Almindelige fejl, der skal undgås ved konfigurering af SPF-indstillinger
SPF validering er vigtig for at opnå en bedre leveringsgrad af e-mail og for at beskytte dit domæne mod phishing og spam angreb. Men SPF-indstillingerne er komplicerede, og du kan gå galt i byen, når du konfigurerer dem. Ved at rette og undgå disse almindelige fejl kan du sikre, at der ikke forekommer falske positive resultater og DMARC overholdelser korrekt til dit e-mail-afsendende domæne.
7 almindelige fejl, som du skal undgå, når du konfigurerer SPF-indstillinger
Nogle DNS-mekanismer bruges til at angive IP-adresser for systemer, der har tilladelse til at sende e-mails med en returadresse. Men forkert brug af dem medfører fejl som f.eks. overskridelse af SPF-recordens størrelse, mere end 10 DNS-opslag, mere end 2 uafklarede DNS-opslag osv.
Vi har listet almindelige SPF-fejl for at hjælpe dig med at undgå dem, når du konfigurerer SPF-indstillingerne.
Fejl 1: Flere SPF-poster
Der skal være én SPF-post pr. domæne, da modtagende servere ellers vil afvise begge. Fjern SPF-poster, som ikke er i brug i øjeblikket, f.eks. forældede tjenester med aktive SPF-poster.
Du kan løse denne SPF-indstillingsfejl ved at slå to eller flere poster sammen til én. Lad os sige, at et brugerdomæne har en SPF-record og indeholder en Elastic Email SPF-post, men at den ikke består verifikationskontrollen. Den mulige årsag til dette er, at der er 2 poster til stede på domænet.
v=spf1 a mx include:_sampledomain1.com include:_spf.elasticemail.com ~all
v=spf1 a mx include:_sampledomain2.com ~all
Du kan løse dette problem ved at samle dem i en enkelt post på følgende måde:
v=spf1 a mx include:_sampledomain1.com include:_sampledomain2.com include:_spf.elasticemail.com ~all
Fejltagelse 2: For mange DNS-søgninger
Der er en grænse på 10 "include"-opslag, hvilket betyder, at du ikke kan generere mere end 10 henvisninger til andre domæner. Hver forekomst af parametrene "include", "a", "mx", "ptr", "exists" og "redirect" genererer et opslag. Hvis et domæne, der henvises til i en 'include' indeholder en anden parameter, vil det også blive talt med i grænsen på 10 opslag. Så overskridelse af opslagsgrænsen er en af de mest almindelige fejl, der sker under konfigurering af SPF-indstillinger.
Du kan rette dette ved at fjerne 'indeholder' og henvisninger til inaktive domæner.
Fejltagelse 3: Tilladelsesfuld alle Mekanisme
En SPF-post fortolkes fra venstre mod højre, og 'alle' mekanisme vil matche 'all' afsendere, der ikke matchede de foregående mekanismer. Det foreslås at placere 'all' mekanismen i slutningen af din SPF-record og bruge den med præfikset ~ (softfail) eller - (fail). Når der ikke er angivet noget præfiks, bruges + (pass) som standard.
Fejltagelse 4: Brug af ptr mekanisme
SPF 'ptr' mekanismen bruges til omvendt DNS-søgning, der returnerer værtsnavnet til den tilsvarende IP-adresse. Disse oplysninger er især nyttige for B2B-mærker. Men denne mekanisme har problemer med pålideligheden og belaster de omvendte DNS-servere og de e-mail-systemer, der er forbundet med dem.
Det er derfor, at RFC7208 fraråder brugen af 'ptr' mekanisme. I de fleste tilfælde kan du erstatte den med 'a' mekanisme.
Fejltagelse 5: Brug af mx Mekanisme
Brug 'mx' med domænenavne og ikke med navnene på mailservere. Angivelse af mx:mailserver.sample.com anses for at være forkert, medmindre du faktisk kræver SPF-validering for at finde alle de værter, der accepterer post for domænet "mailserver.sample.com". I de fleste tilfælde vil der ikke være nogen sådanne værter, da "mailserver.sample.com" i sig selv er en vært og ikke et domæne.
Du vil ikke støde på dette som en syntaksfejl, men det vil ikke bare matche noget som helst.
Den korrekte måde at validere mod MX-posten for "sample.com" er mx:sample.com. Når du skal definere en bestemt mailservers værtsnavn eller IP-adresse, a:mailserver.sample.com eller ip4:x.x.x.x.x skal bruges
Fejltagelse 6: Oprettelse af en SPF-optegnelse uden ordentlig research
Dette gælder især for internetudbydere. Du må ikke oprette poster med halve oplysninger om domænet, dets ejer og det mærke, som det tilhører. Undersøg, hvilken e-mail-server de bruger, ellers kan du ende med at blokere deres udgående e-mail-leveringsvej fra deres mailserver på kontoret.
Fejltagelse 7: slåfejl
Undgå at begå almindelige fejl ved at konfigurere SPF-indstillinger ved at dobbelttjekke SPF-rekordet for stavefejl. Du kan skrive "inlcude" i stedet for "include". Dette kan gøre hele posten ugyldig.
Fejl 8: Du offentliggør ikke SPF-poster for HELO-navne, der bruges af dine e-mail-servere
Verifying HELO or EHLO names is encouraged by the SPF RFC. HELO or its developed version EHLO is used when Mail from is <> despite the recipient’s failure in doing 100% HELO checking.
Offentliggørelse af en HELO-protokol omfatter generering af en SPF-post, der svarer til det HELO FQDN, som din mailserver bruger. For eksempel: mailserver.sample1.com
Generelt skal det være en helt anden SPF-regel end den, der kontrollerer From-adressen i dit domæne, der er knyttet til "sample1.com".
Fejl 9: TXT-optegnelsens indhold vises ikke med dobbelte anførselstegn
Indholdet af en DNS TXT-post er altid inden for dobbelte anførselstegn ("-"), men disse bør aldrig være en del af selve indholdet af DNS-posten. Disse anførselstegn er kun til visningsformål, da de hjælper med at adskille starten og slutningen af indholdet af en TXT-record.
En SPF-post skal begynde med v=spf1 men hvis den begynder med "v=spf1bliver den slet ikke genkendt.
Stadig et problem?
Enhver ændring i SPF-indstillingerne kræver noget tid at sprede sig gennem internettet. Det kan også tage op til 72 timer. Men hvis du stadig har problemer, kan du bruge vores gratis SPF-record-checker værktøj eller kontakt vores eksperthold på [email protected].
- Top 5 over cybersikkerhedsadministrerede tjenester i 2023 - 29. maj 2023
- Hvordan planlægger man en glidende overgang fra DMARC None til DMARC Reject? - 26. maj 2023
- Hvordan tjekker du dit domænes sundhed? - 26. maj 2023
