Autentikasi SPF: Gambaran Umum dan Praktik Terbaik
Burung
19 Des 2016
1 min read
Poin Penting
SPF (Sender Policy Framework) adalah protokol otentikasi email berbasis jalur yang memverifikasi apakah server pengirim diizinkan untuk mengirim email untuk suatu domain.
Kebijakan SPF disimpan sebagai rekaman TXT DNS, diformat dengan mekanisme yang mendefinisikan server, IP, atau jaringan mana yang diizinkan untuk mengirim atas nama suatu domain.
Validasi SPF terkait dengan domain Return-Path (domain bounce) atau hostname HELO—bukan alamat From yang terlihat.
Karena SPF memeriksa jalur pengiriman saja, ia dapat divalidasi lebih awal dalam transaksi SMTP, menjadikannya berguna untuk segera menolak email yang tidak sah.
SPF efektif tetapi tidak sempurna—ia rentan terhadap negatif palsu, terutama dengan penerusan email dan daftar mailing.
Rekaman SPF bergantung pada mekanisme seperti
mx,a,ipv4,ipv6,include,redirect,exists, dan harus diakhiri dengan modifikasiall(-all,~all,?all,+all).Pembatasan pencarian DNS berlaku: evaluasi SPF tidak dapat melebihi 10 kueri DNS, menjadikan perencanaan rekaman penting.
Mekanisme
ptrsekarang dianggap “tidak digunakan”, tetapi validator masih harus menerimanya. Beberapa pengirim masih menggunakannya karena adanya celah kompatibilitas.SPF saja tidak menjamin bahwa sebuah email adalah sah—hanya bahwa itu dikirim dari server yang diizinkan. Ia bekerja paling baik ketika dipadukan dengan DKIM, DMARC, dan teknik anti-penipuan lainnya.
Sorotan Tanya jawab
Apa itu SPF dalam istilah sederhana?
SPF memungkinkan sebuah domain untuk menyatakan server mana yang diizinkan untuk mengirim email atas namanya. Server penerima memeriksa ini untuk mendeteksi pengirim yang tidak berwenang.
Mengapa SPF disebut "berbasis jalur"?
Karena SPF memvalidasi jalur yang dilalui pesan—secara spesifik, IP server pengirim—daripada apa pun yang ada dalam konten pesan.
Di mana kebijakan SPF disimpan?
A: Sebagai rekaman DNS TXT, dimulai dengan
v=spf1, diikuti oleh mekanisme yang mendefinisikan pengirim yang diizinkan.Domain mana yang divalidasi oleh SPF?
Jalur Return-Path (juga disebut domain bounce).
Jika Jalur Return-Path kosong (pengirim NULL), SPF memeriksa domain HELO sebagai gantinya.
Bisakah SPF dicek lebih awal dalam transaksi SMTP?
Ya. Karena itu hanya tergantung pada IP dan domain server pengirim, SPF dapat divalidasi sebelum menerima isi pesan—menjadikannya efisien untuk pemfilteran.
Mengapa SPF kadang gagal bahkan untuk email yang sah?
Penyebab umum termasuk:
Penerusan email (penerus tidak ada dalam catatan SPF domain asli)
Daftar surat (pesan dikirim ulang oleh server yang berbeda)
Ini menyebabkan negatif palsu, yang melekat pada otentikasi berbasis jalur.
Apa peran mekanisme seperti include, redirect, dan exists?
include— mengizinkan rekaman SPF domain lain (misalnya, ESP Anda)redirect— menggunakan kebijakan SPF domain lainexists— mengizinkan secara dinamis berdasarkan pencarian DNS (berguna untuk infrastruktur kompleks)
Bagaimana cara kerja semua modifier?
-all→ tolak apa pun yang tidak terdaftar (ketat)~all→ softfail (terima tetapi beri tanda)?all → netral+all→ terima semuanya (secara efektif menonaktifkan SPF)
Mengapa mekanisme ptr tidak disarankan?
Ini lambat, tidak dapat diandalkan, dan sudah tidak direkomendasikan dalam spesifikasi modern—tetapi validator SPF tetap harus mendukungnya.
Apakah SPF cukup sendiri untuk otentikasi email?
No. SPF memverifikasi infrastruktur pengiriman, tetapi:
Ini tidak melindungi integritas pesan
Ini tidak selaras dengan domain From yang terlihat
Ini terputus saat meneruskan
SPF paling kuat ketika dipasangkan dengan DKIM dan DMARC.
Sebelum menyelami implementasi teknis, penting untuk memahami evolusi dan variasi dari teknik validasi email yang tersedia. Dari pemeriksaan sintaksis yang sederhana hingga pendekatan modern yang berbasis data, berbagai metode validasi menawarkan tingkat akurasi dan keandalan yang berbeda-beda.
Ketika kita berbicara tentang “Otentikasi Email”, kita merujuk pada sebuah teknik yang dimaksudkan untuk memberikan kepada penerima pesan beberapa tingkat kepastian bahwa pesan tersebut benar-benar berasal dari sumber yang diklaim. Idinya adalah untuk mencapai beberapa tingkat pertahanan terhadap email yang menipu, seperti phishing dan spoofing, yang dapat mengikis kepercayaan penerima dalam menerima email. Bagi organisasi yang memerlukan enkripsi tingkat pesan di luar otentikasi, S/MIME menyediakan keamanan end-to-end, dengan pengumpulan kunci publik penerima yang otomatis membuat implementasi lebih dapat diskalakan. Dengan demikian, tindakan mengirim email yang terautentikasi tidak, dengan sendirinya, menegaskan bahwa email tersebut adalah email yang baik atau diinginkan; itu hanya berarti bahwa email tersebut sedemikian rupa sehingga reputasi untuk pihak yang terautentikasi dapat diandalkan dan digunakan dalam keputusan penerimaan dan penempatan email.
Ada dua bentuk utama otentikasi email yang digunakan saat ini—Kerangka Kebijakan Pengirim (SPF) dan Mail yang Diidentifikasi Domain (DKIM). Dalam posting blog ini, saya akan menjelaskan apa itu SPF, dan bagaimana cara kerjanya.
Sebelum menyelami implementasi teknis, penting untuk memahami evolusi dan variasi dari teknik validasi email yang tersedia. Dari pemeriksaan sintaksis yang sederhana hingga pendekatan modern yang berbasis data, berbagai metode validasi menawarkan tingkat akurasi dan keandalan yang berbeda-beda.
Ketika kita berbicara tentang “Otentikasi Email”, kita merujuk pada sebuah teknik yang dimaksudkan untuk memberikan kepada penerima pesan beberapa tingkat kepastian bahwa pesan tersebut benar-benar berasal dari sumber yang diklaim. Idinya adalah untuk mencapai beberapa tingkat pertahanan terhadap email yang menipu, seperti phishing dan spoofing, yang dapat mengikis kepercayaan penerima dalam menerima email. Bagi organisasi yang memerlukan enkripsi tingkat pesan di luar otentikasi, S/MIME menyediakan keamanan end-to-end, dengan pengumpulan kunci publik penerima yang otomatis membuat implementasi lebih dapat diskalakan. Dengan demikian, tindakan mengirim email yang terautentikasi tidak, dengan sendirinya, menegaskan bahwa email tersebut adalah email yang baik atau diinginkan; itu hanya berarti bahwa email tersebut sedemikian rupa sehingga reputasi untuk pihak yang terautentikasi dapat diandalkan dan digunakan dalam keputusan penerimaan dan penempatan email.
Ada dua bentuk utama otentikasi email yang digunakan saat ini—Kerangka Kebijakan Pengirim (SPF) dan Mail yang Diidentifikasi Domain (DKIM). Dalam posting blog ini, saya akan menjelaskan apa itu SPF, dan bagaimana cara kerjanya.
Sebelum menyelami implementasi teknis, penting untuk memahami evolusi dan variasi dari teknik validasi email yang tersedia. Dari pemeriksaan sintaksis yang sederhana hingga pendekatan modern yang berbasis data, berbagai metode validasi menawarkan tingkat akurasi dan keandalan yang berbeda-beda.
Ketika kita berbicara tentang “Otentikasi Email”, kita merujuk pada sebuah teknik yang dimaksudkan untuk memberikan kepada penerima pesan beberapa tingkat kepastian bahwa pesan tersebut benar-benar berasal dari sumber yang diklaim. Idinya adalah untuk mencapai beberapa tingkat pertahanan terhadap email yang menipu, seperti phishing dan spoofing, yang dapat mengikis kepercayaan penerima dalam menerima email. Bagi organisasi yang memerlukan enkripsi tingkat pesan di luar otentikasi, S/MIME menyediakan keamanan end-to-end, dengan pengumpulan kunci publik penerima yang otomatis membuat implementasi lebih dapat diskalakan. Dengan demikian, tindakan mengirim email yang terautentikasi tidak, dengan sendirinya, menegaskan bahwa email tersebut adalah email yang baik atau diinginkan; itu hanya berarti bahwa email tersebut sedemikian rupa sehingga reputasi untuk pihak yang terautentikasi dapat diandalkan dan digunakan dalam keputusan penerimaan dan penempatan email.
Ada dua bentuk utama otentikasi email yang digunakan saat ini—Kerangka Kebijakan Pengirim (SPF) dan Mail yang Diidentifikasi Domain (DKIM). Dalam posting blog ini, saya akan menjelaskan apa itu SPF, dan bagaimana cara kerjanya.
SPF Tidak Kedap
Sementara itu tampaknya cara yang relatif sederhana untuk mengautentikasi email, SPF rentan terhadap kegagalan dalam bentuk negatif palsu. Kegagalan ini dapat terjadi lebih sering daripada yang nyaman bagi banyak orang.
Berikut adalah dua skenario umum di mana surat yang sepenuhnya sah dapat gagal validasi SPF dan terlihat sebagai penipuan:
Penerusan otomatis, di mana pesan yang dikirim ke jsmith@alumni.university.edu, sebuah kotak surat yang diatur untuk meneruskan semua email secara otomatis ke jsmith@isp.com
Daftar surat, di mana email yang dikirim ke talk-about-stuff@listserv.foo.com “meledak” dan dikirim ke setiap pelanggan
Dalam kedua kasus ini, jika Return-Path tidak diubah dari aslinya, email dapat gagal pemeriksaan SPF (tergantung pada modifikasi yang digunakan dengan mekanisme ‘all’). Ini karena email tiba di tujuan akhirnya dari server perantara, bukan dari server asli, dan server perantara tersebut kemungkinan tidak ada dalam catatan SPF domain. Teknik yang disebut “Skema Penulisan Ulang Pengirim” atau “SRS” dapat mengurangi risiko ini, dan beberapa situs besar telah mengadopsinya, tetapi itu tidak bersifat universal.
Sementara itu tampaknya cara yang relatif sederhana untuk mengautentikasi email, SPF rentan terhadap kegagalan dalam bentuk negatif palsu. Kegagalan ini dapat terjadi lebih sering daripada yang nyaman bagi banyak orang.
Berikut adalah dua skenario umum di mana surat yang sepenuhnya sah dapat gagal validasi SPF dan terlihat sebagai penipuan:
Penerusan otomatis, di mana pesan yang dikirim ke jsmith@alumni.university.edu, sebuah kotak surat yang diatur untuk meneruskan semua email secara otomatis ke jsmith@isp.com
Daftar surat, di mana email yang dikirim ke talk-about-stuff@listserv.foo.com “meledak” dan dikirim ke setiap pelanggan
Dalam kedua kasus ini, jika Return-Path tidak diubah dari aslinya, email dapat gagal pemeriksaan SPF (tergantung pada modifikasi yang digunakan dengan mekanisme ‘all’). Ini karena email tiba di tujuan akhirnya dari server perantara, bukan dari server asli, dan server perantara tersebut kemungkinan tidak ada dalam catatan SPF domain. Teknik yang disebut “Skema Penulisan Ulang Pengirim” atau “SRS” dapat mengurangi risiko ini, dan beberapa situs besar telah mengadopsinya, tetapi itu tidak bersifat universal.
Sementara itu tampaknya cara yang relatif sederhana untuk mengautentikasi email, SPF rentan terhadap kegagalan dalam bentuk negatif palsu. Kegagalan ini dapat terjadi lebih sering daripada yang nyaman bagi banyak orang.
Berikut adalah dua skenario umum di mana surat yang sepenuhnya sah dapat gagal validasi SPF dan terlihat sebagai penipuan:
Penerusan otomatis, di mana pesan yang dikirim ke jsmith@alumni.university.edu, sebuah kotak surat yang diatur untuk meneruskan semua email secara otomatis ke jsmith@isp.com
Daftar surat, di mana email yang dikirim ke talk-about-stuff@listserv.foo.com “meledak” dan dikirim ke setiap pelanggan
Dalam kedua kasus ini, jika Return-Path tidak diubah dari aslinya, email dapat gagal pemeriksaan SPF (tergantung pada modifikasi yang digunakan dengan mekanisme ‘all’). Ini karena email tiba di tujuan akhirnya dari server perantara, bukan dari server asli, dan server perantara tersebut kemungkinan tidak ada dalam catatan SPF domain. Teknik yang disebut “Skema Penulisan Ulang Pengirim” atau “SRS” dapat mengurangi risiko ini, dan beberapa situs besar telah mengadopsinya, tetapi itu tidak bersifat universal.
Tinjauan SPF
Pengaturan Kebijakan Pengirim (SPF), untuk menyatakan kembali RFC 7208, adalah protokol yang tidak hanya memungkinkan suatu organisasi untuk memberi wewenang kepada host dan jaringan untuk menggunakan nama domainnya saat mengirim email, tetapi juga menyediakan cara bagi host penerima untuk memeriksa bahwa wewenang tersebut.
Ketika Anda selesai membaca pos ini, saya harap Anda telah mempelajari yang berikut:
SPF adalah sistem autentikasi berbasis “jalur”.
Kebijakan SPF dinyatakan dalam catatan DNS TXT.
Validasi terkait dengan domain Return-Path (apa yang kami sebut di SparkPost sebagai “domain pantulan”) atau domain HELO.
Validasi dapat dilakukan lebih awal dalam transaksi SMTP, jadi ini adalah pemeriksaan yang baik untuk dengan cepat menolak email yang tidak terotentikasi.
Ini rentan terhadap persentase negatif palsu yang relatif tinggi.
Pengaturan Kebijakan Pengirim (SPF), untuk menyatakan kembali RFC 7208, adalah protokol yang tidak hanya memungkinkan suatu organisasi untuk memberi wewenang kepada host dan jaringan untuk menggunakan nama domainnya saat mengirim email, tetapi juga menyediakan cara bagi host penerima untuk memeriksa bahwa wewenang tersebut.
Ketika Anda selesai membaca pos ini, saya harap Anda telah mempelajari yang berikut:
SPF adalah sistem autentikasi berbasis “jalur”.
Kebijakan SPF dinyatakan dalam catatan DNS TXT.
Validasi terkait dengan domain Return-Path (apa yang kami sebut di SparkPost sebagai “domain pantulan”) atau domain HELO.
Validasi dapat dilakukan lebih awal dalam transaksi SMTP, jadi ini adalah pemeriksaan yang baik untuk dengan cepat menolak email yang tidak terotentikasi.
Ini rentan terhadap persentase negatif palsu yang relatif tinggi.
Pengaturan Kebijakan Pengirim (SPF), untuk menyatakan kembali RFC 7208, adalah protokol yang tidak hanya memungkinkan suatu organisasi untuk memberi wewenang kepada host dan jaringan untuk menggunakan nama domainnya saat mengirim email, tetapi juga menyediakan cara bagi host penerima untuk memeriksa bahwa wewenang tersebut.
Ketika Anda selesai membaca pos ini, saya harap Anda telah mempelajari yang berikut:
SPF adalah sistem autentikasi berbasis “jalur”.
Kebijakan SPF dinyatakan dalam catatan DNS TXT.
Validasi terkait dengan domain Return-Path (apa yang kami sebut di SparkPost sebagai “domain pantulan”) atau domain HELO.
Validasi dapat dilakukan lebih awal dalam transaksi SMTP, jadi ini adalah pemeriksaan yang baik untuk dengan cepat menolak email yang tidak terotentikasi.
Ini rentan terhadap persentase negatif palsu yang relatif tinggi.
Autentikasi Berbasis Jalur
SPF dianggap sebagai sistem otentikasi berbasis jalur karena terkait hanya pada jalur yang ditempuh pesan dari asalnya ke tujuannya. Ketika server pengirim memulai transaksi SMTP dengan server penerima, server penerima akan menentukan apakah server pengirim diizinkan untuk mengirim pesan tersebut berdasarkan kebijakan SPF domain. Ini sepenuhnya merupakan keputusan yang berdasarkan dari mana pesan tersebut berasal, tanpa ada hubungannya dengan isi pesan.
SPF dianggap sebagai sistem otentikasi berbasis jalur karena terkait hanya pada jalur yang ditempuh pesan dari asalnya ke tujuannya. Ketika server pengirim memulai transaksi SMTP dengan server penerima, server penerima akan menentukan apakah server pengirim diizinkan untuk mengirim pesan tersebut berdasarkan kebijakan SPF domain. Ini sepenuhnya merupakan keputusan yang berdasarkan dari mana pesan tersebut berasal, tanpa ada hubungannya dengan isi pesan.
SPF dianggap sebagai sistem otentikasi berbasis jalur karena terkait hanya pada jalur yang ditempuh pesan dari asalnya ke tujuannya. Ketika server pengirim memulai transaksi SMTP dengan server penerima, server penerima akan menentukan apakah server pengirim diizinkan untuk mengirim pesan tersebut berdasarkan kebijakan SPF domain. Ini sepenuhnya merupakan keputusan yang berdasarkan dari mana pesan tersebut berasal, tanpa ada hubungannya dengan isi pesan.
Mendeklarasikan Kebijakan SPF
Catatan kebijakan SPF domain adalah hanya catatan DNS TXT yang diformat secara khusus, yang biasanya mengandung satu atau lebih dari "mekanisme" berikut:
v=spf1 – Token pertama yang diperlukan untuk menunjukkan bahwa catatan TXT adalah catatan SPF (sebuah domain dapat memiliki beberapa catatan TXT)
ipv4, ipv6 – Digunakan untuk menentukan alamat IP dan jaringan yang diizinkan untuk mengirim email untuk domain
a – Jika domain pengirim memiliki catatan DNS "A" yang terpecahkan ke IP pengirim, IP tersebut diizinkan
mx – Jika IP pengirim juga merupakan salah satu catatan MX untuk domain pengirim, IP tersebut diizinkan
all – Token terakhir yang diperlukan, selalu dimodifikasi:
-all – Hanya apa yang tercantum di sini yang dapat melewati; tolak kegagalan.
~all – Hal-hal yang tidak ada di sini harus softfail; terima tetapi catatlah.
?all – Tidak yakin apakah hal-hal yang tidak ada di sini harus melewati.
+all – Kami berpikir SPF tidak ada gunanya; izinkan semuanya.
Mekanisme lain yang kurang umum tetapi masih banyak digunakan adalah:
include – Digunakan ketika sebuah domain tidak hanya memiliki servernya sendiri, tetapi juga menggunakan server orang lain. Harus digunakan dengan bijaksana. Setiap include adalah kueri DNS tambahan, dan catatan SPF tidak boleh memerlukan lebih dari sepuluh kueri DNS untuk diselesaikan.
redirect – Ketika domain A dan domain B dimiliki oleh entitas yang sama dan menggunakan infrastruktur yang sama. Para pemilik biasanya ingin mempertahankan hanya satu salinan catatan SPF untuk keduanya, dan mengonfigurasi B untuk mengalihkan kueri ke A.
exists – Jika sebuah domain memiliki banyak blok jaringan kecil yang tidak bersebelahan, ia dapat menggunakan mekanisme ini untuk menentukan catatan SPF-nya, alih-alih mencantumkan semuanya. Berguna untuk tetap dalam batas ukuran (512 byte) untuk respons DNS.
Sebuah catatan tentang Mekanisme “ptr”
Mekanisme akhir, “ptr” ada dalam spesifikasi asli untuk SPF, tetapi telah dinyatakan “tidak digunakan” dalam spesifikasi saat ini. Mekanisme ptr digunakan untuk menyatakan bahwa jika alamat IP pengirim memiliki catatan DNS PTR yang terpecahkan ke nama domain yang dipertanyakan, maka alamat IP tersebut diizinkan untuk mengirim email untuk domain tersebut.
Status saat ini dari mekanisme ini adalah bahwa ia tidak boleh digunakan. Namun, situs yang melakukan validasi SPF harus menerimanya sebagai valid.
Mekanisme | Apa yang Dilakukannya | Catatan / Panduan Penggunaan |
|---|---|---|
v=spf1 | Menyatakan bahwa catatan TXT adalah kebijakan SPF | Token pertama yang diperlukan |
ipv4 / ipv6 | Memberi wewenang pada IP tertentu atau blok CIDR | Metode otorisasi yang paling eksplisit dan dapat diandalkan |
a | Memberi otorisasi pada IP yang cocok dengan catatan A domain | Bagus untuk infrastruktur sederhana |
mx | Memberi otorisasi pada IP yang terdaftar dalam catatan MX domain | Berguna ketika server MX juga mengirim email |
include | Impor kebijakan SPF domain lain | Memperhitungkan batas 10 pencarian DNS; gunakan dengan hemat |
redirect | Delegasikan kebijakan SPF ke domain lain | Digunakan ketika beberapa domain berbagi satu definisi SPF |
exists | Memberi otorisasi melalui aturan pencarian DNS kustom | Berguna untuk rentang IP besar dan terfragmentasi; validator harus mendukungnya |
ptr | Memberi otorisasi berdasarkan pemetaan DNS terbalik | Dihapuskan (“jangan digunakan”) tetapi tetap harus dihormati oleh validator |
all | Menentukan cara memperlakukan segala sesuatu yang tidak secara eksplisit diizinkan | Variasi: -all tolak, ~all softfail, ?all netral, +all izinkan semua (tidak disarankan) |
Catatan kebijakan SPF domain adalah hanya catatan DNS TXT yang diformat secara khusus, yang biasanya mengandung satu atau lebih dari "mekanisme" berikut:
v=spf1 – Token pertama yang diperlukan untuk menunjukkan bahwa catatan TXT adalah catatan SPF (sebuah domain dapat memiliki beberapa catatan TXT)
ipv4, ipv6 – Digunakan untuk menentukan alamat IP dan jaringan yang diizinkan untuk mengirim email untuk domain
a – Jika domain pengirim memiliki catatan DNS "A" yang terpecahkan ke IP pengirim, IP tersebut diizinkan
mx – Jika IP pengirim juga merupakan salah satu catatan MX untuk domain pengirim, IP tersebut diizinkan
all – Token terakhir yang diperlukan, selalu dimodifikasi:
-all – Hanya apa yang tercantum di sini yang dapat melewati; tolak kegagalan.
~all – Hal-hal yang tidak ada di sini harus softfail; terima tetapi catatlah.
?all – Tidak yakin apakah hal-hal yang tidak ada di sini harus melewati.
+all – Kami berpikir SPF tidak ada gunanya; izinkan semuanya.
Mekanisme lain yang kurang umum tetapi masih banyak digunakan adalah:
include – Digunakan ketika sebuah domain tidak hanya memiliki servernya sendiri, tetapi juga menggunakan server orang lain. Harus digunakan dengan bijaksana. Setiap include adalah kueri DNS tambahan, dan catatan SPF tidak boleh memerlukan lebih dari sepuluh kueri DNS untuk diselesaikan.
redirect – Ketika domain A dan domain B dimiliki oleh entitas yang sama dan menggunakan infrastruktur yang sama. Para pemilik biasanya ingin mempertahankan hanya satu salinan catatan SPF untuk keduanya, dan mengonfigurasi B untuk mengalihkan kueri ke A.
exists – Jika sebuah domain memiliki banyak blok jaringan kecil yang tidak bersebelahan, ia dapat menggunakan mekanisme ini untuk menentukan catatan SPF-nya, alih-alih mencantumkan semuanya. Berguna untuk tetap dalam batas ukuran (512 byte) untuk respons DNS.
Sebuah catatan tentang Mekanisme “ptr”
Mekanisme akhir, “ptr” ada dalam spesifikasi asli untuk SPF, tetapi telah dinyatakan “tidak digunakan” dalam spesifikasi saat ini. Mekanisme ptr digunakan untuk menyatakan bahwa jika alamat IP pengirim memiliki catatan DNS PTR yang terpecahkan ke nama domain yang dipertanyakan, maka alamat IP tersebut diizinkan untuk mengirim email untuk domain tersebut.
Status saat ini dari mekanisme ini adalah bahwa ia tidak boleh digunakan. Namun, situs yang melakukan validasi SPF harus menerimanya sebagai valid.
Mekanisme | Apa yang Dilakukannya | Catatan / Panduan Penggunaan |
|---|---|---|
v=spf1 | Menyatakan bahwa catatan TXT adalah kebijakan SPF | Token pertama yang diperlukan |
ipv4 / ipv6 | Memberi wewenang pada IP tertentu atau blok CIDR | Metode otorisasi yang paling eksplisit dan dapat diandalkan |
a | Memberi otorisasi pada IP yang cocok dengan catatan A domain | Bagus untuk infrastruktur sederhana |
mx | Memberi otorisasi pada IP yang terdaftar dalam catatan MX domain | Berguna ketika server MX juga mengirim email |
include | Impor kebijakan SPF domain lain | Memperhitungkan batas 10 pencarian DNS; gunakan dengan hemat |
redirect | Delegasikan kebijakan SPF ke domain lain | Digunakan ketika beberapa domain berbagi satu definisi SPF |
exists | Memberi otorisasi melalui aturan pencarian DNS kustom | Berguna untuk rentang IP besar dan terfragmentasi; validator harus mendukungnya |
ptr | Memberi otorisasi berdasarkan pemetaan DNS terbalik | Dihapuskan (“jangan digunakan”) tetapi tetap harus dihormati oleh validator |
all | Menentukan cara memperlakukan segala sesuatu yang tidak secara eksplisit diizinkan | Variasi: -all tolak, ~all softfail, ?all netral, +all izinkan semua (tidak disarankan) |
Catatan kebijakan SPF domain adalah hanya catatan DNS TXT yang diformat secara khusus, yang biasanya mengandung satu atau lebih dari "mekanisme" berikut:
v=spf1 – Token pertama yang diperlukan untuk menunjukkan bahwa catatan TXT adalah catatan SPF (sebuah domain dapat memiliki beberapa catatan TXT)
ipv4, ipv6 – Digunakan untuk menentukan alamat IP dan jaringan yang diizinkan untuk mengirim email untuk domain
a – Jika domain pengirim memiliki catatan DNS "A" yang terpecahkan ke IP pengirim, IP tersebut diizinkan
mx – Jika IP pengirim juga merupakan salah satu catatan MX untuk domain pengirim, IP tersebut diizinkan
all – Token terakhir yang diperlukan, selalu dimodifikasi:
-all – Hanya apa yang tercantum di sini yang dapat melewati; tolak kegagalan.
~all – Hal-hal yang tidak ada di sini harus softfail; terima tetapi catatlah.
?all – Tidak yakin apakah hal-hal yang tidak ada di sini harus melewati.
+all – Kami berpikir SPF tidak ada gunanya; izinkan semuanya.
Mekanisme lain yang kurang umum tetapi masih banyak digunakan adalah:
include – Digunakan ketika sebuah domain tidak hanya memiliki servernya sendiri, tetapi juga menggunakan server orang lain. Harus digunakan dengan bijaksana. Setiap include adalah kueri DNS tambahan, dan catatan SPF tidak boleh memerlukan lebih dari sepuluh kueri DNS untuk diselesaikan.
redirect – Ketika domain A dan domain B dimiliki oleh entitas yang sama dan menggunakan infrastruktur yang sama. Para pemilik biasanya ingin mempertahankan hanya satu salinan catatan SPF untuk keduanya, dan mengonfigurasi B untuk mengalihkan kueri ke A.
exists – Jika sebuah domain memiliki banyak blok jaringan kecil yang tidak bersebelahan, ia dapat menggunakan mekanisme ini untuk menentukan catatan SPF-nya, alih-alih mencantumkan semuanya. Berguna untuk tetap dalam batas ukuran (512 byte) untuk respons DNS.
Sebuah catatan tentang Mekanisme “ptr”
Mekanisme akhir, “ptr” ada dalam spesifikasi asli untuk SPF, tetapi telah dinyatakan “tidak digunakan” dalam spesifikasi saat ini. Mekanisme ptr digunakan untuk menyatakan bahwa jika alamat IP pengirim memiliki catatan DNS PTR yang terpecahkan ke nama domain yang dipertanyakan, maka alamat IP tersebut diizinkan untuk mengirim email untuk domain tersebut.
Status saat ini dari mekanisme ini adalah bahwa ia tidak boleh digunakan. Namun, situs yang melakukan validasi SPF harus menerimanya sebagai valid.
Mekanisme | Apa yang Dilakukannya | Catatan / Panduan Penggunaan |
|---|---|---|
v=spf1 | Menyatakan bahwa catatan TXT adalah kebijakan SPF | Token pertama yang diperlukan |
ipv4 / ipv6 | Memberi wewenang pada IP tertentu atau blok CIDR | Metode otorisasi yang paling eksplisit dan dapat diandalkan |
a | Memberi otorisasi pada IP yang cocok dengan catatan A domain | Bagus untuk infrastruktur sederhana |
mx | Memberi otorisasi pada IP yang terdaftar dalam catatan MX domain | Berguna ketika server MX juga mengirim email |
include | Impor kebijakan SPF domain lain | Memperhitungkan batas 10 pencarian DNS; gunakan dengan hemat |
redirect | Delegasikan kebijakan SPF ke domain lain | Digunakan ketika beberapa domain berbagi satu definisi SPF |
exists | Memberi otorisasi melalui aturan pencarian DNS kustom | Berguna untuk rentang IP besar dan terfragmentasi; validator harus mendukungnya |
ptr | Memberi otorisasi berdasarkan pemetaan DNS terbalik | Dihapuskan (“jangan digunakan”) tetapi tetap harus dihormati oleh validator |
all | Menentukan cara memperlakukan segala sesuatu yang tidak secara eksplisit diizinkan | Variasi: -all tolak, ~all softfail, ?all netral, +all izinkan semua (tidak disarankan) |
Beberapa Contoh Rekor SPF
Berikut adalah beberapa contoh catatan, dan artinya. Contoh ini menunjukkan alamat RFC 1918, tetapi saya menyadari bahwa alamat seperti itu tidak akan pernah muncul dalam catatan SPF yang sebenarnya.
Catatan MX, satu alamat IP, satu jaringan IP, softfail semuanya:
“v=spf1 mx ipv4:10.0.0.1 ipv4:192.168.24.0/24 ~all”
Catatan A, dua jaringan IP, tolak semuanya:
“v=spf1 a ipv4:10.0.3.0/23 ipv4:192.168.55.0/26 -all”
Kami tidak mengirim email:
“v=spf1 -all”
Kami pikir SPF itu bodoh:
“v=spf1 +all”
Catatan SPF untuk domain sparkpostmail.com (mekanisme pengalihan digunakan)
“v=spf1 redirect=_spf.sparkpostmail.com”
Catatan SPF untuk _spf.sparkpostmail.com (ada dan mekanisme ptr digunakan):
“v=spf1 exists:%{i}._spf.sparkpostmail.com ptr:sparkpostmail.com ptr:spmta.com ptr:flyingenvelope.com ~all”
Di SparkPost, kami saat ini menggunakan mekanisme ptr dalam catatan SPF kami. Kami merasa perlu karena kurangnya dukungan universal untuk memvalidasi mekanisme exists. Dan hingga saat ini, kami belum melihat kegagalan SPF yang disebabkan oleh penggunaan mekanisme ptr kami.
Berikut adalah beberapa contoh catatan, dan artinya. Contoh ini menunjukkan alamat RFC 1918, tetapi saya menyadari bahwa alamat seperti itu tidak akan pernah muncul dalam catatan SPF yang sebenarnya.
Catatan MX, satu alamat IP, satu jaringan IP, softfail semuanya:
“v=spf1 mx ipv4:10.0.0.1 ipv4:192.168.24.0/24 ~all”
Catatan A, dua jaringan IP, tolak semuanya:
“v=spf1 a ipv4:10.0.3.0/23 ipv4:192.168.55.0/26 -all”
Kami tidak mengirim email:
“v=spf1 -all”
Kami pikir SPF itu bodoh:
“v=spf1 +all”
Catatan SPF untuk domain sparkpostmail.com (mekanisme pengalihan digunakan)
“v=spf1 redirect=_spf.sparkpostmail.com”
Catatan SPF untuk _spf.sparkpostmail.com (ada dan mekanisme ptr digunakan):
“v=spf1 exists:%{i}._spf.sparkpostmail.com ptr:sparkpostmail.com ptr:spmta.com ptr:flyingenvelope.com ~all”
Di SparkPost, kami saat ini menggunakan mekanisme ptr dalam catatan SPF kami. Kami merasa perlu karena kurangnya dukungan universal untuk memvalidasi mekanisme exists. Dan hingga saat ini, kami belum melihat kegagalan SPF yang disebabkan oleh penggunaan mekanisme ptr kami.
Berikut adalah beberapa contoh catatan, dan artinya. Contoh ini menunjukkan alamat RFC 1918, tetapi saya menyadari bahwa alamat seperti itu tidak akan pernah muncul dalam catatan SPF yang sebenarnya.
Catatan MX, satu alamat IP, satu jaringan IP, softfail semuanya:
“v=spf1 mx ipv4:10.0.0.1 ipv4:192.168.24.0/24 ~all”
Catatan A, dua jaringan IP, tolak semuanya:
“v=spf1 a ipv4:10.0.3.0/23 ipv4:192.168.55.0/26 -all”
Kami tidak mengirim email:
“v=spf1 -all”
Kami pikir SPF itu bodoh:
“v=spf1 +all”
Catatan SPF untuk domain sparkpostmail.com (mekanisme pengalihan digunakan)
“v=spf1 redirect=_spf.sparkpostmail.com”
Catatan SPF untuk _spf.sparkpostmail.com (ada dan mekanisme ptr digunakan):
“v=spf1 exists:%{i}._spf.sparkpostmail.com ptr:sparkpostmail.com ptr:spmta.com ptr:flyingenvelope.com ~all”
Di SparkPost, kami saat ini menggunakan mekanisme ptr dalam catatan SPF kami. Kami merasa perlu karena kurangnya dukungan universal untuk memvalidasi mekanisme exists. Dan hingga saat ini, kami belum melihat kegagalan SPF yang disebabkan oleh penggunaan mekanisme ptr kami.
Bagaimana Cara Kerja Autentikasi SPF?
Ini adalah apa yang terlihat seperti transaksi SMTP yang khas ketika SPF terlibat:
Server pengirim (klien) terhubung ke server penerima
Server penerima mencatat alamat IP klien yang terhubung
Mereka bertukar salam, termasuk hostname HELO klien
Klien mengeluarkan perintah SMTP MAIL FROM
Server penerima sekarang dapat mencari catatan SPF untuk domain MAIL FROM atau hostname HELO untuk menentukan apakah IP yang terhubung diizinkan untuk mengirim email untuk domain tersebut, dan memutuskan apakah akan menerima pesan tersebut atau tidak.
Ini adalah apa yang terlihat seperti transaksi SMTP yang khas ketika SPF terlibat:
Server pengirim (klien) terhubung ke server penerima
Server penerima mencatat alamat IP klien yang terhubung
Mereka bertukar salam, termasuk hostname HELO klien
Klien mengeluarkan perintah SMTP MAIL FROM
Server penerima sekarang dapat mencari catatan SPF untuk domain MAIL FROM atau hostname HELO untuk menentukan apakah IP yang terhubung diizinkan untuk mengirim email untuk domain tersebut, dan memutuskan apakah akan menerima pesan tersebut atau tidak.
Ini adalah apa yang terlihat seperti transaksi SMTP yang khas ketika SPF terlibat:
Server pengirim (klien) terhubung ke server penerima
Server penerima mencatat alamat IP klien yang terhubung
Mereka bertukar salam, termasuk hostname HELO klien
Klien mengeluarkan perintah SMTP MAIL FROM
Server penerima sekarang dapat mencari catatan SPF untuk domain MAIL FROM atau hostname HELO untuk menentukan apakah IP yang terhubung diizinkan untuk mengirim email untuk domain tersebut, dan memutuskan apakah akan menerima pesan tersebut atau tidak.
MAIL DARI atau HELO – Mana yang Perlu Diperiksa?
Spesifikasi SPF menetapkan bahwa situs penerima HARUS memeriksa SPF untuk domain MAIL FROM, dan DISARANKAN untuk memeriksanya untuk hostname HELO. Dalam praktiknya, pemeriksaan hanya terjadi pada domain MAIL FROM, kecuali mungkin pada saat ketika alamat MAIL FROM adalah pengirim NULL (yaitu, "<>"), dalam hal ini hostname HELO adalah satu-satunya identitas yang tersedia.
Spesifikasi SPF menetapkan bahwa situs penerima HARUS memeriksa SPF untuk domain MAIL FROM, dan DISARANKAN untuk memeriksanya untuk hostname HELO. Dalam praktiknya, pemeriksaan hanya terjadi pada domain MAIL FROM, kecuali mungkin pada saat ketika alamat MAIL FROM adalah pengirim NULL (yaitu, "<>"), dalam hal ini hostname HELO adalah satu-satunya identitas yang tersedia.
Spesifikasi SPF menetapkan bahwa situs penerima HARUS memeriksa SPF untuk domain MAIL FROM, dan DISARANKAN untuk memeriksanya untuk hostname HELO. Dalam praktiknya, pemeriksaan hanya terjadi pada domain MAIL FROM, kecuali mungkin pada saat ketika alamat MAIL FROM adalah pengirim NULL (yaitu, "<>"), dalam hal ini hostname HELO adalah satu-satunya identitas yang tersedia.
