כמה מילים על רשומות SPF

16 בנובמבר 2014

no comments

בעידן שלנו, ניתן לבצע מניפולציה על המידע. בתחום הדוא"ל הסוגיה הנפוצה ביותר הינה Spoofing – בתהליך זה ניתן "לזייף" דואר אלקטרוני משולח מסוים או מ- Domain לצורכי זיוף, הטעיה, מתקפות Phishing וכיוצא בזה.

במקרים שכאלו, כתובות דואר מ- Domain ספציפי שעוברות תהליכי Phishing יכולות להיכנס בקלות למצב בו ציודי אבטחת מידע וסינון דואר מזהים את התכנים כ- Spam, ובמקרים קיצוניים יותר להכניס את כלל ה- Domain לרשימות שחורות (Black Lists) אשר יגרמו לבעיות עבור הארגון המקורי בשליחת דואר לאינטרנט.

רשומות מסוג Sender Policy Framework, או SPF בקצרה, מיועדות לוודא את זהות השולח – ובכך מאשררות את ה- Domain ששולח דואר, ואת מסלול שליחת הדואר שלו. ה- SPF הוא תהליך אימות אשר מוודא כי המען (5321.from) של הדואר שולח אותו אך ורק מכתובות ה- IP אשר הוגדרו ברשומת ה- SPF. ה- SPF מאוגן ב- RFC 7208, RFC 4408 חשוב לציין כי RFC 7208 הינו "היורש" של RFC 4408 שהיה ראשון. אך אינו בגדר הגדרת חובה לכלל הארגונים (למעט ארגונים שרשומה זו נדרשת עבורם מתוקף חוק, רגולציה או צורת עבודה). באופן אישי – תמיד מומלץ להגדיר רשומה זו.

ארגונים רבים, כדוגמת גופים פיננסיים, מחויבים ברגולוציות ותקנות מסוימות לעבוד עם רשומות מסוג SPF כדוגמת HIPPA. כמו כן, ארגונים אשר עושים שימוש ב- Office 365 לטובת דואר – עושים אף הם שימוש ברשומות SPF לניתוב הדואר.

 

מבנה רשומת ה- SPF

רשומת ה- SPF הינה רשומה מסוג TXT אשר נראת בתצורה הבאה:

v=spf1 mx -all

בדוגמא שמופיעה מעלה, ניתן לראות רשומת TXT שמגדירה את ה- SPF Record, את הרשומה הזו ניתן לפרק לכמה חלקים לצורך הביאור:

1. v=spf1 – ה- Version Indicator של ה- SPF

2. mx – מי שמורשה לשלוח דואר בשם ה- Domain שעבורו נוצרה הרשומה (במקרה הנ"ל כל כתובת IP שמוגדרת ב- DNS העולמי תחת רשומות MX עבור אותו Domain)

3. -all – רק הכתובת\כתובות שהוגדרו בסעיף מספר 2 מורשות (Authorized) לשלוח דואר בשם ה- Domain.

קיימות מספר הגדרות לסעיף מספר 3 מעלה בנוגע לסמן שמופיע לפני ה- all:

· +all מאפשר שליחה של דבר דואר, ללא התאמה לכתובת כזו או אחרת. מכונה גם כ- SPF pass (עקב היכולת לשלוח כל דואר ללא אימות).

· -all מאפשר שליחה של דבר דואר אשר מותאם לכתובות ה- IP שהוגדרו טרם לכך באותה רשומה (MX\כתובות IP ספציפיות). מכונה גם כ- SPF fail (כי כל דבר דואר שאינו יוצא מאותן כתובות מורשות – יכשל בתהליך השליחה).

· ~all מאפשר שליחה של דבר דואר בין אם יש התאמה לכתובות ה- IP שהוגדרו או שאין התאמה (מכונה גם SPF softfail).

· ?all מצב ניטרלי בו אין מדיניות לגבי שליחת הדואר.

 

כיצד ניתן לבדוק האם יש ברשות ה- Domain(s) שלי רשומת SPF?

קיימות מגוון אפשרויות – החל מיצירת קשר עם בעל ה- DNS Domain Name הארגוני או בדיקה עצמאית במנגנון כדוגמת MXToolbox לרשומות SPF או ה- SPF Record Wizard של מיקרוסופט.

כיצד אוכל ליצור רשומת SPF, במידה ולא איתרתי אחת שכזו ב- DNS ובמנגנונים שציינת?

יצירת רשומות SPF יכולה להתבצע ידנית על-ידי הוספת רשומת TXT ל- DNS העולמי אותו הינך מנהל. במידה והינך יודע בדיוק כיצד רשומת ה- SPF שלך אמורה להיראות – מדובר בתהליך יצירת רשומה בקלות.

במידה וברצונך לצור רשומת SPF אך אינך יודע אילו ערכים עליה לכלול, תוכל להסתייע באתרים כדוגמת SPF Wizard אשר יסייעו לך ב"הרכבה" של רשומת SPF לפי קריטריונים והתשובות שאתה, מנהל הרשת, תספק לאשף.

 

שליחת דואר בטוחה,

נתנאל בן-שושן.

Add comment
facebook linkedin twitter email

Leave a Reply

Your email address will not be published.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*