SPF record tips

SPF record tips & tricks

SPF standarden beskriver den simpleste form for email authentication der eksisterer.
SPF har været i brug siden ca. år 2005.
Enhver domæneejer bør kende til og anvende SPF, sådan lidt i stil med alle der færdes i trafikken skal kende færdselsloven og overholde den.
Men, hvor det i trafikken er forbudt ved lov at udsætte sig selv eller andre for fare, så forholder det sig helt anderledes på Internettet, her er der nærmest ingen regler for hvor usikkert  man kan slippe afsted med at opføre sig.

Mange domæner anvender ikke SPF.
Andre har problemer med implementeringen, og ender med  en konfiguration som ikke virker.

Jeg har kigget på rigtig mange SPF records gennem årene, og i forhold til de defekte SPF records, er der en sær form for system i rodet, det er de samme fejl man ser igen og igen.

Copy/Paste

Det er meningen der skal tænkes lidt over hvad man fylder i sin SPF record, en del vælger en Google søgning istedet, finder en ældgammel artikel om SPF records og kopierer noget derfra.
SPF records som starter med “v=spf1 a mx ptr” er der for det meste ikke tænkt meget over, de kan typisk godt tåle en kritisk gennemgang.
F.eks bør man ikke anvende ptr udtrykket i en SPF record.

Copy/Paste fra Microsoft Word

Lad være med at kopiere fra Word/Excel direkte ind i et DNS webinterface, det kan give nogle besynderlige resultater.
F.eks:

v=spf1 ip4:194.255.119.0/26 ip4:213.150.59.247/32 include:spf.comendosystems.com\226\128\147all

som nok i stedet for skulle have været:

v=spf1 ip4:194.255.119.0/26 ip4:213.150.59.247/32 include:spf.comendosystems.com -all

Kilde: Folketingets domæne ft.dk 14/7/2018

MX udtryk + G-Suite/Office365

Anvender du G-Suite eller Office365 til email, skal du have “include:_spf.google.com” eller “include:spf.protection.outlook.com” i din SPF record, et “mx” udtryk er fuldkommen overflødigt og bidrager kun til at øge antallet af DNS opslag som kræves for at evaluere din SPF record.
Der er en grænse på max 10, så det er en dårlig ide med overflødige udtryk.

Blind tillid til email service providers

Email service providers (3. parter) lever af at sende email, så det ville være naturligt at tro de har fuldkommen styr på samtlige email standarder incl. SPF.
De har de imidlertid ikke, faktisk kan jeg kun komme i tanke om en enkelt email service provider som formår at beskrive SPF rigtigt i sin dokumentation.
Hovedparten af alle email service providers kan ikke kende forskel på SenderId og SPF, og det til trods der er en ganske væsentlig forskel på hvordan de virker.
Som udgangspunkt, kan du regne med at email service providers beder dig lave ændringer i din SPF record som ikke har noget med SPF at gøre. Og ja, jeg ved det lyder helt skørt, men det bliver det ikke mindre rigtigt af.
Her kan du læse mere om SenderId vs. SPF.

Manglende oprydning

Indtil 2012 kunne man med rette være lidt bange for at rydde op/slette noget i en SPF record, man arbejdede lidt i blinde og kunne nemt komme til at slette noget som stadig var i brug.
Sørger man for at implementere DMARC har man ikke den slags problemer, så fortæller ens DMARC rapporter helt tydeligt hvad der er i brug.

Parkerede domæner

Mange firmaer ejer en stor samling domæner. Det kan dreje sig om lookalike domæner, produktnavne, gamle produktnavne, fremtidige produktnavne osv.
Ved at have domænerne registreret, men intaktive, beskytter man sig f.eks mod typosquatting.
De fleste firmaer glemmer desværre at beskytte domænerne mod email misbrug.
For et lookalike domænes vedkommende betyder det man nærmest giver de kriminelle en hjælpende hånd når de beslutter sig for at rette et phishing angreb mod firmaets kunder.
Her kan du læse om hvordan du beskytter et parkeret domæne

Mere end en SPF record

SPF standarden dikterer at man kun have en SPF record pr. domæne/subdomæne, så når man ønsker at tilføje noget, skal det tilføjes til den allerede eksisterende SPF record.

Test dine ændringer

Der findes masser af gratis værktøjer som på sekunder kan fortælle dig om du har lavet fatale fejl i din SPF record.
Personligt anvender jeg altid Dmarcians SPF Survey

Spørg hvis du er i tvivl

Internettet er, ud over at være arbejdsplads for kriminelle, distributionskanal for fakenews plus en masse andet skidt, også stedet hvor du kan finde flinke og hjælpsomme mennesker som gerne giver en hånd når du sidder og bøvler med et teknisk problem.

Læsestof om SPF: