Zet uw complexe SPF-record om naar één enkele include. Wordt automatisch bijgewerkt wanneer uw e-mailproviders hun IP-adressen wijzigen. Volledig automatische aanpak. Geen DNS-aanpassingen. Geen onderhoud.
SPF-afvlakking is het proces waarbij een complex SPF-record (dat meerdere `include:`-, `a`-, `mx`- of `redirect=`-mechanismen bevat) wordt omgezet in een vereenvoudigde versie waarin de opgeloste IP-adressen direct worden vermeld. In plaats van ontvangende mailservers te vragen op te zoeken welke IP-adressen elk van je e-mailproviders gebruikt, lost een afgevlakt record dat allemaal vooraf op en schrijft het antwoord rechtstreeks in je DNS.
Telkens wanneer een ontvangende mailserver je SPF-record controleert, volgt deze elk `include:`, `a`- of `mx`-mechanisme om de geautoriseerde IP-adressen te vinden. Volgens RFC 7208 (de officiële SPF-specificatie) is deze reeks van resoluties beperkt tot maximaal 10 DNS-lookups. Als die limiet wordt overschreden, retourneert SPF een PermError (permanente fout), waardoor je legitieme e-mails doorgaans de authenticatie niet doorstaan en in de spamfolder terechtkomen of direct worden geweigerd.
Wanneer er meer dan 10 lookups nodig zijn om je record volledig te verwerken, stoppen mailservers met de evaluatie na de 10e lookup, waardoor afzenders die daarna worden vermeld simpelweg niet worden gecontroleerd. SPF retourneert dan een PermError, en afhankelijk van je DMARC-beleid kunnen e-mails van die niet-gecontroleerde afzenders in quarantaine worden geplaatst of worden geweigerd. De fout wordt meestal niet gemeld: je ontvangt geen bouncebericht. Je e-mails komen gewoon niet meer aan.
include:spf.protection.outlook.cominclude:_spf.google.cominclude:spf.mandrillapp.cominclude:_spf.salesforce.cominclude:sendgrid.netinclude:mail.zendesk.com
Door het ‘afvlakken’ worden al die ‘include:’-mechanismen omgezet naar hun onderliggende IP-adressen en rechtstreeks in je record geschreven. In theorie worden hierdoor de geneste lookups volledig geëlimineerd. In de praktijk heeft een statisch afgevlakt record een voorspelbare levensduur: zodra een van je e-mailproviders zijn IP-bereiken wijzigt, is uw afgevlakte record onjuist.
Google, Microsoft, Mailchimp en SendGrid werken allemaal hun verzendinfrastructuur bij zonder de domeineigenaren die hiervan afhankelijk zijn hiervan op de hoogte te stellen.
DNS TXT-records hebben praktische groottebeperkingen (255 bytes per tekenreeks). Een volledig uitgewerkt record met veel IP-bereiken kan deze limieten overschrijden, wat tot validatiefouten leidt.
Elke keer dat je een nieuwe e-maildienst toevoegt, voer je een re-flatten uit. Elke keer dat je er een verwijdert, voer je een re-flatten uit. Naarmate de infrastructuur groeit, wordt dit onhoudbaar.
De SPF-standaard voorziet niet in een meldingsmechanisme. Wanneer een provider IP-adressen verplaatst, merk je dat pas als de bezorgbaarheid al is afgenomen.
De SPF-flattening-tool van PowerDMARC maakt deel uit van de door PowerSPF gehoste SPF-dienst en voert het volledige proces automatisch uit, waarbij uw record up-to-date blijft naarmate uw e-mailinfrastructuur verandert.
Meld je aan en voeg je domein toe. PowerDMARC detecteert je huidige SPF-record direct automatisch, zonder dat je iets handmatig hoeft in te voeren.
Bekijk precies hoeveel DNS-lookups je record gebruikt, welke diensten hier het meest aan bijdragen en of je risico loopt op een PermError.
Alle `include`-opdrachten worden omgezet naar hun huidige IP-adressen en samengevoegd tot één geoptimaliseerde `include`. Je aantal daalt naar 1.
Publiceer het nieuwe record. PowerDMARC houdt uw leveranciers in de gaten en past de gegevens automatisch aan wanneer IP-adressen veranderen, zodat deze nooit verouderd raken.
Operationele knelpunten en verborgen wrijving als gevolg van handmatige registratie.
Als je diensten van derden handmatig toevoegt, overschrijdt je DNS al snel de limiet van 10 opzoekingen, waardoor de e-mailbezorging zonder waarschuwing wordt verstoord.
Wanneer leveranciers hun onderliggende IP-adressen bijwerken, raakt uw handmatig aangemaakte statische record ongemerkt verouderd, totdat u merkt dat de bezorging niet meer goed verloopt.
Door subrecords handmatig uit te vouwen, worden de tekenreeksen snel veel langer, waardoor de strikte limiet van 255 tekens voor afzonderlijke DNS-tekenreeksen gemakkelijk wordt overschreden.
Typefouten, onjuiste opmaak of het verkeerd overnemen van lange reeksen IP-adressen leiden tot ernstige problemen op het gebied van beveiliging en afleverbaarheid.
Er zijn voortdurende handmatige controles, monitoring via spreadsheets en ontwikkeltijd nodig, alleen al om standaard bedrijfsapplicaties bij te houden.
Een geautomatiseerde, efficiënte beveiligingsinfrastructuur binnen uw eigen omgeving.
Geavanceerde dynamische toewijzing zorgt ervoor dat talrijke opzoekacties automatisch en op veilige wijze worden teruggebracht tot onder de maximale drempel van 10 opzoekacties die het protocol toestaat.
Achtergrond: geautomatiseerde controlescripts detecteren wijzigingen door systeemleveranciers onmiddellijk en zorgen ervoor dat netwerkupdates binnen enkele minuten naadloos worden bijgewerkt.
Door middel van intelligente algoritmische tekstblokomloop worden overbodige syntaxisruimtes verwijderd, waardoor records worden gecomprimeerd om het aantal tekens te minimaliseren.
Maakt een einde aan risicovolle, handmatige aanpassingen aan de structuur, waardoor softwareregels de configuraties van uw platform systematisch en foutloos kunnen controleren.
Implementeer één permanente, statische configuratie-handle voor de engine en zorg ervoor dat de authenticatieparameters voor het digitale domein op de lange termijn continu worden beveiligd.
SPF-flattening is een legitieme techniek, maar er zijn risico’s aan verbonden die je goed moet begrijpen voordat je erop vertrouwt, vooral als je van plan bent het record handmatig bij te houden.
Wijzigingen in IP-adressen — Grote providers wijzigen regelmatig hun reeksen uitgaande IP-adressen; wanneer dat gebeurt, voldoet e-mail vanaf de nieuwe IP-adressen onmiddellijk niet meer aan de SPF-controle, en je merkt het pas als de bezorgbaarheid afneemt.
Record-opblazing en DNS-limieten — Een afgevlakt record voor een organisatie met veel diensten kan uitgroeien tot honderden IP-vermeldingen, waardoor praktische groottelimieten worden overschreden en een Permerror ontstaat.
Onderhoudslast — Een handmatige registratie is geen eenmalige oplossing. Als je een dienst toevoegt, een dienst verwijdert of een leverancier de infrastructuur laat bijwerken, moet je de gegevens opnieuw op een plat niveau brengen en opnieuw publiceren.
Geef alleen actieve, legitieme afzenders toestemming — Controleer vóór het afvlakken je gegevensbestand en verwijder verwijzingen naar diensten die je niet meer gebruikt. Elke overbodige vermelding draagt bij aan het aantal zoekopdrachten en vergroot het aanvalsoppervlak.
Houd de slagings- en mislukkingspercentages van SPF bij in DMARC-rapporten — Geaggregeerde rapporten laten precies zien welke bronnen slagen en welke mislukken. Onverklaarbare mislukkingen na het ‘flatten’ duiden meestal op een verouderd IP-bereik.
Gebruik SPF in combinatie met DKIM en DMARC — SPF alleen is niet voldoende om spoofing te voorkomen. Voor een goede authenticatie zijn alle drie nodig: SPF en DKIM om de gegevens op elkaar af te stemmen, en DMARC om vast te leggen wat er gebeurt als deze twee falen.
Controleer de geldigheid opnieuw na elke wijziging in de infrastructuur — Telkens wanneer je een e-maildienst toevoegt of verwijdert, moet je je record controleren met een SPF-checker voordat je ervan uitgaat dat het nog steeds geldig is.
Systeembeheerder
“PowerDMARC heft de limiet op het aantal SPF-opzoekingen voor onze domeinen op dankzij de gehoste SPF; we hoeven slechts één SPF-record in onze DNS te publiceren.”
Voorzitter
"PowerDMARC helpt veel met SPF-fouten, in het bijzonder door het gemakkelijk te maken om "SPF Folding" te doen, wat vaak nodig is voor klanten die meer SPF includes nodig hebben dan anders technisch is toegestaan."
Consultant op het gebied van technologiebeveiliging
"Met SPF-afvlakking konden we de SPF gemakkelijk uitbreiden om de specifieke kenmerken van het record te inspecteren."
SPF-vervorming hoeft geen terugkerend probleem te zijn. Met onze tool is het een fluitje van een cent!
