Thứ ba, 16/07/2013 | 00:00 GMT+7

Cách sử dụng Bản ghi SPF để ngăn chặn giả mạo và cải thiện độ tin cậy của e-mail


Giới thiệu

Bản ghi SPF được điều chỉnh cẩn thận sẽ làm giảm khả năng domain của bạn bị giả mạo một cách gian lận và giúp thư của bạn không bị gắn cờ là spam trước khi đến tay người nhận. Giả mạo email là việc tạo ra các email với một địa chỉ người gửi giả mạo; một điều gì đó đơn giản để thực hiện vì nhiều server thư không thực hiện xác thực. Email spam và lừa đảo thường sử dụng cách giả mạo như vậy để đánh lừa người nhận về nguồn root của thư. Tuy nhiên, một số biện pháp để giải quyết vấn đề giả mạo đã phát triển trong những năm qua: SPF ,ID người gửi , DKIMDMARC . Khung policy người gửi (SPF) là một hệ thống xác thực email được thiết kế để ngăn chặn thư rác bằng cách phát hiện giả mạo email. Ngày nay, gần như tất cả các thư điện tử lạm dụng đều mang địa chỉ người gửi giả. Những nạn nhân có địa chỉ bị lạm dụng thường phải gánh chịu hậu quả, vì danh tiếng của họ bị giảm sút, họ phải lãng phí thời gian để phân loại các tin nhắn trả lại bị định hướng sai, hoặc (tệ hơn) địa chỉ IP của họ bị đưa vào blacklist .

SPF là một tiêu chuẩn mở chỉ định một phương pháp kỹ thuật để ngăn chặn việc giả mạo địa chỉ người gửi. SPF cho phép administrator chỉ định server nào được phép gửi thư thay mặt cho một domain nhất định bằng cách tạo bản ghi SPF cụ thể (hoặc bản ghi TXT) trong Hệ thống domain (DNS). Bộ trao đổi thư sử dụng bản ghi DNS để kiểm tra xem thư từ một domain nhất định có đang được gửi bởi một server lưu trữ được administrator của domain đó xử phạt hay không.

Những lợi ích

Thêm bản ghi SPF vào file vùng DNS của bạn là cách tốt nhất để ngăn những kẻ gửi spam giả mạo domain của bạn. Ngoài ra, Bản ghi SPF sẽ giảm số lượng thư điện tử hợp lệ bị gắn cờ là thư rác hoặc bị trả lại bởi server thư của người nhận của bạn. Rất tiếc, bản ghi SPF không phải là 100% hiệu quả vì không phải tất cả các nhà cung cấp dịch vụ thư đều kiểm tra nó. Tuy nhiên, có nhiều trường hợp như vậy, vì vậy bạn sẽ nhận thấy số lượng phản hồi mà bạn nhận được giảm đáng kể.

Bản ghi SPF mẫu

Bản ghi SPF được thêm vào file vùng DNS của domain của bạn dưới dạng bản ghi TXT và nó xác định các server SMTP được ủy quyền cho domain của bạn.

TXT @ "v=spf1 a include:_spf.google.com ~all"

Nếu bạn đang sử dụng Trình quản lý DNS DigitalOcean , hãy đảm bảo bọc bản ghi SPF bằng dấu ngoặc kép. Bảng sau cung cấp giải thích về các thành phần khác nhau của Bản ghi SPF Ví dụ:

Các thành phần Sự miêu tả
TXT Loại bản ghi vùng DNS; Bản ghi SPF được viết dưới dạng bản ghi TXT
@ Trong file DNS, ký hiệu "@" là một trình giữ chỗ được sử dụng để đại diện cho "miền hiện tại"
v = spf1 Xác định bản ghi TXT là bản ghi SPF, sử dụng SPF Phiên bản 1
a Cho phép (các) server lưu trữ được xác định trong (các) bản ghi A của domain gửi e-mail
bao gồm: Cho phép gửi thư thay mặt cho domain từ google.com
~ tất cả Biểu thị rằng danh sách này đã bao gồm tất cả và không có server nào khác được phép gửi e-mail

Các thành phần của Bản ghi SPF

Bản ghi SPF bao gồm số version SPF theo sau là các chuỗi bao gồm (i) cơ chế, (ii) bộ định tính và (đôi khi) (iii) bộ sửa đổi. Máy khách SPF bỏ qua các bản ghi TXT không bắt đầu bằng chuỗi version "v=spf1 ..." .

Bản ghi SPF có thể xác định không hoặc nhiều cơ chế . Các cơ chế được dùng để mô tả tập hợp các server được chỉ định làm người gửi thư đi, được ủy quyền cho domain . Danh sách sau đây là các cơ chế phổ biến có trong bản ghi SPF:

all | ip4 | ip6 | a | mx | ptr | exists | include

Các cơ chế có thể được bắt đầu bằng một trong bốn vòng loại :

Vòng loại Sự miêu tả
+ Pass = Địa chỉ đã vượt qua bài kiểm tra; chấp nhận tin nhắn. Ví dụ: "v = spf1 + all"
- (Khó) Fail = Địa chỉ không đạt trong bài kiểm tra; trả lại bất kỳ e-mail nào không tuân theo . Ví dụ: "v = spf1 -all"
~ Soft Fail = Địa chỉ không đạt trong quá trình kiểm tra, nhưng kết quả không xác định; chấp nhận và gắn thẻ bất kỳ thư không tuân theo . Ví dụ: "v = spf1 ~ all"
? Trung lập = Địa chỉ không đạt hoặc không đạt bài kiểm tra; làm bất cứ điều gì (có thể là chấp nhận thư). Ví dụ: "v = spf1? All"

Nếu bộ định tính không được bao gồm, bộ định tính + được ngụ ý.

Bản ghi SPF cũng có thể xác định 1 trong 2 bổ ngữ ; hoặc, không có bổ ngữ nào cả. Tuy nhiên, mỗi bổ ngữ chỉ có thể xuất hiện một lần.

redirect | exp

Bản ghi SPF được đánh giá theo quy trình hai lần: Đầu tiên, tất cả các cơ chế và tiêu chuẩn được đánh giá. Sau đó, tất cả các công cụ sửa đổi được đánh giá:

  1. Các cơ chế được đánh giá từ trái sang phải;
  2. Các sửa đổi được đánh giá ở lần vượt qua thứ hai và có thể xảy ra ở bất kỳ đâu trong bản ghi.

Cơ chế

Cơ chế Sự miêu tả
tất cả Đối sánh tất cả các IP local và từ xa và đi vào cuối bản ghi SPF. Ví dụ: "v = spf1 + all"
ip4 Chỉ định một địa chỉ IPv4 duy nhất hoặc một dải địa chỉ IPv4 được chấp nhận. Mặt nạ / 32 được giả định nếu không có độ dài tiền tố nào được bao gồm. Ví dụ: "v = spf1 ip4: 192.168.0.1/16 -all"
ip6 Khái niệm tương tự được tìm thấy trong ip4, nhưng rõ ràng là với địa chỉ IPv6. Nếu không có độ dài tiền tố nào được đưa ra, / 128 được giả định (chọn một địa chỉ server riêng lẻ). Ví dụ: "v = spf1 ip6: 1080 :: 8: 800: 200C: 417A / 96 -all"
a Chỉ định tất cả các IP trong bản ghi DNS A. Ví dụ: "v = spf1 a: domain.com -all"
mx Chỉ định tất cả các bản ghi A cho bản ghi MX của mỗi server . Ví dụ: "v = spf1 mx mx: domain.com -all"
ptr Chỉ định tất cả các bản ghi A cho bản ghi PTR của mỗi server . Ví dụ: "v = spf1 ptr: domain.com -all"
tồn tại Chỉ định một hoặc nhiều domain thường được chọn làm ngoại lệ cho các định nghĩa SPF. Một truy vấn được thực hiện trên domain được cung cấp; nếu một kết quả được tìm thấy một trận đấu xảy ra. Ví dụ: "v = spf1 tồn tại: domain.com -all"
bao gồm Chỉ định các domain khác là domain được ủy quyền. Ví dụ: "v = spf1 include: outlook.microsoft.com -all"

Cơ chế "tất cả"

Cơ chế all thường đi vào cuối bản ghi SPF; và nó được bắt đầu bằng một định tính, ví dụ:

Ví dụ Sự miêu tả
"v = spf1 mx -all" Cho phép server MX của domain gửi thư cho domain và cấm tất cả các server khác.
"v = spf1 -all" Miền không gửi thư nào cả.
"v = spf1 + tất cả" SPF này là vô dụng, vì nó không giới hạn các server được phép gửi e-mail.

Bổ ngữ

Công cụ sửa đổi là tùy chọn và công cụ sửa đổi chỉ có thể xuất hiện một lần trên mỗi bản ghi. Các công cụ sửa đổi không xác định bị bỏ qua.

Công cụ sửa đổi " chuyển hướng " gửi yêu cầu đến một domain khác.
redirect=example.com

Tức là, bản ghi SPF cho example.com thay thế bản ghi SPF cho domain hiện tại. Công cụ sửa đổi chuyển hướng hữu ích cho những người muốn áp dụng cùng một bản ghi cho nhiều domain . Ví dụ:

Mục nhập mẫu trong file vùng của ny.yourdomain.com: TXT @ "v = spf1 redirect = _spf.yourdomain.com"
Mục nhập mẫu trong file vùng của sf.yourdomain.com: TXT @ "v = spf1 redirect = _spf.yourdomain.com"
Mục nhập mẫu trong file vùng của am.yourdomain.com: TXT @ "v = spf1 redirect = _spf.yourdomain.com"
Mục nhập mẫu trong file vùng của _spf.yourdomain.com: TXT @ "v = spf1 mx: yourdomain.com -all"

Để rõ ràng, ta KHUYẾN CÁO rằng bất kỳ công cụ sửa đổi "chuyển hướng" nào đều xuất hiện dưới dạng thuật ngữ cuối cùng trong bản ghi.

Công cụ sửa đổi " exp " cài đặt giải thích trong bản ghi SPF.

exp=[macro-string]

Nếu truy vấn SPF tạo ra kết quả KHÔNG phù hợp, giải thích được truy vấn và chuỗi giải thích cung cấp thêm thông tin cho user không phù hợp. Giải thích thường được đặt trong log SPF. Ví dụ: exp = spf-error. Nhà xuất bản SPF có thể chỉ định chuỗi giải thích mà người gửi thấy. Bằng cách này, ISP có thể hướng user không phù hợp đến một trang web cung cấp các hướng dẫn thêm.

Để tất cả chúng cùng nhau

Mặc dù bạn không cần bản ghi SPF trên server DNS của bạn để đánh giá email đến dựa trên các policy SPF được xuất bản trên các server DNS khác, phương pháp tốt nhất là cài đặt bản ghi SPF trên server DNS của bạn. Cài đặt bản ghi SPF cho phép các server email khác sử dụng tính năng lọc SPF (nếu tính năng này có sẵn trên server thư) để bảo vệ khỏi email đến từ các địa chỉ email giả mạo hoặc giả mạo có thể được liên kết với domain của bạn. Khi các bản ghi SPF được triển khai rộng rãi hơn, tính năng lọc SPF sẽ trở nên hiệu quả hơn trong việc xác định các email giả mạo.

Như thường lệ, nếu bạn cần trợ giúp cài đặt bản ghi SPF của bạn , hãy tìm đến Cộng đồng DigitalOcean để được hỗ trợ bằng cách đặt (các) câu hỏi của bạn bên dưới.

Bài báo gửi bởi: Pablo Carranza

Tags:

Các tin liên quan