Sender Policy Framework (SPF): warstwa ochrony w infrastrukturze poczty e-mail
Opublikowany: 2020-03-04Czy zdarzyło Ci się, że ktoś (żartobliwie lub złośliwie) wziął Twój telefon i napisał do kogoś, kto podszywa się pod Ciebie? Nie czuje się zbyt dobrze, prawda? Nawet po wyjaśnieniu prawdy odbiorcy prawdopodobnie w przyszłości będą nieufni wobec wszystkich twoich tekstów. I prawdopodobnie będziesz o wiele bardziej ostrożny, komu pożyczysz swój telefon. Zaufanie zostało złamane.
Podobny scenariusz jest możliwy w świecie poczty e-mail, a potencjalni phisherzy nie potrzebują Twojej nazwy użytkownika i hasła, aby podszywać się pod Twoją firmę. Przerażające, prawda?
Na szczęście znamy prostą, niezbyt tajną sztuczkę, która chroni reputację Twojej marki. Nazywa się Sender Policy Framework (SPF) i jest ratunkiem dla reputacji poczty e-mail.
Gdy poczta e-mail jest wysyłana z jednego serwera na drugi, do przesyłania wiadomości od nadawcy do odbiorcy używany jest prosty protokół przesyłania poczty (SMTP). Jako usługa SMTP, Twilio SendGrid ułatwia ten proces.
Jednym ze słabych punktów bezpieczeństwa w infrastrukturze poczty e-mail jest zdolność każdego nadawcy lub hosta do identyfikacji siebie i swojego adresu e-mail jako dowolnej domeny (coś w rodzaju tego, jak ludzie stworzyli TONY kont na Twitterze Donalda Trumpa). Utrudnia to odbiorcom zaufanie, że wiadomość pochodzi od tego, od kogo pochodzi. Sprawia to również, że nadawcy czują się niepewnie, wiedząc, że każdy może wysyłać pocztę z ich domeny i potencjalnie szkodzić reputacji ich marki.
Odbiorcy tracą zaufanie do autentyczności wiadomości e-mail, a nadawcy to paranoidalni oszuści, udający ich markę — co nie jest dobre dla nikogo! Częścią rozwiązania jest rekord SPF przechowywany w rekordzie txt w systemie DNS. W tym artykule zamierzamy zbadać wszystkie rzeczy związane z SPF — od tego, co to jest, do odkrywania własnych błędów, omówimy to wszystko.
Co to jest rekord SPF?
SPF to skrót od Sender Policy Framework. Jest to metoda uwierzytelniania poczty e-mail, która pomaga zidentyfikować serwery poczty, które mogą wysyłać wiadomości e-mail z określonej domeny. Korzystając z tego protokołu weryfikacji, dostawcy usług internetowych mogą określić, kiedy podszywający się i phisherzy próbują sfałszować wiadomości e-mail z Twojej domeny, aby wysłać złośliwą wiadomość do użytkowników.
Dzięki SPF odbiorcy mogą mieć pewność, że otrzymywane przez nich wiadomości e-mail pochodzą od tych, których oczekują. A nadawcy mogą spać spokojnie, wiedząc, że phisherzy nie podszywają się pod e-maile ani nie wyłudzają od odbiorców ich marki.
Mówiąc bardziej technicznie, rekord SPF to krótki wiersz tekstu, który administrator domeny dodaje do swojego rekordu txt. Rekord txt jest przechowywany w DNS (systemie nazw domen) wraz z ich rekordami A, PTR i MX. Rekord SPF wygląda mniej więcej tak:
„v=spf1 ip4:12.34.56.78 include:example.com -all”
Jak działa SPF
Powyższy wiersz tekstu służy do poinformowania odbierającego serwera SMTP, które hosty mogą wysyłać pocztę z danej domeny.
Rekord SPF jest zwykle sprawdzany na bardzo wczesnym etapie konwersacji SMTP, na długo przed przesłaniem treści wiadomości. Podczas próby wysłania wiadomości zostaje otwarte połączenie TCP między nadawcą a serwerem odbierającym.
Po nawiązaniu połączenia wydawane jest polecenie HELO, które zasadniczo informuje serwer odbierający, która domena próbuje wysłać mu pocztę. Po tym następuje polecenie MAIL FROM, które informuje serwer odbierający, z jakiego adresu e-mail pochodzi wiadomość. Domena znaleziona w poleceniu MAIL FROM (znana również jako koperta od i ścieżka powrotu) jest domeną używaną do sprawdzania rekordów SPF.
Załóżmy więc, że otrzymano wiadomość, a adres POCZTA OD to [email protected]. Serwer odbierający sprawdzi publiczne rekordy DNS, na przykład example.com, i poszuka rekordu TXT zaczynającego się od v=spf1. Jeśli nie ma rekordu TXT zaczynającego się od v=spf1, uwierzytelnianie przejdzie. Jeśli istnieje więcej niż jeden rekord TXT, który ma v=spf1, może wystąpić błąd.
Załóżmy, że jeden został znaleziony i wygląda to tak, jak w naszym przykładzie z poprzedniego:
„v=spf1 ip4:12.34.56.78 include:example.com -all”
Serwer odbierający sprawdzi teraz, czy adres IP klienta SMTP próbującego wysłać wiadomość jest zawarty w rekordzie SPF. Jeśli adres IP jest wymieniony, wiadomość przejdzie uwierzytelnianie SPF.
Sedno sprawy: łamanie każdego kawałka rekordu SPF
Rekord SPF składa się z różnych mechanizmów, w tym:
ZAWIERAĆ
Zawsze poprzedzona nazwą domeny. Gdy serwer odbierający napotka mechanizm dołączania, sprawdzany jest rekord SPF dla tej domeny. Jeśli adres IP nadawców pojawia się w tym rekordzie, poczta jest uwierzytelniana i sprawdzanie SPF jest zakończone. Jeśli nie zostanie znaleziony, kontrola SPF przechodzi do następnego mechanizmu.
A
Po nim następuje również nazwa domeny. Jednak w tym przypadku SPF po prostu sprawdza adresy IP powiązane z tą domeną. Jeśli jest zgodny z adresem IP nadawcy, przechodzi i sprawdzanie SPF zostaje zatrzymane. Jeśli nie, przechodzi do następnego mechanizmu.
MX
Podobny do „A”. Po nim zawsze następuje nazwa domeny. Jeśli wymieniona domena odpowiada adresowi IP klienta wysyłającego, uwierzytelnianie przechodzi pomyślnie i następuje sprawdzenie SPF. Jeśli nie, przechodzi do następnego mechanizmu.
IP4 i IP6
Zawsze poprzedzone określonym adresem IP lub zakresem CIDR. Jeśli adres IP klienta wysyłającego jest wymieniony po jakimkolwiek mechanizmie IP4 lub IP6, uwierzytelnianie przejdzie i zostanie wykonane sprawdzenie SPF. Jeśli nie, przechodzi do następnego mechanizmu.
PTR
Nigdy nie powinien być uwzględniany w rekordach SPF. Z pewnych względów technicznych są one podatne na błędy i kosztują dużo pamięci i przepustowości dla serwerów odbierających. Niektóre serwery nie przejdą uwierzytelnienia SPF na podstawie obecności mechanizmu PTR.
PRZEADRESOWAĆ
Chociaż technicznie jest to modyfikator, a nie mechanizm, umożliwia administratorowi domeny wskazywanie domeny na rekord SPF innej domeny. W przypadku użycia funkcji PRZEKIEROWANIE, w rekordzie SPF nie można uwzględnić żadnych innych mechanizmów, w tym mechanizmu „wszystkie”. Przykładowy rekord przekierowania: „v=spf1 przekierowanie:przyklad.com”
Wszystkie mechanizmy „INCLUDE”, „A”, „MX”, „PTR”, „EXISTS” i „REDIRECT” wymagają wyszukiwania DNS, więc nie może być ich więcej niż 10. Wydaje się to dość proste, ale obejmuje to również zagnieżdżone wyszukiwania DNS, co oznacza, że „INCLUDE”, który prowadzi do innego rekordu SPF, który ma dwa dodatkowe mechanizmy „INCLUDE”, liczy się jako trzy wyszukiwania DNS. Szybko się sumują!
A co z klientami Twilio SendGrid?
Większość naszych nadawców skonfigurowała rekord CNAME, który wskazuje ich domenę wysyłającą na sendgrid.net. Oznacza to, że serwer odbierający widzi rekord CNAME wskazujący na sendgrid.net i zamiast tego sprawdza ten rekord SPF. Nie zdziw się więc, jeśli większość zapytanych rekordów SPF jest identyczna.
Aby uzyskać więcej pytań dotyczących usługi Twilio SendGrid, zapoznaj się z naszą stroną z dokumentacją dotyczącą struktury zasad nadawcy. Zawiera dodatkowe odpowiedzi na niektóre często zadawane pytania i scenariusze.
Jak mogę sprawdzić mój rekord SPF?
Nie wszyscy korzystają z uwierzytelniania SPF, ale odbiorniki, które odrzucają na podstawie awarii SPF, odrzucą dostawę. Niektórzy odbiorcy mogą również poddawać kwarantannie pocztę, której SPF nie powiodło się, bez jej blokowania.
Każdy rekord SPF będzie nieco inny, ale powinieneś sprawdzić, czy masz rację. Oto trzy narzędzia, które mogą pomóc w weryfikacji Twoich rekordów:
- Scott Kitterman's SPF Testing Tools : Sprawdź, czy rekord SPF już istnieje dla Twojej domeny, sprawdź jego poprawność lub przetestuj jego wydajność.
- OpenSPF.org : Przejrzyj serię formularzy i testerów korzystających z poczty e-mail.
- Kontrola rekordów SPF: Kontrola rekordów SPF działa jako wyszukiwanie i walidacja rekordów SPF. Wyszuka rekord SPF dla nazwy domeny, której dotyczy zapytanie, i przeprowadzi testy diagnostyczne tego rekordu, podkreślając błędy, które mogą wpłynąć na dostarczanie wiadomości e-mail.
- Kreator SPF : Kreator SPF to oparte na przeglądarce narzędzie do generowania rekordów SPF. Wypełnij formularz, a witryna wygeneruje dla Ciebie rekord SPF.
Ustaw Sender Policy Framework jako priorytet
Mówiąc najprościej, złośliwe wiadomości e-mail szkodzą Twojej firmie i degradują kanał e-mail. Gdy phisherzy zobaczą Twoją domenę chronioną przez Sender Policy Framework, z większym prawdopodobieństwem zwrócą się do łatwiejszych celów. Chociaż SPF nie zapobiega spamowi, może służyć jako środek odstraszający i zmniejszać podatność na ataki. A kto tego nie chce, prawda? Dlatego zachęcamy wszystkich klientów poczty e-mail do tworzenia rekordu SPF.
W połączeniu z Sender ID, DKIM i DMARC, SPF zapewnia dodatkowy poziom bezpieczeństwa poczty e-mail, który będzie lepiej wspierał Twoich użytkowników, pomagając dostawcom usług internetowych we właściwej identyfikacji Twojej poczty e-mail, a tym samym spamerom.