Misvattingen over SPF

Misvattingen over SPF
MijnSecurityPartner

Misvattingen over SPF

Misvattingen over SPF

SPF (afkorting van Sender Policy Framework) is een eenvoudig protocol dat gebruikt wordt voor het autoriseren van domeinen in mail. Email domeinen gebruiken dit protocol om aan te geven welke host geautoriseerd is om dit domein te gebruiken in de SMTP HELO and MAIL FROM commando's. Het eenvoudige aan SPF is dat het enkel als TXT record aan de DNS toegevoegd hoeft te worden. Hoewel de eerste versie al 10 jaar geleden verscheen en het gebruik hiervan relatief eenvoudig is, bestaan er toch nog behoorlijk wat misvattingen over en verkeerd gebruik van dit protocol neemt risico's met zich mee. We zullen hier de verschillende misvattingen bespreken en aangeven hoe het beter toepast kan worden.

Misvattingen

SPF beschermt mijn domein tegen spoofing

SPF beschermt het zichtbare adres van de afzender niet! Door SPF toe te passen worden de adressen op het transport level in de SMTP geautoriseerd en geverifieerd. Dit gebeurd met het MailFrom (/return-path) adres welke niet zichtbaar zijn voor de gebruiker. Deze gegevens zijn slechts te controleren in de header informatie en kan afwijken van het From adres dat wel zichtbaar is voor de gebruiker. Dit From adres kan dus een afzender bevatten dat niet bij het domein hoort. Er is dus niets dat een bericht van met valse afzender in de From header tegenhoud via SPF. Om spoofing tegen te gaan dient gebruik gemaakt te worden van DMARC.

SPF zal de veiligheid verbeteren en spam tegengaan na implementatie

Er zal geen duidelijk verschil zijn betreft veiligheid en spam Het komt eigenlijk niet voor dat SPF direct gebruikt wordt. SPF biedt dus geen extra bescherming tegen het ontvangen van email met valse afzender. Dit betekend dat het dus nauwelijks bij kan dragen aan bescherming tegen het hoge aantal spam berichten. Waar SPF wel bij helpt is de inzet en uitvoer van SPAM filters. Tevens beschermt het tegen namaak e-mails, omdat het wel kan controleren of het bericht van een specifiek domein afkomt en wat de reputatie is van dit domein.

SPF geeft toestemming aan een e-mail afzender

SPF geeft toestemming aan een mailserver dat e-mail verzend namens een domein SPF controleert de mail server waarvandaan verzonden wordt. Ook al ben je een geautoriseerde afzender van het domein, zolang je geen gebruik maakt van de juiste mail server wordt dit door de SPF niet toegestaan. SPF werkt op domein niveau en niet op het niveau van ieder specifiek adres. Wanneer toestemming is gegeven aan een bepaalde mailserver om e-mails te versturen vanaf een domein, dan staat SPF iedere gebruiker van die mailserver toe om e-mails te versturen namens het domein in kwestie.

SPF raad het gebruik van -all aan, gezien het veiliger is dan ?all of ~all

Het gebruik van -all heeft geen invloed op de veiligheid, maar beïnvloed de aflevering van berichten wel op een negatieve manier. Bij het gebruik van -all worden berichten geblokkeerd die via een indirecte route zijn verzonden voor ontvangers die SPF op een directe manier toepassen en berichten blokkeren. Tegelijkertijd zal deze policy geen significante impact hebben op het ontvangen van spam of berichten met valse afzender. Op dit moment wordt ~all gezien als de meest geschikte policy en wordt gebruikt door vrijwel alle grote domeinen. Zelfs door domeinen die zeer strenge veiligheidseisen leggen, zoals Paypal.com. Voor domeinen die niet gebruikt worden voor het versturen van legitieme e-mails kan -all gebruikt worden.

SPF hoeft enkel geconfigureerd te worden voor domeinen die gebruikt worden om e-mail te versturen

Het is ook nodig om SPF te configureren voor domeinen die gebruikt worden in de HELO commando op mail servers. Daarnaast wordt het aangeraden om een blokkerende policy toe te passen voor A recrods en wildcard records die niet gebruikt worden voor het verzenden van e-mails. In sommige gevallen, bijvoorbeeld bij een non-delivery report of een status notificatie, is de MailFrom header in de SMTP leeg. In dat geval controleert de SPF de host name in de HELO/EHLO commando. SPF moet geactiveerd worden voor dit domein. Spammers hoeven niet alleen gebruik te maken van het domein dat gebruik wordt voor het versturen van mail, ze kunnen van iedere host met een A of MX record gebruik maken om spam te versturen. Het is daarom aangeraden om een SPF record aan te maken voor al deze records, daarnaast is het ook raadzaam om een wildcard(*) toe te voegen voor niet bestaande records.

SPF kan geconfigureerd worden met de +all policy wanneer ik niet weet welk IP adres gebruikt zal worden voor het versturen van mijn berichten

Een domein dat expliciet de +all policy heeft, of impliciet aangeeft dat mailen vanaf ieder ip adres toegestaan is, zal afleveren van e-mails negatief beïnvloeden. Een policy als deze is niet zinvol en wordt vaak gebruikt door spammers voor SPF authenticatie van berichten die verzonden worden via botnets. Een domein dat deze policy toepast heeft het risico om te worden geblokkeerd.

SPF is voldoende

Het is ook nodig om DKIM en DMARC te gebruiken DKIM is vereist om e-mails succesvol door te sturen. DMARC is vereist om het adres van de afzender te beschermen tegen spoofing. Daarnaast geeft DMARC een rapport met overtredingen van de SPF policy.

Waar moet op gelet worden?

  • SPF policies moeten eindigen met de lall of redirect regel. Er mag niets achteraan komen
  • De all en redirect regel mogen maximaal eens gebruikt worden en niet samen. Dus òf all òf redirect gebruiken
  • De include regel vervangt de all of redirect niet. Deze regel mag echter wel meer dan eens gebruikt worden, maar de SPF policy moet nog steeds eindigen met de all of redirect. Include houdt geen rekening met de -all, ~all of ?all regens dat gebruikt wordt bij de all regel in de policy, echter voor redirect geldt dit wel.
  • De include regel maakt gebruik van de dubbele punt (include:example.com), de redirect regel maakt gebruik van het is- gelijk teken (redirect=example.com)
  • SPF geldt niet voor subdomeinen! Voor iedere A of MX record in de DNS dat gebruik zou kunnen maken voor het afleveren van e-mails moet een SPF policy aangemaakt worden.
Bron: https://medium.com/@3APA3A/myths-and-legends-of-spf-d17919a9e817