Gönderen Politikası Çerçevesi (SPF): E-posta Altyapısında Bir Koruma Katmanı
Yayınlanan: 2020-03-04Hiç birisine (şakacı veya kötü niyetli) telefonunuzu alıp sizmişsiniz gibi davranan birine mesaj attınız mı? Pek iyi hissettirmiyor, değil mi? Alıcıyla gerçeği netleştirdikten sonra bile, gelecekte muhtemelen tüm metinlerinize karşı dikkatli olacaklardır. Ve muhtemelen telefonunuzu kimin ödünç almasına izin verdiğiniz konusunda çok daha dikkatli olacaksınız. Güven kırıldı.
E-posta dünyasında da benzer bir senaryo mümkündür ve olası kimlik avcılarının işletmenizin kimliğine bürünmek için kullanıcı adınıza ve şifrenize ihtiyacı yoktur. Korkunç, değil mi?
Neyse ki, markanızın itibarını korumak için basit, çok da gizli olmayan bir numara biliyoruz. Buna Gönderen Politikası Çerçevesi (SPF) denir ve bir e-posta itibarı cankurtaranıdır.
Bir sunucudan diğerine e-posta gönderildiğinde, göndericiden alıcıya bir mesaj almak için basit posta aktarım protokolü (SMTP) kullanılır. Bir SMTP hizmeti olarak Twilio SendGrid bu süreci kolaylaştırır.
E-posta altyapısındaki bir güvenlik zayıflığı, herhangi bir gönderenin veya ana bilgisayarın kendilerini ve e-postalarını istedikleri herhangi bir etki alanı olarak tanımlama yeteneğidir (insanların TONS of Donald Trump Twitter hesabı oluşturması gibi). Bu, alıcıların bir mesajın aslında kimden geldiğini söylediğine güvenmelerini zorlaştırır. Ayrıca, göndericileri, herhangi birinin kendi alanlarından posta gönderebileceğini ve potansiyel olarak markalarının itibarını zedeleyebileceğini bilmekten rahatsız eder.
Alıcılar e-postanın özgünlüğüne olan güvenini kaybeder ve gönderenler paranoyak sahtekarlar kendilerinin markası gibi davranırlar - hiç kimse için iyi değil! Çözümün bir kısmı, DNS'deki bir txt kaydında depolanan SPF kaydıdır. Bu makalede, SPF ile ilgili her şeyi keşfedeceğiz - ne olduğundan kendinizle ilgili hataları keşfetmeye kadar, hepsini ele alıyoruz.
SPF Kaydı nedir?
SPF, Gönderen Politikası Çerçevesi anlamına gelir. Belirli bir etki alanından e-posta göndermesine izin verilen posta sunucularını tanımlamaya yardımcı olan bir e-posta kimlik doğrulama yöntemidir. Bu doğrulama protokolünü kullanarak, ISS'ler, sahtekarların ve kimlik avcılarının, kullanıcılarınıza kötü amaçlı e-posta göndermek için alanınızdan sahte e-postalar oluşturmaya çalıştığını belirleyebilir.
SPF ile alıcılar, aldıkları e-posta mesajlarının bekledikleri kişiden geldiğinden emin olabilirler. Ve gönderenler, kimlik avcılarının e-posta sahtekarlığı yapmadığını veya hedef kitlelerini markalarından kimlik avı yapmadıklarını bilerek rahat edebilirler.
Daha teknik olarak, bir SPF kaydı, bir alan yöneticisinin txt kaydına eklediği kısa bir metin satırıdır. Txt kaydı, A, PTR ve MX kayıtlarıyla birlikte DNS'de (alan adı sistemi) saklanır. Bir SPF kaydı şuna benzer:
"v=spf1 ip4:12.34.56.78 içerir:example.com -tümü"
SPF nasıl çalışır?
Yukarıdaki metin satırı, alıcı SMTP sunucusuna hangi ana bilgisayarların belirli bir etki alanından posta göndermesine izin verildiğini söylemek için kullanılır.
SPF kaydı genellikle SMTP görüşmesinde, mesajın gövdesi iletilmeden çok önce kontrol edilir. Bir mesaj gönderilmeye çalışıldığında, gönderici ve alıcı sunucu arasında bir TCP bağlantısı açılır.
Bağlantı kurulduktan sonra, alıcı sunucuya hangi etki alanının kendisine posta göndermeye çalıştığını söyleyen bir HELO komutu verilir. Bunu, alıcı sunucuya mesajın hangi e-posta adresinden geldiğini söyleyen bir MAIL FROM komutu takip eder. MAIL FROM'da bulunan alan (mekan ve dönüş yolu olarak da bilinir) komutu, SPF kayıt kontrolü için kullanılan alan adıdır.
Diyelim ki bir mesaj alındı ve MAIL FROM adresi [email protected]. Alıcı sunucu, example.com için genel DNS kayıtlarını kontrol edecek ve v=spf1 ile başlayan bir TXT kaydı arayacaktır. v=spf1 ile başlayan bir TXT kaydı yoksa kimlik doğrulaması geçecektir. v=spf1 olan birden fazla TXT kaydı varsa hata oluşabilir.
Birinin bulunduğunu varsayalım ve önceki örneğimize benziyor:
"v=spf1 ip4:12.34.56.78 içerir:example.com -tümü"
Alıcı sunucu şimdi mesajı göndermeye çalışan SMTP istemcisinin IP adresinin SPF kaydında yer alıp almadığını kontrol edecektir. IP adresi listeleniyorsa, mesaj SPF kimlik doğrulamasını geçecektir.
İşin özü: SPF kaydının her bir parçasını yıkmak
Bir SPF kaydı, aşağıdakiler dahil çeşitli mekanizmalardan oluşur:
DAHİL ETMEK
Her zaman bir alan adı tarafından takip edilir. Alıcı sunucu bir içerme mekanizmasıyla karşılaştığında, o alan için SPF kaydı kontrol edilir. Gönderenin IP'si bu kayıtta görünüyorsa, postanın kimliği doğrulanır ve SPF kontrolü sona erer. Bulunamazsa, SPF kontrolü bir sonraki mekanizmaya geçer.
A
Ayrıca bir alan adı tarafından takip edilir. Ancak bu durumda, SPF sadece o etki alanıyla ilişkili IP adreslerini kontrol eder. Gönderenin IP'siyle eşleşirse geçer ve SPF denetimi durur. Değilse, bir sonraki mekanizmaya geçer.
MX
“A”ya benzer. Her zaman bir alan adı tarafından takip edilir. Listelenen etki alanı gönderen istemcinin IP adresine çözümlenirse, kimlik doğrulama başarılı olur ve SPF denetimi yapılır. Değilse, bir sonraki mekanizmaya geçer.
IP4 ve IP6
Her zaman belirli bir IP adresi veya CIDR aralığı izler. Gönderen istemcinin IP'si herhangi bir IP4 veya IP6 mekanizmasından sonra listeleniyorsa, kimlik doğrulama başarılı olacak ve SPF kontrolü tamamlanacak. Değilse, bir sonraki mekanizmaya geçer.
PTR
SPF kayıtlarına asla dahil edilmemelidir. Bazı teknik nedenlerden dolayı, hatalara eğilimlidirler ve alıcı sunucuların çözmesi için çok fazla belleğe ve bant genişliğine mal olurlar. Bazı sunucular, bir PTR mekanizmasının varlığına bağlı olarak bir SPF kimlik doğrulamasında başarısız olur.
YÖNLENDİRME
Teknik olarak bir mekanizma değil değiştirici olsa da, bu, bir alanın yöneticisinin bir alanı başka bir alanın SPF kaydına yönlendirmesine olanak tanır. YÖNLENDİRME işlevi kullanılırsa, "tümü" mekanizması dahil olmak üzere SPF kaydına başka hiçbir mekanizma dahil edilemez. Örnek yönlendirme kaydı: “v=spf1 yönlendirme:example.com”
"INCLUDE", "A", "MX", "PTR", "EXISTS" ve "REDIRECT" mekanizmalarının tümü DNS aramaları gerektirir, bu nedenle bunlardan 10'dan fazla olamaz. Bu yeterince basit görünüyor, ancak bu aynı zamanda iç içe DNS aramalarını da içerir; bu, iki tane daha "DAHİL" mekanizmasına sahip başka bir SPF kaydına yol açan bir "DAHİL" anlamına gelir, üç DNS araması olarak sayılır. Hızlı bir şekilde toplanırlar!
Twilio SendGrid müşterileri ne olacak?
Göndericilerimizin çoğu, gönderme alanlarını sendgrid.net'e yönlendiren bir CNAME kurmuştur. Bu, alıcı sunucunun sendgrid.net'i gösteren CNAME'i gördüğü ve bunun yerine SPF kaydını kontrol ettiği anlamına gelir. Bu nedenle, sorguladığınız SPF kayıtlarının çoğu aynıysa şaşırmayın.
Twilio SendGrid'e özel daha fazla soru için Gönderici Politikası Çerçevesi dokümanlar sayfamıza bakın. Bazı ortak sorulara ve senaryolara ek yanıtları vardır.
SPF kaydımı nasıl kontrol ederim?
Herkes SPF kimlik doğrulamasını kullanmaz, ancak SPF hatasına dayalı olarak reddeden alıcılar teslimatı reddeder. Bazı alıcılar, SPF'de başarısız olan postaları engellemeden karantinaya alabilir.
Her SPF kaydı biraz farklı olacaktır, ancak doğru anladığınızdan emin olmak için kontrol etmelisiniz. Kayıtlarınızı doğrulamanıza yardımcı olabilecek üç araç:
- Scott Kitterman'ın SPF Test Araçları : Alan adınız için bir SPF kaydının mevcut olup olmadığını kontrol edin, geçerliliğini kontrol edin veya performansını test edin.
- OpenSPF.org : Bir dizi formu ve e-posta tabanlı test kullanıcılarını inceleyin.
- SPF Kayıt Kontrolü: SPF Kayıt Kontrolü, bir SPF kaydı arama ve doğrulayıcı görevi görür. Sorgulanan alan adı için bir SPF kaydı arar ve e-posta teslim edilebilirliğini etkileyebilecek hataları vurgulayarak kayda karşı tanılama testleri gerçekleştirir.
- SPF Sihirbazı : SPF Sihirbazı, tarayıcı tabanlı bir SPF kayıt oluşturma aracıdır. Formu doldurun ve site sizin için bir SPF kaydı oluştursun.
Gönderen Politikası Çerçevesini bir öncelik haline getirin
Basitçe söylemek gerekirse, kötü niyetli e-posta mesajları işinize zarar verir ve e-posta kanalını düşürür. Kimlik avcıları, Sender Policy Framework ile korunan alan adınızı gördüklerinde, daha kolay hedeflere geçme olasılıkları daha yüksek olacaktır. SPF istenmeyen postaları engellemese de caydırıcı olabilir ve sizi saldırılara karşı daha az savunmasız hale getirebilir. Ve bunu kim istemez, değil mi? Bu nedenle tüm e-posta istemcilerini bir SPF kaydı oluşturmaya teşvik ediyoruz.
Gönderici Kimliği, DKIM ve DMARC ile birlikte SPF, ISS'lerin e-postanızı ve dolayısıyla spam göndericileri doğru bir şekilde tanımlamasına yardımcı olarak kullanıcılarınızı daha iyi destekleyecek ekstra bir e-posta güvenliği düzeyi sağlar.