Ứng dụng: Cách xây dựng bản ghi SPF của bạn
Các chi tiết và giải thích về cách một Bản ghi SPF các tác phẩm được trình bày chi tiết bên dưới trình tạo Bản ghi SPF.
Trình tạo bản ghi SPF
Đây là biểu mẫu mà bạn có thể sử dụng để tạo bản ghi TXT của riêng mình để thêm vào miền hoặc miền phụ mà bạn đang gửi email từ đó.
Thật là nhẹ nhõm khi chúng tôi chuyển email của công ty mình sang Google từ dịch vụ CNTT được quản lý mà chúng tôi đã sử dụng. Trước khi có mặt trên Google, chúng tôi thường phải đưa ra yêu cầu đối với bất kỳ thay đổi nào, danh sách bổ sung, v.v. Giờ đây, chúng tôi có thể xử lý tất cả thông qua giao diện đơn giản của Google.
Một trở ngại mà chúng tôi nhận thấy khi bắt đầu gửi là một số email từ hệ thống của chúng tôi không vào được hộp thư đến... ngay cả hộp thư đến của chúng tôi. Tôi đã đọc một số lời khuyên của Google cho Người gửi email hàng loạt và nhanh chóng bắt tay vào công việc. Chúng tôi có email từ 2 ứng dụng mà chúng tôi lưu trữ, một ứng dụng khác do người khác lưu trữ ngoài Nhà cung cấp dịch vụ email. Vấn đề của chúng tôi là chúng tôi thiếu bản ghi SPF để thông báo cho các ISP rằng các email được gửi từ Google là của chúng tôi.
Khung chính sách người gửi là gì?
Khung chính sách người gửi là một giao thức xác thực email và là một phần của an ninh mạng email được các ISP sử dụng để chặn email lừa đảo được gửi tới người dùng của họ. Một SPF bản ghi là một bản ghi miền liệt kê tất cả các miền, địa chỉ IP, v.v. mà bạn đang gửi email từ đó. Điều này cho phép bất kỳ ISP nào tra cứu hồ sơ của bạn và xác thực rằng email đến từ một nguồn thích hợp.
Lừa đảo trực tuyến là một loại gian lận trực tuyến trong đó bọn tội phạm sử dụng các kỹ thuật kỹ thuật xã hội để lừa mọi người cung cấp thông tin nhạy cảm, chẳng hạn như mật khẩu, số thẻ tín dụng hoặc thông tin cá nhân khác. Những kẻ tấn công thường sử dụng email để thu hút các cá nhân cung cấp thông tin cá nhân bằng cách ngụy trang thành một doanh nghiệp hợp pháp... như doanh nghiệp của bạn hoặc của tôi.
SPF là một ý tưởng tuyệt vời - và tôi không chắc tại sao nó không phải là phương pháp chính cho những người gửi email hàng loạt và các hệ thống chặn thư rác. Bạn sẽ nghĩ rằng mọi công ty đăng ký tên miền sẽ coi việc xây dựng một trình hướng dẫn ngay trong đó để bất kỳ ai cũng có thể liệt kê các nguồn email mà họ sẽ gửi.
Bản ghi SPF hoạt động như thế nào?
An ISP kiểm tra bản ghi SPF bằng cách thực hiện truy vấn DNS để truy xuất bản ghi SPF được liên kết với miền địa chỉ email của người gửi. Sau đó, ISP sẽ đánh giá bản ghi SPF, danh sách các địa chỉ IP hoặc tên máy chủ được ủy quyền được phép gửi email thay mặt cho miền dựa trên địa chỉ IP của máy chủ đã gửi email. Nếu địa chỉ IP của máy chủ không được bao gồm trong bản ghi SPF, thì ISP có thể gắn cờ email đó là có khả năng lừa đảo hoặc từ chối hoàn toàn email đó.
Trình tự quy trình như sau:
- ISP thực hiện truy vấn DNS để truy xuất bản ghi SPF được liên kết với miền địa chỉ email của người gửi.
- ISP đánh giá bản ghi SPF dựa trên địa chỉ IP của máy chủ email. Điều này có thể được biểu thị bằng CIDR định dạng để bao gồm một loạt các địa chỉ IP.
- ISP đánh giá địa chỉ IP và đảm bảo rằng nó không nằm trên DNSBL máy chủ như một người gửi thư rác đã biết.
- ISP cũng đánh giá DMARC và BIMI Hồ sơ.
- Sau đó, ISP cho phép gửi email, từ chối hoặc đặt email vào thư mục rác tùy thuộc vào quy tắc gửi nội bộ của nó.
Ví dụ về bản ghi SPF
Bản ghi SPF là bản ghi TXT mà bạn phải thêm vào miền mà bạn đang gửi email. Bản ghi SPF không được dài quá 255 ký tự và không được bao gồm hơn mười câu lệnh bao gồm.
- Bắt đầu với
v=spf1
gắn thẻ và theo dõi nó với các địa chỉ IP được ủy quyền để gửi email của bạn. Ví dụ,v=spf1 ip4:1.2.3.4 ip4:2.3.4.5
. - Nếu bạn sử dụng bên thứ ba để gửi email thay mặt cho tên miền được đề cập, bạn phải thêm bao gồm vào bản ghi SPF của bạn (ví dụ: bao gồm: domain.com) để chỉ định bên thứ ba đó là người gửi hợp pháp
- Khi bạn đã thêm tất cả các địa chỉ IP được ủy quyền và bao gồm các câu lệnh, hãy kết thúc bản ghi của bạn bằng một
~all
or-all
nhãn. Thẻ ~all biểu thị một SPF mềm thất bại trong khi thẻ -all chỉ ra một SPF cứng không thành công. Trong con mắt của các nhà cung cấp hộp thư chính ~all và -all đều sẽ dẫn đến lỗi SPF.
Sau khi đã ghi xong bản ghi SPF, bạn sẽ muốn thêm bản ghi đó vào công ty đăng ký tên miền của mình. Dưới đây là một số ví dụ:
v=spf1 a mx ip4:192.0.2.0/24 -all
Bản ghi SPF này cho biết rằng bất kỳ máy chủ nào có bản ghi A hoặc MX của miền hoặc bất kỳ địa chỉ IP nào trong phạm vi 192.0.2.0/24 đều được phép gửi email thay mặt cho miền. Các -tất cả ở cuối chỉ ra rằng bất kỳ nguồn nào khác sẽ không vượt qua được kiểm tra SPF:
v=spf1 a mx include:_spf.google.com -all
Bản ghi SPF này cho biết rằng bất kỳ máy chủ nào có bản ghi A hoặc MX của miền hoặc bất kỳ máy chủ nào có trong bản ghi SPF cho miền "_spf.google.com", đều được phép gửi email thay mặt cho miền. Các -tất cả ở cuối chỉ ra rằng bất kỳ nguồn nào khác sẽ không vượt qua được kiểm tra SPF.
v=spf1 ip4:192.168.0.0/24 ip4:192.168.1.100 include:otherdomain.com -all
Bản ghi SPF này chỉ định rằng tất cả email được gửi từ miền này phải đến từ các địa chỉ IP trong phạm vi mạng 192.168.0.0/24, địa chỉ IP duy nhất 192.168.1.100 hoặc bất kỳ địa chỉ IP nào được bản ghi SPF của miền cho phép. tên miền khác.com miền. Các -all
ở cuối bản ghi chỉ định rằng tất cả các địa chỉ IP khác sẽ được coi là kiểm tra SPF không thành công.
Thực tiễn tốt nhất trong việc triển khai SPF
Việc triển khai SPF một cách chính xác sẽ nâng cao khả năng gửi email và bảo vệ miền của bạn khỏi bị giả mạo email. Cách tiếp cận theo từng giai đoạn để triển khai SPF có thể giúp đảm bảo rằng lưu lượng email hợp pháp không vô tình bị ảnh hưởng. Đây là một chiến lược được đề xuất:
1. Kiểm kê nguồn gửi
- Mục tiêu: Xác định tất cả các máy chủ và dịch vụ gửi email thay mặt cho miền của bạn, bao gồm máy chủ thư của riêng bạn, nhà cung cấp dịch vụ email bên thứ ba và bất kỳ hệ thống nào khác gửi email (ví dụ: hệ thống CRM, nền tảng tự động hóa tiếp thị).
- Hoạt động: Biên soạn danh sách đầy đủ các địa chỉ IP và tên miền của các nguồn gửi này.
2. Tạo bản ghi SPF ban đầu của bạn
- Mục tiêu: Soạn thảo một bản ghi SPF bao gồm tất cả các nguồn gửi hợp pháp được xác định.
- Hoạt động: Sử dụng cú pháp SPF để chỉ định các nguồn này. Một bản ghi SPF mẫu có thể trông như thế này:
v=spf1 ip4:192.168.0.1 include:_spf.google.com ~all
. Bản ghi này cho phép gửi email từ địa chỉ IP 192.168.0.1 và bao gồm bản ghi SPF của Google, với~all
chỉ ra lỗi phần mềm đối với các nguồn không được liệt kê rõ ràng.
3. Xuất bản bản ghi SPF của bạn trong DNS
- Mục tiêu: Làm cho chính sách SPF của bạn được máy chủ nhận biết bằng cách thêm chính sách đó vào bản ghi DNS của miền của bạn.
- Hoạt động: Xuất bản bản ghi SPF dưới dạng bản ghi TXT trong DNS tên miền của bạn. Điều này cho phép máy chủ thư của người nhận truy xuất và kiểm tra bản ghi SPF của bạn khi họ nhận được email từ miền của bạn.
4. Theo dõi và kiểm tra
- Mục tiêu: Đảm bảo bản ghi SPF của bạn xác thực các nguồn email hợp pháp mà không ảnh hưởng đến khả năng gửi email.
- Hoạt động: Sử dụng các công cụ xác thực SPF để theo dõi báo cáo gửi email từ các nhà cung cấp dịch vụ của bạn. Hãy chú ý đến bất kỳ vấn đề gửi thư nào có thể cho thấy việc kiểm tra SPF đang thu được các email hợp pháp.
5. Tinh chỉnh bản ghi SPF của bạn
- Mục tiêu: Điều chỉnh bản ghi SPF của bạn để giải quyết mọi vấn đề được xác định trong quá trình theo dõi và kiểm tra, đồng thời phản ánh những thay đổi trong cách gửi email của bạn.
- Hoạt động: Thêm hoặc xóa địa chỉ IP hoặc bao gồm các câu lệnh nếu cần. Hãy lưu ý đến giới hạn tra cứu SPF 10, giới hạn này có thể gây ra vấn đề xác thực nếu vượt quá.
6. Thường xuyên xem xét và cập nhật
- Mục tiêu: Giữ bản ghi SPF của bạn chính xác và cập nhật để thích ứng với những thay đổi trong cơ sở hạ tầng email và phương thức gửi của bạn.
- Hoạt động: Định kỳ xem xét các nguồn gửi của bạn và cập nhật bản ghi SPF cho phù hợp. Điều này bao gồm việc thêm các nhà cung cấp dịch vụ email mới hoặc xóa những nhà cung cấp dịch vụ email bạn không còn sử dụng nữa.
Bằng cách làm theo các bước này, bạn có thể triển khai SPF để nâng cao khả năng gửi và bảo mật email của mình đồng thời giảm thiểu nguy cơ làm gián đoạn liên lạc qua email hợp pháp.