Defaults.Exposed › Parandused › SPF (Sender Policy Framework)

Kuidas parandada SPF (Sender Policy Framework)

SPF on teie domeeni seadetes olev rida, mis loetleb, millistel meiliteenustel on lubatud teie ettevõtte nimel kirju saata. Ilma selleta saab igaüht maailmas saata kirju, mis näivad tulevat teilt — ja teie enda päriskirjad maanduvad tõenäolisemalt klientide rämpsposti kausta.

Põhijareldus sinu ettevõttele: Igaüks võib saata kirju, mis teesklevad olevat teie ettevõttelt — teie klientidele, töötajatele ja tarnijatele — arveid, makseandmete muutmise taotlusi jms. Samal ajal maanduvad teie pärisarved ja pakkumised tõenäolisemalt rämpsposti, mistõttu tehingud vaikselt takerduvad.

Mida see sulle maksab

Pettur saadab teie kliendile arve 'teie nimel' oma pangakonto andmetega ja saab makstud. Te saate sellest teada nädalaid hiljem, kui klient küsib kauba kohta — ja nüüd on teie maine ning võib-olla ka vastutus kaalul.
Teie pakkumised, arved ja vastused maanduvad vaikselt klientide rämpsposti kaustadesse, sest Gmail ja Yahoo ei suuda kinnitada, et need tulevad tõesti teilt. Tehingud jahtuvad ja te ei saa kunagi aru, miks.
Pettur kehastub teie omanikuks või finantsinimeseks ning saadab töötajatele kirja, paludes kiiret makset või kinkekaarte — kiri näib tõepoolest tulevat teie domeenilt, nii et keegi maksab.
Suurema potentsiaalse kliendi IT- või turvaülevaatus kontrollib teie domeeni, ei leia ühtegi saatjakaitset ja lükkab teid tagasi või nõuab parandust enne allkirjastamist — see maksab teile tehingu või nädalaid viivitust.
Te arvate, et olete kaitstud, sest SPF-kirje on olemas — kuid see on seatud 'soft fail' peale ilma jõustamiseta, või on see vaikselt katki, nii et võltsitud kirjad pääsevad ikka läbi.

Miks see on oluline. Meili 'saatja' aadressi võltsimine on äärmiselt lihtne ja ei maksa ründajale midagi. SPF on odavaim ja kiireim viis muuta oma domeeni raskemini kehtestatavaks ning hoida oma päriskirjad rämpsposti eemal. Google ja Yahoo rämpspostitavad või lükkavad nüüd aktiivselt tagasi domeenidelt pärit kirju, mille autentsus pole kinnitatud — seega pole see enam valikuline, see on meili kohaletoimetamise eeltingimus.

Lühidalt

Praegu, kui SPF ei ole õigesti seadistatud, saab igaüks maailmas saata kirju, mis näivad tulevat teie ettevõttelt. Nad saavad saata teie klientidele võltsarveid, töötajatele võltsmaksetaotlusi ning tarnijatele kirju justkui teie nimel — ja need kirjad näevad välja ehtsad, sest teie domeenis pole midagi, mis ütleks teisiti.

SPF (Sender Policy Framework) on lahendus. See on üks tekstirida teie domeeni DNS-seadetes, mis loetleb, millistel meiliteenustel on tegelikult lubatud teie nimel kirju saata. Vastuvõtvad meiliteenused — Gmail, Outlook ja kõik teised — kontrollivad seda nimekirja enne otsustamist, kas kiri on ehtne. Nimekirja pole või see on nõrk — neil pole millele toetuda.

See leht käsitleb kahte asja, mis mõlemad peavad olema õiged: kas SPF-kirje üldse eksisteerib, ja kas see on piisavalt range, et tegelikult oma tööd teha.

Mida see võib teile maksma minna

Need on igapäevased, reaalse maailma viisid, kuidas puuduv või nõrk SPF-kirje muutub rahaks ja usalduseks, mis uksest välja läheb. Me ei nimeta kunagi pärisettevõtteid — need on mustrid, mida näeme andmetes.

Arve ümbersuunamine. Kurjategija saadab teie klientidele kirja, mis näeb täpselt välja nagu teilt tulnud, lisades päris välimusega arve oma pangakontoga. Teie klient tasub selle. Esimene märk on päringu saamine, kus küsitakse, kus kaup on. Nüüd on vihane klient, kurjategijale läinud makse ja raske vestlus selle üle, kes kahju katab.
Tegevjuhi/rahanduse pettus. Keegi saadab teie raamatupidajale kirja ‘omaniku nimel’: “Kiire teene — kas saad selle makse enne päeva lõppu läbi lükata?” Kuna kiri näib tõepoolest tulevat teie domeenilt, ei ärata see kellegi kahtlust. Raha lahkub ettevõttest.
Vaikne kohaletoimetamismaks. Teie pakkumised ja arved hakkavad maanduma klientide rämpsposti kaustadesse, sest Gmail ja Yahoo ei suuda kinnitada, et need tulevad tõesti teilt. Te ei saa tagasilükke, te ei saa vigu — tehingud lihtsalt vaibuvad. Te kaotate äri ja te ei näe seda isegi toimumas.
Kaotatud leping. Suurema kliendi hankeosakond või turvaülevaatus kontrollib teie domeeni sisseelamise osana. Nad näevad, et saatja autentimine puudub, ja märgivad teid riskina. Parimal juhul parandete seda tähtaja survel; halvimal juhul lähevad nad konkurendi juurde, kes läbis kontrolli.
Kaubamärgi mürgistus. Teie domeeni kasutatakse avalikkusele suunatud andmepüügikampaanias. Inimesed, kes said kahju, usaldavad nüüd kõiki teie nimega kirju — nii ka teie ehtsaid pakkumisi ja uuendusi — vähem ja ignoreerivad neid või teavitavad neist.

Kõigi nende punaste niit: ründaja ei kuluta midagi ning teie ettevõte kannab kulu ja süüd.

Mis see tegelikult on

Kui kiri saabub, soovib vastuvõttev meiliserver teada üht asja: kas see tuli tõesti sellelt, kellelt väidab tulevat? SPF vastab sellele küsimusele osaliselt.

Te avaldavad lühikese tekstirea oma domeeni DNS-seadetes — “TXT-kirje” —, mis nimetab meiliteenused, kellel on lubatud teie nimel saata. Midagi sellist:

v=spf1 include:_spf.google.com include:sendgrid.net -all

Lihtsas keeles: “Ehtsad kirjad meilt tulevad Google’i serveritest ja SendGrid’i serveritest — lükake tagasi kõik muu, mis väidab olevat meilt.”

Kaks osa, mis loevad teie hinde jaoks:

Kas kirje eksisteerib? See on peaasi (kannab enim kaalu kõigi meiliseadete seas). Kirje puudumine tähendab, et vastuvõtjatel pole nimekirja, millele toetuda, nii et kehastamine on täiesti avatud. On ka peen tõrkemood: kui teie domeenil on kaks või enam SPF-kirjet, ütlevad reeglid, et kõik neist on kehtetud — seega pole teil tegelikult üldse SPF-i, kuigi näib olevat olemas.
Kas poliitika on piisavalt range? Kirje võib eksisteerida, kuid siiski olla hambutu. Lõpp — ‘all’ mehhanism — on juhis vastuvõtjatele:
- -all (hard fail) — lükake tagasi kõik, mis pole nimekirjas. Tugevaim. Täispunktid.
- ~all (soft fail) + DMARC seatud ‘reject’ peale — kaasaegne soovitatav seadistus. Samaväärne kaitse hard fail-iga ilma edastatud kirjade tagasilükkamise riskita. Täispunktid.
- ~all + DMARC seatud ‘quarantine’ peale — vastuvõetav, veidi nõrgem; liikuge DMARC-iga ‘reject’ peale täieliku kaitse saamiseks.
- ~all üksi (ilma DMARC-i jõustamiseta) — nõrk. See ütleb “tõenäoliselt võlts, toimetage ikkagi kohale.” Võltskirjad pääsevad ikka läbi. See on lõks, kuhu paljud ettevõtted langevad, arvates, et on kaitstud.
- ?all (neutraalne) — ei paku kaitset.
- +all — aktiivselt ohtlik: see ütleb maailmale, et igaüks võib teie nimel saata. Ärge seda kunagi kasutage.

On veel üks nähtamatu tõrge: SPF-il on lubatud hindamisel käivitada kuni 10 DNS-otsingut. Koguge liiga palju include: kirjeid ja kirje ületab selle piiri, mille peale vastuvõtjad peavad kogu asja katkilõdunuks — ja te olete tagasi kaitseta. See on tavaline, vaikne probleem ettevõtetele, kes kasutavad palju turundus- ja SaaS-tööriistu.

Milline näeb välja “hea” tulemus: täpselt üks SPF-kirje, mis loetleb kõik teenused, mis legitiimselt saadavad teie nimel kirju, lõpeb -all-iga (või ~all koos DMARC-iga p=reject peal), ja jääb mugavalt alla 10-otsingu piiri.

Kuidas seda parandada (tasuta, ~10 minutit)

Andke see jaotis kellelegi, kes haldab teie domeeni või veebisaiti — ja pange tähele, et parandus on tasuta. See on DNS-seadistuse muutmine, mitte ostetav toode. Me küsime tasu ainult selle õigsuse jälgimise eest aja jooksul, mitte muudatuse tegemise eest.

1. samm — Loetlege kõik teenused, mis saadavad teie nimel kirju. See on osa, mida inimesed valesti teevad. Kirjutage üles kõik: teie postkastiteenuse pakkuja (Google Workspace, Microsoft 365 jne), pluss kõik uudiskirjatööriistad, CRM-id, kliendiabi, e-kaubanduse platvormid, arveldus-/raamatupidamisrakendused ja broneerimissüsteemid. Kui teenus saadab kirju teie nime all ja unustate selle, blokib teie SPF selle kirjad poliitika karmistamisel.

2. samm — Avaldage üks TXT-kirje oma juurdomeenil. Ühendage kõigi saatjate “include” read ühte kirjesse. Tavaliste platvormide järgi:

Google Workspace: include:_spf.google.com
Microsoft 365: include:spf.protection.outlook.com
SendGrid: include:sendgrid.net
Mailchimp: include:servers.mcsv.net
Zoho: include:zoho.eu (või piirkonnale sobiv domeen)

Kombineeritud kirje näeb välja selline:

v=spf1 include:_spf.google.com include:spf.protection.outlook.com include:sendgrid.net -all

Kust seda lisada, pakkuja järgi:

Cloudflare: DNS → Kirjed → Lisa kirje → Tüüp TXT, Nimi @, Sisu = ülalolev väärtus.
Microsoft 365 / Google admin: nad avaldavad täpse include-stringi, mida kasutada nende seadistusviisardis; kopeerige see oma DNS-hosti TXT-kirjesse.
GoDaddy / enamik hostiteenuseid: DNS-haldus → Lisa → TXT, Host/Nimi @, Väärtus = kirje.

3. samm — Alustage ohutu seadistusega, seejärel jõustage. Kuni kinnitate, et saatjate nimekiri on täielik, avaldage ~all-iga (soft fail), et midagi legitiimset ei blokeeriks kogemata. Kui kinnitate, et kõik päriskirjad jätkuvalt liiguvad, karmistage -all-ile (hard fail) — või parem, jätke ~all ja lisage DMARC-poliitika p=reject, mis on soovitatav kaasaegne paar.

4. samm — Veenduge, et teil on täpselt ÜKS kirje. Kui vana SPF-kirje juba eksisteerib, muutke seda, mitte ei lisa teist. Kaks v=spf1 kirjet tühistavad üksteist ja jätavad teid kaitseta.

5. samm — Jälgige otsinguarvu. Kui teil on palju saatjaid, võite ületada 10-otsingu piiri. Kui see juhtub, konsolideerige — mõned pakkujad pakuvad “SPF-i lamendamist” ehk eemaldage saatjad, keda enam ei kasuta.

6. samm — Kontrollige oma domeeni uuesti, et kinnitada, et see nüüd läbib kontrolli, kirje on olemas ja poliitika on range.

Levinud vead

Kaks SPF-kirjet. Kõige levinum vaikne tõrge. Uue kirje lisamine olemasoleva muutmise asemel muudab mõlemad kehtetuks. Olema peab täpselt üks.
Peatumine ~all peal, eeldades, et olete valmis. Soft fail ilma DMARC-ita on nõrk kesktee — näib konfigureeritud, kuid kaitseb vaevalt. Minge kas -all-ile või paaritage ~all DMARC-iga p=reject.
Saatja unustamine. Karmistamine -all-ile enne arveldusrakenduse, CRM-i või uudiskirjatööriista lisamist hakkab blokeerima teie enda legitiimseid kirju. Loetlege kõigepealt kõik.
10-otsingu piiri ületamine. Iga include: võib ahelduda täiendavate otsingutega. Liiga palju ja kirje loetakse katkilõdunuks. Hoidke see õhukesena.
+all kasutamine. See volitab selgesõnaliselt kogu internetti teie nimel saatma. See on hullem kui kirje puudumine. Ärge seda kunagi avaldage.

Kuhu see sobib

SPF on alus, kuid see on üks kolmest kihist. DKIM lisab krüptograafilise allkirja, mis tõendab, et sõnumit pole muudetud, ja DMARC on juhis, mis ühendab SPF-i ja DKIM-i ning ütleb vastuvõtjatele, mida tegelikult teha ebaõnnestunud kirjadega — sealhulgas blokeerida teie klientide nähtava ‘saatja’ nime kehastamine. Tehke SPF kõigepealt õigeks (see on kiireim võit ja kannab enim kaalu), seejärel lisage DKIM ja DMARC, et uks täielikult sulgeda. Kõik kolm parandust on tasuta.

Seadista oma majutuses

Samm-sammult populaarsete teenusepakkujate jaoks:

KKK

Ma pole tehniline — kas saan ise sellega tegeleda?

Te ei pea üksikasju mõistma. Muudatus on üks-kaks rida teie domeeni seadetes, mille teeb teie veebisaiti või IT-teenust haldav isik. Andke neile allolev jaotis 'Kuidas seda parandada' — see võtab tavaliselt paar minutit ja on tasuta. Me küsime tasu ainult selle õigsuse jälgimise eest aja jooksul.

Meil on juba SPF-kirje — kas see tähendab, et oleme kaitstud?

Mitte tingimata. Kirje olemasolu on esimene pool; piisavalt range seadistamine on teine. Kirje, mis lõpeb '~all' (soft fail) ilma DMARC-ita, ütleb vastuvõtvatele serveritele 'see võib olla võlts, kuid toimetage see ikka kohale' — mis annab minimaalse kaitse. Kaks SPF-kirjet või liiga palju otsinguid sisaldav kirje loetakse katkilõdunuks ja ei anna üldse kaitset, kuigi näib olevat olemas. Mõlemad pooled peavad olema õiged.

Kas parandamine katkestab kogemata minu enda e-posti?

See võib juhtuda, kui kirjest jääb välja mõni legitiimne saatja — näiteks teie arveldusrakendus või uudiskirjatööriist, mis saadab kirju teie nimel. Sellepärast ongi ohutu lähenemine loetleda kõigepealt kõik teenused, mis saadavad kirju teie nimel, avaldada '~all' (soft fail) seadega, kuni kinnitate, et midagi pole puudu, ning seejärel karmistada 'hard fail' peale. Selles järjestuses ei katkesta see midagi.

Mis vahe on '~all' ja '-all' vahel ja kumba kasutada?

'-all' (hard fail) käsib vastuvõtjatel lükata tagasi kõik, mis ei ole teie nimekirjas — tugevaim seadistus. '~all' (soft fail) ütleb 'tõenäoliselt mitte legitiimne, kuid võtke vastu'. Kaasaegne parim tava soovitab '~all' koos DMARC-poliitikaga 'reject' — see paar annab sama kaitse kui '-all', ilma edastatud kirjade tagasilükkamise riskita. '~all' üksi, ilma DMARC-ita, on nõrk konfiguratsioon, mida vältida.

Kas SPF peatab kõik meili võltsimised üksi?

Ei — see on hädavajalik esimene kiht, mitte täielik vastus. SPF ütleb, millised serverid võivad teie nimel saata, kuid ei ütle vastuvõtjatele, mida teha sõnumiga, mis ebaõnnestub, ega kata kasutaja nähtavat 'saatja' nime. Kehastamise täielikuks sulgemiseks vajate ka DKIM-i ja DMARC-i. SPF on kiireim ja suurima mõjuga esimene samm, seega alustage siit, seejärel lisage need kaks.

Kui kaua võtab see aega ja kas see võib midagi maksma minna?

DNS-muutused jõustuvad tavaliselt mõne minuti kuni paari tunni jooksul. Parandus ise on alati tasuta — see on lihtsalt seadistuse muutmine teie DNS-teenuse pakkuja juures. Igaüks, kes ütleb, et SPF-kirje lisamine nõuab tasulise toote soetamist, on ekslikul arvamusel.