App: Hoe om jou SPF-rekord te bou
Die besonderhede en verduideliking van hoe 'n SPF rekord werke word uiteengesit onder die SPF Rekordbouer.
SPF Rekordbouer
Hier is 'n vorm wat jy kan gebruik om jou eie TXT-rekord te bou om by jou domein of subdomein te voeg waarvandaan jy e-posse stuur.
Dit was nogal 'n verligting toe ons ons maatskappy se e-pos na skuif Google van die bestuurde IT-diens wat ons gebruik het. Voordat ons op Google was, moes ons vroeër versoeke inbring vir enige veranderinge, lysbyvoegings, ens. Nou kan ons dit alles deur Google se eenvoudige koppelvlak hanteer.
Een terugslag wat ons opgemerk het toe ons begin stuur het, was dat sommige e-posse van ons stelsel nie die inkassie bereik nie ... selfs ons inkassie. Ek het 'n bietjie opgelees oor Google se raad vir Grootmaat e-posstuurders en vinnig aan die werk gekom. Ons het e-pos wat uit 2 toepassings kom wat ons aanbied, 'n ander toepassing wat iemand anders bykomend tot 'n e-posdiensverskaffer huisves. Ons probleem was dat ons nie 'n SPF-rekord gehad het om ISP's in te lig dat die e-posse wat uit Google gestuur is, ons s'n is nie.
Wat is die Afsenderbeleidsraamwerk?
Sender Policy Framework is 'n e-posverifikasieprotokol en deel van e-pos kuberveiligheid wat deur ISP's gebruik word om uitvissing-e-posse te keer om aan hul gebruikers afgelewer te word. An SPF rekord is 'n domeinrekord wat al jou domeine, IP-adresse, ens. bevat waarvandaan jy e-posse stuur. Dit laat enige ISP toe om jou rekord op te soek en te bevestig dat die e-pos van 'n toepaslike bron af kom.
Uitvissing is 'n tipe aanlynbedrog waar misdadigers sosiale ingenieurstegnieke gebruik om mense te mislei om sensitiewe inligting, soos wagwoorde, kredietkaartnommers of ander persoonlike inligting, weg te gee. Die aanvallers gebruik gewoonlik e-pos om individue te lok om persoonlike inligting te verskaf deur hulself te vermom as 'n wettige besigheid ... soos joune of myne.
SPF is 'n goeie idee - en ek is nie seker hoekom dit nie 'n hoofstroommetode is vir grootmaat-e-posversendings en strooiposblokkeringstelsels nie. U sou dink dat elke domeinregistrateur dit 'n punt sou maak om 'n towenaar reg daarin te bou sodat enigiemand die bronne van e-pos wat hulle sou stuur, kan lys.
Hoe werk 'n SPF-rekord?
An ISP kontroleer 'n SPF-rekord deur 'n DNS-navraag uit te voer om die SPF-rekord wat met die domein van die sender se e-posadres geassosieer word, op te haal. Die ISP evalueer dan die SPF-rekord, 'n lys van gemagtigde IP-adresse of gasheername wat toegelaat word om 'n e-pos namens die domein te stuur teen die IP-adres van die bediener wat die e-pos gestuur het. As die bediener se IP-adres nie by die SPF-rekord ingesluit is nie, kan die ISP die e-pos as potensieel bedrieglik vlag of die e-pos heeltemal verwerp.
Die prosesvolgorde is soos volg:
- ISP doen 'n DNS-navraag om die SPF-rekord wat met die sender se e-posadresdomein geassosieer word, op te haal.
- ISP evalueer die SPF-rekord teen die IP-adres van die e-posbediener. Dit kan aangedui word in CIDR formaat om 'n reeks IP-adresse in te sluit.
- ISP evalueer die IP-adres en verseker dat dit nie op 'n DNSBL bediener as 'n bekende spammer.
- ISP evalueer ook DMARC en BIMI Records.
- ISP laat dan e-posaflewering toe, verwerp dit of plaas dit in die gemorslêer, afhangende van die interne afleweringsreëls daarvan.
SPF Rekord Voorbeelde
Die SPF-rekord is 'n TXT-rekord wat jy moet voeg by die domein waarmee jy e-posse stuur. SPF-rekords kan nie meer as 255 karakters lank wees nie en kan nie meer as tien insluitstellings insluit nie.
- Begin met
v=spf1
merk en volg dit met die IP-adresse wat gemagtig is om jou e-pos te stuur. Byvoorbeeld,v=spf1 ip4:1.2.3.4 ip4:2.3.4.5
. - As jy 'n derde party gebruik om e-pos namens die betrokke domein te stuur, moet jy byvoeg sluit na jou SPF-rekord (bv. include:domain.com) om daardie derde party as 'n wettige sender aan te wys
- Sodra jy alle gemagtigde IP-adresse bygevoeg het en state ingesluit het, eindig jou rekord met 'n
~all
or-all
merker. 'n ~all tag dui 'n aan sagte SPF misluk terwyl 'n -all merker 'n aandui harde SPF misluk. In die oë van die groot posbusverskaffers sal ~almal en -albei beide lei tot SPF-mislukking.
Sodra jy jou SPF-rekord geskryf het, wil jy die rekord by jou domeinregistrateur voeg. Hier is 'n paar voorbeelde:
v=spf1 a mx ip4:192.0.2.0/24 -all
Hierdie SPF-rekord verklaar dat enige bediener met die domein se A- of MX-rekords, of enige IP-adres in die 192.0.2.0/24-reeks, gemagtig is om 'n e-pos namens die domein te stuur. Die -almal aan die einde dui aan dat enige ander bronne die SPF-kontrole moet druip:
v=spf1 a mx include:_spf.google.com -all
Hierdie SPF-rekord verklaar dat enige bediener met die domein se A- of MX-rekords, of enige bediener ingesluit in die SPF-rekord vir die domein "_spf.google.com", gemagtig is om 'n e-pos namens die domein te stuur. Die -almal aan die einde dui aan dat enige ander bronne die SPF-kontrole moet druip.
v=spf1 ip4:192.168.0.0/24 ip4:192.168.1.100 include:otherdomain.com -all
Hierdie SPF-rekord spesifiseer dat alle e-pos wat vanaf hierdie domein gestuur word vanaf IP-adresse binne die 192.168.0.0/24-netwerkreeks, die enkele IP-adres 192.168.1.100, of enige IP-adresse wat deur die SPF-rekord van die otherdomain.com domein. Die -all
aan die einde van die rekord spesifiseer dat alle ander IP-adresse as mislukte SPF-kontroles hanteer moet word.
Beste praktyke in die implementering van SPF
Die korrekte implementering van SPF verbeter e-posaflewerbaarheid en beskerm jou domein teen e-posbedrog. 'n Gefaseerde benadering tot die implementering van SPF kan help om te verseker dat wettige e-posverkeer nie per ongeluk geraak word nie. Hier is 'n aanbevole strategie:
1. Inventaris van stuurbronne
- Doel: Identifiseer al die bedieners en dienste wat e-pos namens jou domein stuur, insluitend jou eie posbedieners, derdeparty-e-posdiensverskaffers en enige ander stelsels wat e-pos stuur (bv. CRM-stelsels, bemarkingsoutomatiseringsplatforms).
- Aksie: Stel 'n omvattende lys van IP-adresse en domeine van hierdie stuurbronne saam.
2. Skep jou aanvanklike SPF-rekord
- Doel: Stel 'n SPF-rekord op wat alle geïdentifiseerde wettige stuurbronne insluit.
- Aksie: Gebruik die SPF-sintaksis om hierdie bronne te spesifiseer. 'n Voorbeeld SPF-rekord kan soos volg lyk:
v=spf1 ip4:192.168.0.1 include:_spf.google.com ~all
. Hierdie rekord laat e-posse vanaf die IP-adres 192.168.0.1 toe en sluit Google se SPF-rekord in, met~all
wat 'n sagte mislukking aandui vir bronne wat nie eksplisiet gelys is nie.
3. Publiseer jou SPF-rekord in DNS
- Doel: Maak jou SPF-beleid bekend aan die ontvangs van posbedieners deur dit by jou domein se DNS-rekords te voeg.
- Aksie: Publiseer die SPF-rekord as 'n TXT-rekord in jou domein se DNS. Dit stel ontvanger-posbedieners in staat om jou SPF-rekord op te haal en na te gaan wanneer hulle e-posse van jou domein ontvang.
4. Monitor en toets
- Doel: Maak seker dat jou SPF-rekord wettige e-posbronne bekragtig sonder om e-posaflewering te beïnvloed.
- Aksie: Gebruik SPF-bekragtigingnutsgoed om e-posafleweringsverslae van jou diensverskaffers te monitor. Gee aandag aan enige afleweringskwessies wat kan aandui dat SPF-tjeks wettige e-posse opvang.
5. Verfyn jou SPF-rekord
- Doel: Pas jou SPF-rekord aan om enige probleme op te los wat tydens monitering en toetsing geïdentifiseer is, en om veranderinge in jou e-posversendingpraktyke te weerspieël.
- Aksie: Voeg IP-adresse by of verwyder of sluit stellings in soos nodig. Wees bedag op die SPF 10-opsoeklimiet, wat valideringskwessies kan veroorsaak as dit oorskry word.
6. Hersien en werk gereeld op
- Doel: Hou jou SPF-rekord akkuraat en op datum om aan te pas by veranderinge in jou e-posinfrastruktuur en stuurpraktyke.
- Aksie: Gaan jou stuurbronne gereeld na en werk jou SPF-rekord dienooreenkomstig op. Dit sluit in die byvoeging van nuwe e-posdiensverskaffers of die verwydering van dié wat jy nie meer gebruik nie.
Deur hierdie stappe te volg, kan jy SPF implementeer om jou e-possekuriteit en aflewerbaarheid te verbeter terwyl jy die risiko verminder om wettige e-poskommunikasie te ontwrig.