南

工具

免费的DMARC记录生成器
免费的DMARC记录检查器
免费的SPF记录生成器
免费的SPF记录查询
免费的DKIM记录生成器
免费DKIM记录查询
免费BIMI记录生成器
免费BIMI记录查询
免费FCrDNS记录查询
免费的TLS-RPT记录检查器
免费的MTA-STS记录检查器
免费的TLS-RPT记录生成器

产品

产品之旅
功能介绍
权力SPF
劲量BIMI
劲牌MTA-STS
呼叫中心
权力提示
API文档
管理服务
电子邮件欺骗保护
品牌保护
反网络钓鱼
DMARC for Office365
适用于Google Mail GSuite的DMARC
适用于Zimbra的DMARC
免费DMARC培训

试试我们

联系我们
免费试用
预订演示
伙伴关系
价格
常见问题
技术支持
博客
活动
功能要求
变更日志
系统状态

  • English
  • Français
  • Dansk
  • Nederlands
  • Deutsch
  • Русский
  • Polski
  • Español
  • Italiano
  • 日本語
  • Português
  • Norsk
  • Svenska
  • 한국어
© PowerDMARC是一个注册商标。
  • 推特
  • 录像带
  • ǞǞǞ
  • 脸书
  • 淘宝网
  • 联系我们
  • 条款和条件
  • 隐私政策
  • 饼干政策
  • 安全政策
  • 遵守规定
  • GDPR通知
  • 网站地图
如何在谷歌云DNS中输入TXT值?如何在谷歌云DNS中输入TXT值什么是恶意软件即服务MaaS恶意软件即服务(MaaS)。它是什么,如何防止它?
滚动到顶部