Các trang web không có ký tự đại diện SPF có dễ bị tấn công bởi các cuộc tấn công giả mạo tên miền phụ không?

Question

Suy nghĩ xảy ra với tôi rằng nếu bản ghi SPF không đệ quy, tên miền có thể dễ bị xâm phạm email từ tên miền phụ. Nghiên cứu của tôi tiết lộ this:

Câu hỏi ma: Điều gì về tên miền phụ?

Nếu tôi nhận được thư từ pielovers.demon.co.uk và không có dữ liệu SPF cho pielovers, tôi có nên quay lại một cấp và kiểm tra SPF cho demon.co.uk không? Không. Mỗi tên miền phụ tại Demon là một khách hàng khác nhau và mỗi khách hàng có thể có chính sách riêng của họ. Nó sẽ không có ý nghĩa cho chính sách của Demon để áp dụng cho tất cả các khách hàng của mình theo mặc định; nếu Demon muốn làm điều đó, nó có thể thiết lập bản ghi SPF cho mỗi tên miền phụ.

Vì vậy, lời khuyên dành cho nhà xuất bản SPF là: bạn nên thêm bản ghi SPF cho mỗi tên miền phụ hoặc tên máy chủ có bản ghi A hoặc MX.

Sites với ký tự đại diện A hoặc bản ghi MX cũng cần phải có một kỷ lục wildcard SPF , có dạng: * TRÊN TXT "v = spf1 -all"

(Nhờ Stuart Cheshire.)

^{(tôi nhấn mạnh)}

Q1: Tại sao bạn không cần phải thêm một bản ghi SPF nếu tên miền phụ không có một A record/MX?

Như một ví dụ, tôi điều tra support.google.com:

dig google.com txt:

google.com. 3599 IN TXT "v=spf1 include:_spf.google.com ip4:216.73.93.70/31 ip4:216.73.93.72/31 ~all" 

dig support.google.com txt:

support.google.com. 21599 IN CNAME www3.l.google.com. 

dig www3.l.google.com txt:

www3.l.google.com. IN TXT 

Vì vậy, ..., không có bản ghi SPF cho support.google.com.

Q2: Wy không Google (và nhiều trang web khác) làm theo lời khuyên này?

Q3 (tiền thưởng): Nếu đây là vấn đề và tôi không chỉ ngu ngốc, tại sao tài liệu này không được ghi thêm?

^{Câu hỏi SE có liên quan duy nhất tôi có thể tìm thấy là this, nhưng không nói nhiều hơn câu hỏi thường gặp ở trên openspf.org ở trên.}

Answer 1

Đây thực sự không phải là lời khuyên liên quan đến khủng khiếp trong năm 2015, vì bối cảnh email đã phát triển đáng kể kể từ khi bài đăng đó được tạo.

Trong thực tế SPF là giao thức xác thực, không phải là cơ chế thực thi chính sách.Những gì tôi có nghĩa là bởi vì đó là một tin nhắn cụ thể có thể vượt qua, thất bại, hoặc không kiểm tra SPF dựa trên tên EHLO hoặc tên miền Return Path. Nhưng làm thế nào một người nhận nên xử lý bất kỳ kết quả SPF là đến người nhận.

Cơ chế thực thi chính sách email là DMARC, xác định cách thông báo không vượt qua xác thực SPF hoặc DKIM phải được người nhận xử lý. Nó có nên bị từ chối hoàn toàn không? Quarantined (thường có nghĩa là hướng đến một thư mục thư rác)? Hoặc được coi là 'bình thường'?

DMARC, không giống như SPF, không có thừa kế tên miền phụ. Do đó, với chính sách DMARC rõ ràng không được xác định trên tên miền phụ, chính sách được xác định trên miền tổ chức được sử dụng. Vì vậy, trong trường hợp cụ thể bạn đề cập, chính sách sẽ được đọc từ _dmarc.google.com. Đó là:

v=DMARC1; p=quarantine; rua=mailto:mailauth-reports@google.com 

Vì vậy, email giả thuyết của bạn gửi vào support.google.com sẽ được coi như thư rác, thậm chí không có một chính sách SPF rõ ràng xác định trên support.google.com

Vì vậy, nếu bạn muốn đảm bảo chống lại subdomain giả mạo cho một tên miền bạn quản lý , thêm chính sách DMARC.