Можно ли сузить диапазоны SPF, используемые Outlook в Office365?

Question

Предположение
Запись SPF для домена, использующего службы Outlook Online, обычно включает механизм include:spf.protection.outlook.com, который в свою очередь объединяет множество IP-адресов, которые предположительно используются распределенным хостингом Microsoft.
Предположительно, это означает, что если какие-либо учетные записи, использующие эти службы в других частях мира, скомпрометированы, они могут отправлять СПАМ или аналогичное содержимое сообщения с использованием поддельного адреса отправителя любого законного домена Outlook Online и по-прежнему передавать SPF?

Вопрос
Учитывая широкое распространение Outlook Online / Office365, представляется, что это довольно большой диапазон IP-адресов, который может поставить под угрозу SPF.Можно ли каким-либо образом ограничить диапазоны IP-адресов, которые домен может использовать для отправки через Outlook Online, и, следовательно, ограничить диапазоны IP-адресов в записи SPF для домена чем-то менее уязвимым?

Приложение
В дополнение к полезному ответу @ Synchro, я вижу, что совместное использование DKIM и DMARC поможет смягчить тот факт, что SPF проходит слишком легко, но DKIM не является простой задачей для реализации, и мне потребуетсячтобы покрыть другие механизмы в моем SPF с DKIM, если я сделаю DMARC жестким.Мой вопрос остается, есть ли способ использовать более узкий набор исходящих хостов в Office365, возможно, с соответствующим подмножеством include, так же, как include:spf.protection.outlook.com является подмножеством более широкого include:outlook.com?

Answer 1

Краткий ответ: Нет, вы не должны этого хотеть.

По сути, вы доверяете Microsoft в управлении диапазонами IP-адресов, а также в проверке владения доменом таким способом.что кто-либо из арендаторов, кроме вас, не может отправить от вашего имени.Большой набор подсетей частично предназначен для эффективной маршрутизации и восстановления после сбоя в случае сбоев центра обработки данных.

Это не отличается от других служб, которые могут отправлять электронную почту от вашего имени, например OracleEloqua (9,344 отдельных IPv4-адресов) и MailChimp (22,528 отдельных IPv4-адресов) и Google (322,816 индивидуальных IPv4-адресов), как правило, включают в себя большие и много подсетей. DMARCIAN имеет хороший инструмент для проверки SPF и просмотра того, из чего он состоит.

Как упоминалось в ответе @ Synchro, эти подсети должны быть динамичными / гибкими и управляться владельцемуслуги.

Я не уверен, понимаю ли я ваше приложение и ответ @ Synchro относительно DMARC.Принцип работы DMARC: он ищет пропуск SPF или DKIM для проверки подлинности электронной почты .Это еще не все, например, выравнивание по доменам, но это немного для нас в этом вопросе.Таким образом, в качестве дополнения к вашему SPF, это будет работать только в том случае, если вы удалите SPF в Office 365, полностью и единственно полагаясь на аутентификацию DKIM для удовлетворения DMARC.

Лично мне нравится избыточность наличия обоих, потому что и SPF, иDKIM может быть нарушен в определенных сценариях, таких как списки рассылки или правила пересылки.Настройка DKIM для домена в Office 365 на самом деле довольно проста. Все, что вам нужно сделать, - это создать 2 записи CNAME для каждого домена и включить его.

Наконец, SPF не является антиспуфинговым святым Граалем, и вам следует обратиться к DMARC.SPF проверяется в заголовке пути возврата, а не в адресе электронной почты, который получатель видит.Таким образом, ваш домен может быть легко подделан при передаче SPF в домене, который используется в адресе электронной почты обратного пути, если только вы не используете ограничительную политику DMARC (а принимающий сервер фактически придерживается политики DMARC).

Answer 2

Да, ваше предположение верно, однако, вам небезопасно создавать подмножества их диапазонов IP-адресов, поскольку они могут измениться в любое время вместе с исходными IP-адресами, используемыми вашими сообщениями, т. Е. Запись SPF O365динамический .Это основная причина для использования механизмов include в вашем SPF, поэтому вам не нужно поддерживать такие диапазоны.Также имейте в виду, что даже большие диапазоны O365 представляют очень небольшую долю Интернета и еще меньшее подмножество поддельных источников сообщений.

Правильный способ сделать это - дополнить свойSPF с DKIM.Комбинация SPF и DKIM даст вам результаты, которых вы добиваетесь, в сочетании с сильной политикой DMARC, потому что даже если кто-то сможет пройти ваш SPF, он не сможет подделать ваши подписи DKIM.

Это возможнозаставить O365 подписывать DKIM для вашего домена, хотя это довольно запутанный процесс .