מסגרת מדיניות השולח לא יכולה לסייע במניעת דואר זבל ודיוג אם תאפשר לשלוח מיליארדי כתובות IP כדומיין שלך
לפני עשרים שנה, פול ויקסי פרסם בקשה להערות על דוחה את MAIL FROM שעזר לדרבן את קהילת האינטרנט לפתח דרך חדשה להילחם בספאם עם מסגרת מדיניות השולח (מְקַדֵם הֲגָנָה). הבעיה אז, כמו עכשיו, הייתה שה פרוטוקול העברת דואר פשוט (SMTP), המשמש לשליחת דואר אלקטרוני באינטרנט, אינו מספק שום דרך לזהות דומיינים של שולח מזויפים.
עם זאת, בעת שימוש ב-SPF, בעלי תחום יכולים לפרסם רשומות של מערכת שמות תחום (DNS) המגדירים את כתובות ה-IP המורשות להשתמש בשם התחום שלהם לשליחת דואר אלקטרוני. בצד המקבל, שרת דואר אלקטרוני יכול לבצע שאילתות ברשומות SPF של לכאורה דומיין שולח כדי לבדוק אם כתובת ה-IP של השולח מורשית לשלוח דוא"ל מטעם אותו דומיין.
סקירה כללית של דוא"ל SMTP ו-SPF
קוראים המכירים את מנגנוני שליחת הודעות SMTP ואת האופן שבו SPF מקיים איתם אינטראקציה עשויים להעדיף לדלג על סעיף זה, אם כי הוא קצר.
תאר לעצמך שאליס בשעה example.com רוצה לשלוח הודעת דוא"ל לבוב בכתובת example.org. ללא SPF, שרתי הדואר האלקטרוני של אליס ובוב היו מעורבים בשיחת SMTP משהו כמו הבא, אשר מפושט באמצעות HELO ולא EHLO, אך לא בדרכים שמשנות באופן משמעותי את המבנים הבסיסיים:
כך התרחשה שליחה וקבלה של דואר אלקטרוני באינטרנט (SMTP). מאז תחילת שנות האלפיים, אבל יש לה - לפחות בסטנדרטים של האינטרנט של היום - בעיה גדולה. בתרשים למעלה, צ'אד ב example.net יכול באותה קלות להתחבר ל- example.org שרת SMTP, עסוק בדיוק באותה שיחת SMTP וקבל הודעת דואר אלקטרוני ככל הנראה מאליס בכתובת example.com נמסר לבוב בשעה example.org. גרוע מכך, לא יהיה שום דבר המעיד על הטעיה כלפי בוב, מלבד אולי כתובות IP שתועדו לצד שמות מארח בכותרות הודעות אבחון (לא מוצגות כאן), אבל לא קל לבדוק אותן עבור מי שאינם מומחים, ובהתאם ליישום לקוח הדוא"ל שלך , לעתים קרובות קשה אפילו לגשת.
למרות שלא נעשה שימוש לרעה בימים הראשונים מאוד של דואר זבל, ככל שספאם המוני הפך למודל עסקי מבוסס, אם כי מבוזה ראוי, טכניקות זיוף דואר מסוג זה אומצו באופן נרחב כדי לשפר את הסיכויים של קריאת הודעות דואר זבל ואף לפעול לפיהן.
בחזרה לצ'אד ההיפותטי ב example.net שליחת ההודעה הזו "מאליס"... זה יהיה כרוך בשתי רמות של התחזות (או זיוף) כאשר אנשים רבים מרגישים כעת שניתן או צריך לבצע בדיקות אוטומטיות וטכניות כדי לזהות ולחסום הודעות אימייל מזויפות כאלה. הראשון הוא ברמת מעטפת SMTP והשני ברמת כותרת ההודעה. SPF מספק בדיקות ברמת מעטפת SMTP, ובהמשך פרוטוקולים נגד זיוף ואימות הודעות סיומת dkim ו DMARC לספק בדיקות ברמת כותרת ההודעה.
האם SPF עובד?
לדברי אחד ללמוד שפורסם בשנת 2022, כ-32% מ-1.5 מיליארד הדומיינים שנחקרו היו בעלי רשומות SPF. מתוך אלה, ל-7.7% היה תחביר לא חוקי ו-1% השתמשו ברשומת ה-PTR שהוצאה משימוש, המפנה כתובות IP לשמות דומיין. הקליטה של SPF הייתה איטית ופגומה, מה שעלול להוביל לשאלה נוספת: לכמה תחומים יש רשומות SPF מתירניות מדי?
נמצא מחקר שנערך לאחרונה של-264 ארגונים באוסטרליה לבדה היו כתובות IP שניתנות לניצול ברשומות ה-SPF שלהם, ולכן עלולים בלי משים להוות את הבמה למסעות ספאם ודיוג בקנה מידה גדול. למרות שלא היה קשור למה שמצא המחקר הזה, לאחרונה היה לי מברשת משלי עם הודעות דוא"ל שעלולות להיות מסוכנות שניצלו רשומות SPF שגויות בתצורה שגויה.
מייל מזויף בתיבת הדואר הנכנס שלי
לאחרונה קיבלתי מייל שטען שהוא מחברת הביטוח הצרפתית Prudence Créole, אבל היה כל סימני היכר של דואר זבל וזיוף:
אמנם אני יודע שזיוף כותרת הודעת מאת: כתובת של הודעת דוא"ל הוא טריוויאלי, אבל סקרנותי התעוררה כשבדקתי את כותרות האימייל המלאות וגיליתי שהדומיין במעטפת ה-SMTP MAIL FROM: כתובת reply@prudencecreole.com עבר את בדיקת SPF:
אז חיפשתי את רשומת ה-SPF של הדומיין prudencecreole.com:
זה בלוק ענק של כתובות IPv4! 178.33.104.0/2 מכיל 25% ממרחב הכתובות IPv4, החל מ- 128.0.0.0 ל 191.255.255.255. למעלה ממיליארד כתובות IP הם שולחים מאושרים עבור שם הדומיין של Prudence Creole - גן עדן של דואר זבל.
רק כדי לוודא שאני לא צוחק על עצמי, הקמתי שרת דוא"ל בבית, קיבלתי כתובת IP אקראית, אבל כשירה, על ידי ספק שירותי האינטרנט שלי, ושלחתי לעצמי זיוף דוא"ל prudencecreole.com: 
הצלחה!
לסיום הכל, בדקתי את רשומת ה-SPF של דומיין ממייל דואר זבל אחר בתיבת הדואר הנכנס שלי שזייף wildvoyager.com:
הנה, ה 0.0.0.0/0 בלוק מאפשר לכל מרחב הכתובות של ה-IPv4, המורכב מיותר מארבעה מיליארד כתובות, לעבור את בדיקת ה-SPF תוך שהוא מתחזה ל-Wild Voyager.
לאחר הניסוי הזה, הודעתי ל- Prudence Créole ו-Wild Voyager על רשומות ה-SPF המוגדרות בצורה שגויה. פרודנס קרéole עדכנו את רשומות ה-SPF שלהם לפני פרסום מאמר זה.
הרהורים והפקת לקחים
יצירת רשומת SPF עבור הדומיין שלך אינה מכת מוות כנגד מאמצי הזיוף של שולחי דואר זבל. עם זאת, אם מוגדר בצורה מאובטחת, השימוש ב-SPF יכול לסכל ניסיונות רבים כמו אלה המגיעים לתיבת הדואר הנכנס שלי. אולי המכשול המשמעותי ביותר שעומד בדרך לשימוש מיידי, רחב יותר ויישום מחמיר יותר של SPF הוא מסירת האימייל. נדרשים שניים כדי לשחק במשחק SPF מכיוון שגם השולחים וגם הנמענים צריכים להתאים את מדיניות אבטחת הדוא"ל שלהם למקרה שהודעות דוא"ל לא יתקבלו עקב כללים קפדניים מדי המופעלים על ידי שני הצדדים.
עם זאת, בהתחשב בסיכונים ובנזק הפוטנציאליים של שולחי דואר זבל המזייפים את הדומיין שלך, ניתן ליישם את העצות הבאות בהתאם לצורך:
- צור רשומת SPF עבור כל הזהויות HELO/EHLO שלך למקרה שמאמת SPF עוקבים אחר המלצה ב-RFC 7208 כדי לבדוק את אלה
- עדיף להשתמש ב- את כל מנגנון עם "-" or "~" מוקדמות ולא את "?" מוקדמות, כמו האחרון מאפשר למעשה לכל אחד לזייף את הדומיין שלך
- הגדר כלל "הורד הכל" (v=spf1 -כל) עבור כל דומיין ותת-דומיין שבבעלותך, שלעולם לא אמורים ליצור אימייל (מנותב באינטרנט) או להופיע בחלק שם הדומיין של הפקודות HELO/EHLO או MAIL FROM:
- כהנחיה, ודא שרשומות ה-SPF שלך קטנות, עד 512 בתים רצוי, כדי למנוע מהן להתעלם בשקט על ידי מאמת SPF מסוימים
- ודא שאתה מאשר רק קבוצה מוגבלת ומהימנה של כתובות IP ברשומות ה-SPF שלך
השימוש הנרחב ב-SMTP לשליחת דוא"ל יצר תרבות IT המתמקדת בהעברת מיילים בצורה אמינה ויעילה, במקום מאובטחת ועם פרטיות. התאמה מחדש לתרבות ממוקדת אבטחה עשויה להיות תהליך איטי, אבל כזה שצריך להתבצע על מנת להרוויח דיבידנדים ברורים כנגד אחת הבעיות של האינטרנט - ספאם.
