¿Qué cuantificador de SPF se aplica cuando se usa un SPF incluido?

Navega tus respuestas
0

Un registro SPF tiene varias etiquetas, de las cuales una puede ser la etiqueta include , y el registro SPF finaliza con un cuantificador como + , ? , ~ o - .

Cuando se usa una etiqueta include , el registro SPF incluido tiene su propio cuantificador SPF. Llamemos al cuantificador del registro SPF incluido "cuantificador de niños".

¿Se aplica ese "cuantificador de niños" en los hosts que define solo y el "cuantificador de padres" en todo menos en los hosts definidos por hijos? ¿O es que el cuantificador principal siempre anula todos los cuantificadores incluidos (secundarios)?

Por ejemplo:

  1. example1.com (digamos padre) contiene el siguiente registro SPF: %código%
  2. example2.com (digamos hijo) contiene el siguiente registro SPF: v=spf1 a include:example2.com -all

¿Ahora se aplica el cuantificador v=spf1 a ip4:1.2.3.4 ?all (niño) o el cuantificador ?all (padre) en el -all ?

El registro SPF incluido también puede incluirlo, y así puede alcanzar una profundidad de múltiples niveles en los que también se aplica mi pregunta.

    
pregunta Bob Ortiz 07.02.2018 - 00:27
fuente

2 respuestas

1

Con el mecanismo include , la declaración SPF "incluida" no se incluye literalmente en la original, solo se usa el resultado. De la sección 5.2 de RFC 7208 :

  

En retrospectiva, el nombre "incluir" fue mal elegido. Sólo el      se utiliza el resultado evaluado del registro SPF al que se hace referencia , en lugar de      Incluyendo literalmente los mecanismos del registro referenciado en el      primero. Por ejemplo, evaluando una directiva "-todos" en la referencia      El registro no finaliza el procesamiento general y no      necesariamente resulta en un "error" general.

Esto significa que el resultado de la declaración SPF "incluida" se trata como match , not match o permerror similar a cualquier otra declaración SPF. El estándar incluso contiene explícitamente una tabla de cómo el resultado de la declaración SPF "incluida" afecta a la declaración principal: 

+---------------------------------+---------------------------------+
| A recursive check_host() result | Causes the "include" mechanism  |
| of:                             | to:                             |
+---------------------------------+---------------------------------+
| pass                            | match                           |
|                                 |                                 |
| fail                            | not match                       |
|                                 |                                 |
| softfail                        | not match                       |
|                                 |                                 |
| neutral                         | not match                       |
|                                 |                                 |
| temperror                       | return temperror                |
|                                 |                                 |
| permerror                       | return permerror                |
|                                 |                                 |
| none                            | return permerror                |
+---------------------------------+---------------------------------+
    
respondido por el Steffen Ullrich 07.02.2018 - 05:06
fuente
0

Traduciendo la documentación a su ejemplo:

En el siguiente ejemplo, la IP del cliente es 1.2.3.4 y el dominio actual es example1.com.

v=spf1 include:example2.com -all

Si example2.com no tiene un registro SPF, el resultado es PermError.

Supongamos que el registro SPF de example2.com fuera v=spf1 a -all .

Busque el registro A para example2.com. Si coincide con 1.2.3.4, devuelve el Pase.

Si no hay ninguna coincidencia, aparte de example2.com's -all , la inclusión como un todo no coincide; el resultado final sigue siendo Error de la directiva externa establecida en este ejemplo.

Relaciones de confianza: el mecanismo include: está diseñado para cruzar los límites administrativos. Es necesario tener mucho cuidado para garantizar que los mecanismos include: no pongan a los dominios en riesgo de dar los resultados del paso de SPF a los mensajes que resultan de la falsificación entre usuarios. A menos que existan mecanismos técnicos en el otro dominio especificado para evitar la falsificación entre usuarios, los mecanismos include: deben dar un resultado Neutral en lugar de Pasar. Esto se hace agregando ? frente a include: . El ejemplo anterior sería:

v=spf1 ?include:example.com -all

Entonces, la confianza se transfiere al dominio "secundario" (y existen mecanismos para limitar ese impacto).

    
respondido por el schroeder 07.02.2018 - 01:19
fuente

Lea otras preguntas en las etiquetas

Implicaciones de seguridad de almacenar instantáneas encriptadas en la nube ¿Cuál es la diferencia entre la escalada de privilegios y la omisión de autorización?