Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
KTH-rapport om SPF » Kryptoblog

KTH-rapport om SPF

April 29th, 2007 by Joachim Strömbergson Leave a reply »

KTH-forskaren Stefan Görling har fått en rapport om Sender Policy Framework (SPF) publicerad i Internet Research. Stefans rapport An Overview of the Sender Policy Framework (SPF) as an anti-phising mechanism innehåller en relativt detaljerad genomgång av SPF. Rapporten går bland annat igenom bakgrunden till SPF och tar även upp alternativa tekniker till SPF, exempelvis S/MIME och OpenPGP. Rapporten presenterar även resultatet av den undersökning Stefan genomfört som visar hur stor spridning SPF har i dag. Stefan skriver:

The analysis showed that the adoption ratio is extremely low. Among the 385,862 domains, only
1.63% (6,286) of all domains have a published SPF policy. Counting only domains having active
mail settings (330,163 domains with MX records), SPF usage ratio is 1.9%

Out of the identified SPF records, 54.5% (3,430) of them contained only the minimal catch-all rule
(“v=spf1 ?all”) specifying that domain has no policy. This policy is basically useless. (12.3%) 775
domains contained the softfail catch-all rule (“~all”), a state between valid and failed where
unidentified sender is unlikely to be authorized, but that we are not sure enough to drop the
message. A state which may be useful when testing a new policy.


Trots denna låga användningen anser Stefan att IS/IT-ansvariga bör överväga att implementera SPF:
However, as long as they recognize the limits and properties of this standard, the creation of a SPF-
policy is desirable. Each new published policy helps the standard to become more widely used and
raises security at least for some users. SPF is available, it is ubiquitous and it is easy to adopt. There
already exist several major anti-spam software vendors with implemented support for this standard
in their products. Simply by publishing a SPF policy, the impact of phishing attempts in your name
will decrease.

Jag vet inte riktigt vad jag skall tycka om SPF. Det är ett enkelt steg att komplettera sin DNS-post med ett vettigt SPF-fält. Frågan är dock hur många som behöver göra det för att det skall bli användbart och ge något. Och frågan är dessutom om det inte krävs DNSSEC för att göra SPF pålitligt som autenticieringsmekansim. Vad tror du?

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Advertisement

3 comments

  1. Jonas B. says:

    SPF är en genomgående dålig idé. Det är en lösning på ett problem som inte finns och skapar flera andra problem istället. Så på frågan om det ska “ge något” hoppas jag att svaret är “så lite som möjligt”.

    Att använda SPF mot phising låter fullständigt befängt. En snabb genomögning av rapporten ger mig inga ledtrådar till hur det skulle gå till. Huruvida den informationen SPF hanterar har förvanskats presenteras oftast inte ens för slutanvändaren.

Leave a Reply

You must be logged in to post a comment.