Sender Policy Framework (SPF): Un strat de protecție în infrastructura de e-mail

Ați avut vreodată pe cineva (în mod jucăuș sau rău intenționat) să vă ia telefonul și să scrie cuiva care se preface că ești tu? Nu se simte prea bine, nu? Chiar și după ce clarificați adevărul cu destinatarul, probabil că acesta va fi atenți la toate textele dvs. în viitor. Și probabil vei fi mult mai atent pe cine ai lăsat să-ți împrumute telefonul. Încrederea a fost ruptă.

Un scenariu similar este posibil în lumea e-mailului, iar potențialii phisheri nu au nevoie de numele dvs. de utilizator și parola pentru a uzurpa identitatea afacerii dvs. Înfricoșător, nu?

Din fericire, cunoaștem un truc simplu, nu atât de secret, pentru a vă proteja reputația mărcii dvs. Se numește Sender Policy Framework (SPF) și este un salvator al reputației e-mailului.

Când e-mailul este trimis de la un server la altul, se folosește protocolul simplu de transfer de e-mail (SMTP) pentru a primi un mesaj de la expeditor la destinatar. Ca serviciu SMTP, Twilio SendGrid facilitează acest proces.

O slăbiciune a securității în infrastructura e-mailului este capacitatea oricărui expeditor sau gazdă de a se identifica pe ei înșiși și e-mail-ul lor ca orice domeniu pe care îl doresc (un fel ca oamenii au creat TONE de conturi Twitter Donald Trump). Acest lucru face dificil pentru receptori să aibă încredere că un mesaj este de fapt de la cine spune că este. De asemenea, îi deranjează pe expeditori să știe că oricine poate trimite e-mail de pe domeniul lor și poate deteriora reputația mărcii lor.

Destinatarii își pierd încrederea în autenticitatea e-mailului, iar expeditorii sunt impostori paranoici care se prezintă drept marca lor – nu sunt bune pentru nimeni! O parte a soluției este înregistrarea SPF care este stocată într-o înregistrare txt în DNS. În acest articol, vom explora toate aspectele legate de SPF - de la ceea ce este până la descoperirea erorilor cu propria dvs., vom acoperi totul.

Ce este o înregistrare SPF?

SPF înseamnă Sender Policy Framework. Este o metodă de autentificare a e-mailului care ajută la identificarea serverelor de e-mail cărora li se permite să trimită e-mail dintr-un anumit domeniu. Folosind acest protocol de validare, furnizorii de servicii de internet pot determina când spooferii și phisherii încearcă să falsifice e-mailuri de pe domeniul tău pentru a trimite e-mailuri rău intenționate utilizatorilor tăi.

Cu SPF, destinatarii se pot simți încrezători că mesajele de e-mail pe care le primesc vin de la cine așteaptă. Iar expeditorii pot fi liniștiți știind că phishingii nu falsifică e-mailurile sau phishingează publicul de la marca lor.

Mai tehnic, o înregistrare SPF este un scurt rând de text pe care administratorul unui domeniu îl adaugă la înregistrarea lor txt. Înregistrarea txt este stocată în DNS (sistemul de nume de domeniu) alături de înregistrările lor A, PTR și MX. O înregistrare SPF arată cam așa:

„v=spf1 ip4:12.34.56.78 include:example.com -all”

Cum funcționează SPF

Linia de text de mai sus este folosită pentru a spune serverului SMTP receptor care gazde au voie să trimită e-mail dintr-un anumit domeniu.

Înregistrarea SPF este de obicei verificată foarte devreme în conversația SMTP, cu mult înainte ca corpul mesajului să fie transmis. Când se încearcă trimiterea unui mesaj, se deschide o conexiune TCP între expeditor și serverul de primire.

Odată ce conexiunea este stabilită, este emisă o comandă HELO, care, în esență, spune serverului de primire ce domeniu încearcă să-i trimită e-mail. Aceasta este urmată de o comandă MAIL FROM care spune serverului de primire de la ce adresă de e-mail vine mesajul. Domeniul găsit în comanda MAIL FROM (cunoscut și sub numele de plic de la și calea de întoarcere) este domeniul utilizat pentru verificarea înregistrării SPF.

Deci, să presupunem că a fost primit un mesaj și adresa MAIL FROM este [email protected]. Serverul de primire va verifica înregistrările DNS publice de exemplu.com și va căuta o înregistrare TXT care începe cu v=spf1. Dacă nu există nicio înregistrare TXT care să înceapă cu v=spf1, va trece autentificarea. Dacă există mai multe înregistrări TXT care sunt cu v=spf1, poate apărea o eroare.

Să presupunem că se găsește unul și arată ca exemplul nostru de mai înainte:

„v=spf1 ip4:12.34.56.78 include:example.com -all”

Serverul de primire va verifica acum dacă adresa IP a clientului SMTP care încearcă să trimită mesajul este inclusă în înregistrarea SPF. Dacă adresa IP este listată, mesajul va trece autentificarea SPF.

Detaliul: defalcarea fiecărei piese din înregistrarea SPF

O înregistrare SPF este alcătuită din diferite mecanisme, inclusiv:

INCLUDE

Intotdeauna urmat de un nume de domeniu. Când serverul de primire dă peste un mecanism de includere, înregistrarea SPF pentru acel domeniu este verificată. Dacă IP-ul expeditorului apare în acea înregistrare, e-mailul este autentificat și verificarea SPF s-a încheiat. Dacă nu este găsit, verificarea SPF trece la următorul mecanism.

A

De asemenea, urmată de un nume de domeniu. Cu toate acestea, în acest caz, SPF-ul verifică pur și simplu adresele IP asociate cu acel domeniu. Dacă se potrivește cu IP-ul expeditorului, trece și verificarea SPF se oprește. Dacă nu, se trece la următorul mecanism.

MX

Similar cu „A”. Este întotdeauna urmată de un nume de domeniu. Dacă domeniul listat se rezolvă la adresa IP a clientului expeditor, autentificarea trece și verificarea SPF este efectuată. Dacă nu, se trece la următorul mecanism.

IP4 și IP6

Întotdeauna urmată de o anumită adresă IP sau de un interval CIDR. Dacă IP-ul clientului expeditor este listat după orice mecanism IP4 sau IP6, autentificarea va trece și verificarea SPF este efectuată. Dacă nu, se trece la următorul mecanism.

PTR

Nu ar trebui să fie incluse niciodată în înregistrările SPF. Din anumite motive tehnice, acestea sunt predispuse la erori și costă multă memorie și lățime de bandă pentru rezolvarea serverelor de recepție. Unele servere vor eșua o autentificare SPF pe baza prezenței unui mecanism PTR.

REDIRECŢIONA

Deși din punct de vedere tehnic este un modificator, nu un mecanism, acesta permite administratorului unui domeniu să orienteze un domeniu către înregistrarea SPF a altui domeniu. Dacă se utilizează funcția REDIRECT, în înregistrarea SPF nu pot fi incluse alte mecanisme, inclusiv mecanismul „toate”. Exemplu de înregistrare de redirecționare: „v=spf1 redirect:example.com”

Mecanismele „INCLUDE”, „A”, „MX”, „PTR”, „EXISTĂ” și „REDIRECT” necesită toate căutări DNS, deci nu pot exista mai mult de 10 dintre acestea. Acest lucru pare destul de simplu, dar include și căutări DNS imbricate, adică un „INCLUDE” care duce la o altă înregistrare SPF care are încă două mecanisme „INCLUDE” ar conta ca trei căutări DNS. Se adună repede!

Dar clienții Twilio SendGrid?

Majoritatea expeditorilor noștri au configurat un CNAME care direcționează domeniul lor de trimitere către sendgrid.net. Aceasta înseamnă că serverul de primire vede CNAME indicând sendgrid.net și verifică în schimb acea înregistrare SPF. Deci, nu fi surprins dacă majoritatea înregistrărilor SPF pe care le interoghezi sunt identice.

Pentru mai multe întrebări specifice Twilio SendGrid, aruncați o privire la pagina noastră de documente privind Cadrul politicii expeditorilor. Are răspunsuri suplimentare la unele întrebări și scenarii comune.

Cum îmi verific înregistrarea SPF?

Nu toată lumea folosește autentificarea SPF, dar receptorii care resping pe baza eșecului SPF vor respinge livrarea. Unii receptori pot, de asemenea, să pună în carantină e-mailurile care nu reușesc SPF fără a-l bloca.

Fiecare înregistrare SPF va fi puțin diferită, dar ar trebui să verificați pentru a vă asigura că ați înțeles corect. Iată trei instrumente care vă pot ajuta să vă validați înregistrările:

• Instrumentele de testare SPF ale lui Scott Kitterman : verificați dacă există deja o înregistrare SPF pentru domeniul dvs., verificați-i valabilitatea sau testați-i performanța.
• OpenSPF.org : revizuiți o serie de formulare și teste de e-mail.
• Verificare înregistrări SPF: Verificarea înregistrărilor SPF acționează ca o căutare și validare a înregistrărilor SPF. Acesta va căuta o înregistrare SPF pentru numele de domeniu interogat și va rula teste de diagnosticare împotriva înregistrării, evidențiind erorile care ar putea influența livrarea e-mailului.
• SPF Wizard : SPF Wizard este un instrument de generare a înregistrărilor SPF bazat pe browser. Completează formularul și site-ul generează o înregistrare SPF pentru tine.

Faceți din cadrul politicii expeditorului o prioritate

Mai simplu spus, mesajele de e-mail rău intenționate vă afectează afacerea și degradează canalul de e-mail. Când phisher-ii văd domeniul dvs. protejat de Cadrul politicii expeditorului, vor avea mai multe șanse să treacă la ținte mai ușoare. Deși SPF nu va preveni spam-ul, poate servi ca un factor de descurajare și vă poate face mai puțin vulnerabil la atacuri. Și cine nu vrea asta, nu? De aceea, încurajăm toți clienții de e-mail să creeze o înregistrare SPF.

În combinație cu Sender ID, DKIM și DMARC, SPF oferă un nivel suplimentar de securitate a e-mailului care vă va sprijini mai bine utilizatorii, ajutând ISP-urile să vă identifice corect e-mailul și, la rândul lor, spammerii.

Pentru a afla mai multe despre SPF și alte protocoale de autentificare, descărcați Ghidul de infrastructură de e-mail SendGrid .