Is het goed om meerdere SPF-records op je domein te hebben? Het antwoord zou je wel eens kunnen verbazen! SPF-records zijn cruciaal voor e-mailverificatie, maar als je er meer dan één hebt, kan dat je deliverability schaden.
Het hebben van meerdere SPF-records is een van de meest voorkomende SPF-fouten die domeineigenaren tegenkomen. Het kan je SPF volledig ongeldig maken en leiden tot SPF PermError. Om te begrijpen waarom dit gebeurt, moeten we weten hoe SPF werkt en waarom het hebben van meer dan één SPF-record problemen kan veroorzaken in de verificatie.
*Pro Tip: Voer uw domein record controle vandaag om fouten te vinden in uw SPF recordconfiguratie.
Hoe SPF-records werken
Sender Policy Framework of SPF is een populair e-mailverificatieprotocol dat een lijst maakt van alle geautoriseerde verzendbronnen die namens uw domein e-mails mogen verzenden.
Tijdens een SPF controle voeren ontvangende MTA's DNS query's of DNS lookups uit om het Return-path adres van je e-mail te valideren door het te vergelijken met de lijst van IP-adressen die in je SPF record staan. Als er een overeenkomst wordt gevonden, voldoet de e-mail aan SPF, anders niet.
SPF configureren is dus gewoon een DNS TXT record publiceren dat begint met de syntax "v=spf1".
De mythe van meerdere SPF-records
Hoewel sommige diensten voorstellen om aparte SPF-records toe te voegen, kan een domein in werkelijkheid maar één SPF-record hebben. Dit komt omdat de SPF-standaard (RFC 4408) het strikt verbiedt om er meerdere te hebben.
Tijdens een SPF-controle leidt het tegenkomen van meerdere records tot een "PermError", waardoor de ontvangende server in de war raakt.
Wanneer een ontvangende MTA begint met het uitvoeren van SPF-authenticatie op een e-mail, worden alle DNS TXT-records opgehaald die beginnen met "v=spf1". Als SPF niet is geconfigureerd voor het verzendende domein en er geen SPF-record wordt gevonden in het DNS, wordt er geen resultaat teruggestuurd. Als daarentegen meerdere SPF-records die beginnen met "v=spf1" worden gevonden voor hetzelfde domein, wordt een SPF PermError resultaat teruggestuurd.
Het probleem met meerdere SPF-records
Het gebruik van meerdere SPF-records of het hebben van meerdere SPF-records voor één domein kan ernstige gevolgen hebben, zoals:
- E-mails belanden in spammappen
- E-mails worden volledig geweigerd
Dit is een veelvoorkomend probleem. Verschillende domeinanalyse rapporten van PowerDMARC onthulden dat een van de meest gemaakte fouten van domeineigenaren het hebben van meer dan 1 SPF record per domein is. Deze fout draagt bij aan een van de belangrijkste redenen voor foutieve SPF configuraties.
Voorbeeld van meerdere SPF-records
Hieronder staat een voorbeeld van meerdere afzonderlijke SPF-records voor hetzelfde domein.
De verkeerde kant op:
RECORD TYPE | DOMEINNAAM | RECORDWAARDE | TTL |
---|---|---|---|
TXT | exampledomain.com | v=spf1 include:_spf.zoho.com -all | standaard |
TXT | exampledomain.com | v=spf1 include:_spf.google.com -all | standaard |
In dit voorbeeld zijn voor het domein exampledomain.com 2 afzonderlijke SPF DNS TXT-records gepubliceerd in het DNS van het domein. In dit geval mislukt de SPF-authenticatie met een permanent foutresultaat voor uw domein. Elk van deze records wordt behandeld als aparte records, wat resulteert in meerdere SPF-records op hetzelfde domein.
De juiste manier:
RECORD TYPE | DOMEINNAAM | RECORDWAARDE | TTL |
---|---|---|---|
TXT | exampledomain.com | v=spf1 include:_spf.zoho.com include:_spf.google.com -all | standaard |
In dit voorbeeld heeft het domein exampledomain.com slechts één SPF DNS TXT record in plaats van meerdere SPF records. Dit is bereikt door de SPF meerdere include mechanismen in een enkel record toe te voegen. Het record is geldig en SPF zou in dit geval geen PermError-resultaat retourneren.
*Pro Tip: Leer hoe je SPF records op de juiste manier optimaliseert om SPF recordfouten in de toekomst te voorkomen.
Hoe het probleem met meerdere SPF-records oplossen?
De fout met meerdere SPF-records oplossen is eenvoudig met PowerDMARC! Volg de onderstaande stappen om SPF multiple includes correct te configureren voor uw domein:
Stap 1: SPF Meervoudige Records Fout bevestigen
De eerste stap is controleren op SPF meervoudige records. Meld je gratis aan bij PowerDMARC en gebruik onze SPF record generator tool om de aanwezigheid van deze fout te bevestigen.
U kunt uw record ook handmatig opzoeken in uw DNS. Als u een DNS-hostingprovider zoals Cloudflare, CloudDNS, DNS Made Easy, Namecheap of anderen gebruikt, is het proces niet bij elke provider hetzelfde. De gebruikelijke algemene stappen zijn echter om naar uw DNS-beheerconsole te gaan, uw DNS-zone-editor te openen en op Domeinen beheren te klikken. U kunt uw DNS-records voor SPF vinden in de DNS-zone van uw domein.
Stap 2: De meerdere SPF-records voor één domein verwijderen
Als je domein meerdere records voor SPF bevat, is het tijd om de DNS-records te bewerken en alle records behalve één te verwijderen. Zorg ervoor dat je één SPF-record per domein overhoudt.
Stap 3: SPF Records combineren
Bewerk ten slotte het overgebleven enkele SPF-record om meerdere insluitingen te combineren. Dit is een eenvoudige manier om de fout op te lossen en tegelijkertijd meerdere SPF-records in één record op te nemen.
- Voer uw DNS-beheerconsole in
- Klik om uw SPF-record te bewerken
- In de syntaxis gebruik je het SPF "include" mechanisme om meerdere domeinen op te nemen die je wilt autoriseren. Hieronder staat een voorbeeld van het combineren van SPF-records tot 1:
Je kunt meer "includes" blijven toevoegen aan hetzelfde SPF record om al je diensten van derden te autoriseren. Als je klaar bent, zorg er dan voor dat je je record opslaat in de DNS.
Opmerking: In plaats van het handhavingsbeleid (-all) kun je (~all) configureren voor een mildere en flexibelere aanpak tijdens SPF falen.
Stappen om meerdere SPF-records toe te voegen
Als je meerdere e-mailleveranciers gebruikt voor één domein, is het configureren van meerdere afzonderlijke SPF-records de verkeerde manier om SPF voor hen in te stellen. In plaats daarvan is dit wat u moet doen:
1. Met PowerDMARC kunt u eenvoudig meerdere SPF-records voor uw domein toevoegen. Gebruik onze SPF record generator tool om een gratis record te maken.
2. Voer in het veld "Domeinen of services van derden machtigen die e-mails verzenden namens dit domein. die u wilt machtigen. Dit is een belangrijke stap om SPF-records samen te voegen.
3. Kopieer en plak het gegenereerde SPF-record dat meerdere SPF-records bevat voor je geautoriseerde afzenders in je DNS. Sla het record op.
Het probleem met een SPF Record met meerdere insluitingen
SPF meerdere keren laten opnemen is niet altijd de juiste aanpak. Hoewel het combineren van SPF records op deze manier helpt om van de SPF multiple records fout af te komen, kan het tot andere fouten leiden. Elke e-mail service provider voegt een DNS lookup toe tijdens SPF authenticatie. Het hebben van meerdere insluitingen in je SPF record staat gelijk aan evenveel lookups. Echter, RFC specificeert de maximale lookup limiet voor SPF op 10.
Overschrijding van de SPF 10 lookup limiet kan ook SPF PermError teruggeven en SPF breken.
Om onder de 10 DNS lookup limiet voor SPF te blijven:
- Je kunt je SPF-record handmatig vervlakken. Handmatig afvlakken om alle IP-adressen achter je include-mechanisme door te trekken kan echter leiden tot een lang record dat de tekenreekslimiet voor SPF kan overschrijden.
- Of je kunt kiezen voor SPF macro's. Macro's helpen je om binnen de opzoek- en tekenlengtebeperkingen te blijven.
Gebruik de gehoste SPF-oplossing van PowerDMARC om meerdere SPF-records en andere veelvoorkomende fouten te voorkomen. Wij integreren macro's in uw SPF-record om ervoor te zorgen dat u geniet van foutloze SPF die is geoptimaliseerd en bijgewerkt.
Daarnaast kun je onze DMARC Analyzer configureren om DMARC voor je domeinen te configureren. DMARC helpt je beschermen tegen phishingaanvallen, spoofing en domeinmisbruik.
Laatste woorden
Het hebben van één goed geconfigureerd SPF-record is essentieel voor optimale e-mail deliverability. In deze blog hebben we uitgelegd hoe je SPF-records kunt combineren voor een foutloze SPF-instelling. SPF is een goede eerste stap, maar overweeg ook andere e-mailverificatiemethoden zoals DKIM en DMARC voor een nog betere bescherming.
Om meer te weten te komen over dergelijke domeinbeveiligingsoplossingen om de beveiliging van uw e-mails te vereenvoudigen - neem contact met ons op vandaag nog!
- DMARC MSP Praktijkstudie: CloudTech24 vereenvoudigt domeinbeveiligingsbeheer voor klanten met PowerDMARC - 24 oktober 2024
- De veiligheidsrisico's van het verzenden van gevoelige informatie via e-mail - 23 oktober 2024
- 5 soorten zwendelpraktijken met e-mails van de sociale zekerheid en hoe ze te voorkomen - 3 oktober 2024