Sender Policy Framework kan inte förhindra skräppost och nätfiske om du tillåter att miljarder IP-adresser skickas som din domän
Tjugo år sedan, Paul Vixie publicerade en begäran om kommentarer på Avvisar POST FRÅN som hjälpte till att sporra internetgemenskapen att utveckla ett nytt sätt att bekämpa spam med Ram för avsändarpolitik (SPF). Frågan då som nu var att Enkelt postöverföringsprotokoll (SMTP), som används för att skicka e-post på internet, ger inget sätt att upptäcka förfalskade avsändardomäner.
Men när du använder SPF kan domänägare publicera domännamnssystem (DNS) poster som definierar de IP-adresser som är behöriga att använda deras domännamn för att skicka e-post. På den mottagande sidan kan en e-postserver fråga SPF-posterna för skenbar avsändardomän för att kontrollera om avsändarens IP-adress är behörig att skicka e-post på uppdrag av den domänen.
SMTP-e-post och SPF-översikt
Läsare som är bekanta med mekanismer för sändning av SMTP-meddelanden och hur SPF interagerar med dem kanske föredrar att hoppa över det här avsnittet, även om det är barmhärtigt kort.
Föreställ dig att Alice kl example.com vill skicka ett e-postmeddelande till Bob på exempel.org. Utan SPF skulle Alice och Bobs e-postservrar engagera sig i en SMTP-konversation ungefär som följande, vilket förenklas med HELO snarare än EHLO, men inte på sätt som väsentligt förändrar de grundläggande konstruktionerna:
Så här har det gått till att skicka och ta emot internet (SMTP) e-post sedan de tidiga 1980-erna, men det har – åtminstone enligt standarden för dagens internet – ett stort problem. I diagrammet ovan, Tchad kl exempel.net kunde lika gärna ansluta till exempel.org SMTP-server, delta i exakt samma SMTP-konversation och få ett e-postmeddelande tydligen från Alice kl. example.com levereras till Bob kl exempel.org. Ännu värre, det skulle inte finnas något som tyder på bedrägeri för Bob, förutom kanske IP-adresser som registrerats tillsammans med värdnamn i diagnostiska meddelanderubriker (visas inte här), men dessa är inte lätta för icke-experter att kontrollera och, beroende på din e-postklientapplikation , är ofta svåra att ens komma åt.
Även om det inte missbrukades under de allra första dagarna av e-postspam, eftersom massspam blev en etablerad, om än välförtjänt föraktad, affärsmodell, användes sådana tekniker för e-postförfalskning allmänt för att förbättra chanserna för att spammeddelanden skulle läsas och till och med ageras.
Tillbaka till det hypotetiska Tchad kl exempel.net skicka det meddelandet "från" Alice... Det skulle innebära två nivåer av personifiering (eller förfalskning) där många människor nu känner att automatiserade, tekniska kontroller kan eller bör göras för att upptäcka och blockera sådana falska e-postmeddelanden. Den första är på SMTP-enveloppnivån och den andra på meddelandehuvudnivån. SPF tillhandahåller kontroller på SMTP-enveloppnivå, och senare anti-förfalskning och meddelandeautentiseringsprotokoll dkim förlängning och DMARC-tillägg tillhandahålla kontroller på meddelandehuvudnivån.
Fungerar SPF?
Enligt en studera publicerades 2022 hade cirka 32 % av de 1.5 miljarder undersökta domänerna SPF-poster. Av dessa hade 7.7 % ogiltig syntax och 1 % använde den föråldrade PTR-posten, som pekar IP-adresser till domännamn. Upptaget av SPF har faktiskt varit långsamt och felaktigt, vilket kan leda till en annan fråga: hur många domäner har alltför tillåtande SPF-poster?
Nyligen hittade undersökningar att 264 organisationer enbart i Australien hade exploateringsbara IP-adresser i sina SPF-poster och därför omedvetet kan sätta scenen för storskaliga spam- och nätfiskekampanjer. Även om det inte var relaterat till vad den forskningen fann, hade jag nyligen min egen borste med potentiellt farliga e-postmeddelanden som utnyttjade felkonfigurerade SPF-poster.
Förfalskad e-post i min inkorg
Nyligen fick jag ett mejl som påstods vara från det franska försäkringsbolaget Prudence Créole, men hade alla kännetecken för spam och spoofing:
Även om jag vet att det är trivialt att förfalska meddelanderubriken Från: adress i ett e-postmeddelande, väcktes min nyfikenhet när jag inspekterade de fullständiga e-posthuvudena och upptäckte att domänen i SMTP-kuvertet MAIL FROM: adress reply@prudencecreole.com hade klarat SPF-kontrollen:
Så jag letade upp SPF-posten för domänen prudencecreole.com:
Det är ett stort block av IPv4-adresser! 178.33.104.0/2 innehåller 25 % av IPv4-adressutrymmet, allt från 128.0.0.0 till 191.255.255.255. Över en miljard IP-adresser är godkända avsändare för Prudence Creoles domännamn – ett paradis för spammare.
Bara för att vara säker på att jag inte skojade mig själv satte jag upp en e-postserver hemma, tilldelades en slumpmässig, men kvalificerad, IP-adress av min internetleverantör och skickade mig själv en e-postförfalskning prudencecreole.com: 
Framgång!
Till råga på allt kollade jag SPF-posten för en domän från ett annat skräppostmeddelande i min inkorg som var spoofing wildvoyager.com:
Se och se, den 0.0.0.0/0 blocket tillåter hela IPv4-adressutrymmet, som består av över fyra miljarder adresser, att klara SPF-kontrollen medan de poserar som Wild Voyager.
Efter detta experiment meddelade jag Prudence Créole och Wild Voyager om deras felkonfigurerade SPF-poster. Prudence Créole uppdaterade sina SPF-poster innan den här artikeln publicerades.
Reflektioner och lärdomar
Att skapa en SPF-post för din domän är inget dödsfall mot spammares spoofing. Men om det är säkert konfigurerat kan användningen av SPF frustrera många försök som de som kommer till min inkorg. Det kanske största hindret som står i vägen för omedelbar, bredare användning och striktare tillämpning av SPF är e-postleverans. Det krävs två för att spela SPF-spelet eftersom både avsändare och mottagare måste harmonisera sina e-postsäkerhetspolicyer om e-postmeddelanden misslyckas med att levereras på grund av alltför rigorösa regler som används av båda sidor.
Men med tanke på de potentiella riskerna och skadorna från spammare som förfalskar din domän, kan följande råd användas vid behov:
- Skapa en SPF-post för alla dina HELO/EHLO-identiteter om någon SPF-verifierare följer rekommendation i RFC 7208 att kontrollera dessa
- Det är bättre att använda alla mekanism med "-" or "~" kval i stället för "?" kval, som det senare tillåter effektivt vem som helst att förfalska din domän
- Ställ in en "släpp allt"-regel (v=spf1 -allt) för varje domän och underdomän du äger som aldrig ska generera (internetdirigerad) e-post eller visas i domännamnsdelen av kommandona HELO/EHLO eller MAIL FROM:
- Som en riktlinje, se till att dina SPF-poster är små, helst upp till 512 byte, för att förhindra att de ignoreras tyst av vissa SPF-verifierare
- Se till att du endast godkänner en begränsad och pålitlig uppsättning IP-adresser i dina SPF-poster
Den utbredda användningen av SMTP för att skicka e-post har skapat en IT-kultur fokuserad på att överföra e-post tillförlitligt och effektivt, snarare än säkert och med integritet. Att återanpassa sig till en säkerhetsfokuserad kultur kan vara en långsam process, men en process som bör göras för att få tydlig utdelning mot en av internets skadliga problem – spam.
