App: Slik bygger du SPF-posten din
Detaljene og forklaringen på hvordan en SPF-rekord arbeider er detaljert under SPF Record Builder.
SPF Record Builder
Her er et skjema som du kan bruke til å bygge din egen TXT-post for å legge til domenet eller underdomenet du sender e-post fra.
Det var litt av en lettelse da vi flyttet selskapets e-post til Google fra den administrerte IT-tjenesten vi brukte. Før vi var på Google, pleide vi å legge inn forespørsler om endringer, listetilføyelser osv. Nå kan vi håndtere alt gjennom Googles enkle grensesnitt.
Et tilbakeslag vi la merke til da vi begynte å sende var at noen e-poster fra systemet vårt ikke kom til innboksen... selv innboksen vår. Jeg leste litt opp på Googles råd for Massepostsendere og kom raskt på jobb. Vi har e-post som kommer ut av 2 applikasjoner vi er vert for, en annen applikasjon som noen andre er vert for i tillegg til en e-postleverandør. Problemet vårt var at vi manglet en SPF-post for å informere Internett-leverandører om at e-postene som ble sendt ut fra Google var våre.
Hva er avsenderpolicyrammeverket?
Sender Policy Framework er en e-postautentiseringsprotokoll og en del av e-postsikkerheten som brukes av Internett-leverandører for å blokkere phishing-e-poster fra å bli levert til brukerne deres. An SPF record er en domenepost som viser alle dine domener, IP-adresser osv. som du sender e-post fra. Dette lar enhver Internett-leverandør slå opp posten din og validere at e-posten kommer fra en passende kilde.
Phishing er en type nettsvindel der kriminelle bruker sosiale ingeniørteknikker for å lure folk til å gi bort sensitiv informasjon, for eksempel passord, kredittkortnumre eller annen personlig informasjon. Angriperne bruker vanligvis e-post for å lokke enkeltpersoner til å oppgi personlig informasjon ved å forkle seg som en legitim virksomhet... som din eller min.
SPF er en god idé - og jeg er ikke sikker på hvorfor det ikke er en vanlig metode for bulk-e-post og spam-blokkeringssystemer. Du skulle tro at enhver domeneregistrator ville gjøre det til et poeng å bygge en veiviser rett inn i den slik at alle kan liste opp kildene til e-post de vil sende.
Hvordan fungerer en SPF-post?
An ISP sjekker en SPF-post ved å utføre en DNS-spørring for å hente SPF-posten knyttet til domenet til avsenderens e-postadresse. ISPen evaluerer deretter SPF-posten, en liste over autoriserte IP-adresser eller vertsnavn som er tillatt å sende en e-post på vegne av domenet mot IP-adressen til serveren som sendte e-posten. Hvis serverens IP-adresse ikke er inkludert i SPF-posten, kan Internett-leverandøren flagge e-posten som potensielt uredelig eller avvise e-posten fullstendig.
Prosessrekkefølgen er som følger:
- ISP gjør en DNS-spørring for å hente SPF-posten knyttet til avsenderens e-postadressedomene.
- ISP evaluerer SPF-posten mot IP-adressen til e-postserveren. Dette kan betegnes i CIDR format for å inkludere en rekke IP-adresser.
- ISP evaluerer IP-adressen og sikrer at den ikke er på en DNSBL server som en kjent spammer.
- ISP evaluerer også DMARC og Bimi Records.
- ISP tillater deretter e-postlevering, avviser den eller plasserer den i søppelmappen avhengig av interne leveringsregler.
Eksempler på SPF-poster
SPF-posten er en TXT-post som du må legge til domenet du sender e-post med. SPF-poster kan ikke være over 255 tegn lange og kan ikke inneholde mer enn ti inkluderer-setninger.
- Begynne med
v=spf1
tag og følg den med IP-adressene som er autorisert til å sende e-posten din. For eksempel,v=spf1 ip4:1.2.3.4 ip4:2.3.4.5
. - Hvis du bruker en tredjepart til å sende e-post på vegne av det aktuelle domenet, må du legge til inkludere til SPF-posten din (f.eks. include:domain.com) for å utpeke den tredjeparten som en legitim avsender
- Når du har lagt til alle autoriserte IP-adresser og inkludert uttalelser, avslutter du posten med en
~all
or-all
stikkord. En ~all-tag indikerer en myk SPF mislykkes mens en -all-tag indikerer en hard SPF mislykkes. I øynene til de store postkasseleverandørene vil ~alt og -alle begge resultere i SPF-feil.
Når du har skrevet SPF-posten din, vil du legge til posten til domeneregistratoren din. Her er noen eksempler:
v=spf1 a mx ip4:192.0.2.0/24 -all
Denne SPF-posten sier at enhver server med domenets A- eller MX-poster, eller en hvilken som helst IP-adresse i området 192.0.2.0/24, er autorisert til å sende en e-post på vegne av domenet. De -alle på slutten indikerer at eventuelle andre kilder skal mislykkes i SPF-kontrollen:
v=spf1 a mx include:_spf.google.com -all
Denne SPF-posten sier at enhver server med domenets A- eller MX-poster, eller en hvilken som helst server inkludert i SPF-posten for domenet "_spf.google.com", er autorisert til å sende en e-post på vegne av domenet. De -alle på slutten indikerer at eventuelle andre kilder skal mislykkes i SPF-kontrollen.
v=spf1 ip4:192.168.0.0/24 ip4:192.168.1.100 include:otherdomain.com -all
Denne SPF-posten spesifiserer at all e-post som sendes fra dette domenet skal komme fra IP-adresser innenfor nettverksområdet 192.168.0.0/24, den enkle IP-adressen 192.168.1.100 eller eventuelle IP-adresser som er autorisert av SPF-posten til annetdomene.com domene. De -all
på slutten av posten spesifiserer at alle andre IP-adresser skal behandles som mislykkede SPF-kontroller.
Beste praksis for implementering av SPF
Korrekt implementering av SPF forbedrer e-postleveransen og beskytter domenet ditt mot e-postforfalskning. En trinnvis tilnærming til implementering av SPF kan bidra til å sikre at legitim e-posttrafikk ikke utilsiktet påvirkes. Her er en anbefalt strategi:
1. Inventar over sendekilder
- Mål: Identifiser alle serverne og tjenestene som sender e-post på vegne av domenet ditt, inkludert dine egne e-postservere, tredjeparts e-posttjenesteleverandører og andre systemer som sender e-post (f.eks. CRM-systemer, plattformer for markedsføringsautomatisering).
- Handling: Sett sammen en omfattende liste over IP-adresser og domener for disse sendekildene.
2. Lag din første SPF-post
- Mål: Lag en SPF-post som inkluderer alle identifiserte legitime sendekilder.
- Handling: Bruk SPF-syntaksen for å spesifisere disse kildene. Et eksempel på SPF-post kan se slik ut:
v=spf1 ip4:192.168.0.1 include:_spf.google.com ~all
. Denne posten tillater e-post fra IP-adressen 192.168.0.1 og inkluderer Googles SPF-post, med~all
som indikerer en softfail for kilder som ikke er eksplisitt oppført.
3. Publiser SPF-posten din i DNS
- Mål: Gjør SPF-policyen din kjent for mottakende e-postservere ved å legge den til i domenets DNS-poster.
- Handling: Publiser SPF-posten som en TXT-post i domenets DNS. Dette gjør at mottakers e-postservere kan hente og sjekke SPF-posten din når de mottar e-post fra domenet ditt.
4. Overvåk og test
- Mål: Sørg for at SPF-posten din validerer legitime e-postkilder uten å påvirke e-postleveransen.
- Handling: Bruk SPF-valideringsverktøy for å overvåke e-postleveringsrapporter fra tjenesteleverandørene dine. Vær oppmerksom på eventuelle leveringsproblemer som kan indikere at SPF-sjekker fanger opp legitime e-poster.
5. Avgrens SPF-posten din
- Mål: Juster SPF-posten din for å løse eventuelle problemer som er identifisert under overvåking og testing, og for å gjenspeile endringer i praksisen for e-postsending.
- Handling: Legg til eller fjern IP-adresser eller inkluder uttalelser etter behov. Vær oppmerksom på SPF 10-oppslagsgrensen, som kan forårsake valideringsproblemer hvis den overskrides.
6. Gjennomgå og oppdater regelmessig
- Mål: Hold SPF-posten nøyaktig og oppdatert for å tilpasse seg endringer i e-postinfrastrukturen og sendingspraksis.
- Handling: Gjennomgå sendekildene dine med jevne mellomrom og oppdater SPF-posten din deretter. Dette inkluderer å legge til nye e-posttjenesteleverandører eller fjerne de du ikke lenger bruker.
Ved å følge disse trinnene kan du implementere SPF for å forbedre din e-postsikkerhet og leveringsevne samtidig som du minimerer risikoen for å forstyrre legitim e-postkommunikasjon.