SPF macro's zijn een effectieve en belangrijke Sender Policy Framework functie die wordt gebruikt wanneer domeineigenaren een meer dynamisch en schaalbaar SPF record nodig hebben voor het verifiëren van hun e-maildomeinen. De SPF macro's functie is een onderdeel van de SPF record syntaxisen definieert tekenreeksen die worden vervangen door metadata van individuele e-mails die SPF-validatie vereisen. Dit helpt op zijn beurt bij het maken van vereenvoudigde SPF-records, waardoor het genereren van lange en ingewikkelde SPF-records wordt vermeden.
Wij van PowerDMARC hebben onze veelgeprezen SPF beheeroplossing - PowerSPF - zo ontworpen dat ze gebruik maakt van de technologieën SPF Flattening en SPF Macros. PowerSPF op een manier die gebruik maakt van SPF Flattening en SPF Macros technologieën om uitgebreide flexibiliteit te bieden met betrekking tot SPF authenticatie en record optimalisatie. Door de jaren heen is PowerSPF de favoriet van klanten geworden vanwege het gebruiksgemak en de effectiviteit.
Voor meer informatie kun je het officieel IETF-document.
SPF macro's uitgelegd
SPF macro's zijn tekenreeksen die gebruikt kunnen worden om je SPF record configuratie te vereenvoudigen door mechanismen te vervangen die gedefinieerd zijn in het SPF DNS TXT record, zoals uitgelegd onder RFC 7208, sectie 7.
SPF-records zijn meestal eenvoudig en instructies voor de servers van de ontvangers over de behandeling van onwettige e-mails die van jouw domein komen, kunnen worden vastgelegd met SPF-mechanismen, kwalificeerders en modificeerders. Er zijn echter bepaalde situaties waarin SPF-mechanismen niet volstaan en SPF-macro's in beeld moeten worden gebracht.
SPF macro's worden weergegeven door een procentteken (%) en bevatten een combinatie van twee of meer letters, modifiers en scheidingstekens. Tijdens het SPF-verificatieproces worden de SPF macro's geëvalueerd en vervangen door hun overeenkomstige waarden zoals uitgelegd in
De %s en %d geven bijvoorbeeld respectievelijk het adres van de afzender en de domeinnaam aan die gekoppeld zijn aan de gecontroleerde identiteit.
Modifiers zoals r,l, of o worden toegepast om bepaalde elementen van het adres of domein te extraheren, en scheidingstekens zoals - of . helpen verschillende elementen binnen de macro te scheiden.
Soorten SPF macro's
SPF macro's worden aangeduid door verschillende losse alfabetten of karakters die worden omsloten door accolades { } en voorafgegaan door een procent (%) teken, dat verwijst naar specifieke mechanismen binnen je SPF record. Dit zijn de kernmacro's.
- %{s}: The “s” Macro represents the sender’s email address. Example- [email protected].
- %{l}: It’s used to denote the local part of the sender. Example- Mark.
- %{o}: This highlights the sender’s domain. Example: domain.com.
- %{d}: Similar to “o”, this Macro represents the authoritative sending domain. In most cases it is the same as the sender’s domain however, it may differ in some cases.
- %{i}: It’s used to extract the IP address of the sender of the message, e.g. 192.168.1.100
- %{h}: The hostname specified by the HELO or EHLO command used during the SMTP connection when the message is being sent is referred to by the %{h} macro.
Er zijn nog veel meer macro's die je in je record kunt specificeren, maar we hebben enkele veelvoorkomende opgesomd.
Hoe werken SPF macro's?
Met SPF-macro's kunnen domeineigenaars verwijzingen naar bepaalde mechanismen specificeren in hun SPF-record en zo deze mechanismen vervangen. Tijdens een DNS query door de ontvangende MTA, worden de referenties dan gebruikt om de mechanismen te extraheren en uw record uit te breiden, wat helpt om beter beheersbare en aanpasbare SPF-records te maken.
Hieronder staat een voorbeeld van macro's die worden gebruikt in een SPF-record.
“v=spf1 include:%{i}_.%{d}._spf.powerdmarc.com ~all”
- Hier is de include: mechanisme de SPF-macro's.
- Er zijn twee SPF macro's, elk vertegenwoordigd door een tekenreeks van procentteken, linker accolade, macroletter en de rechter accolade. In het bovenstaande voorbeeld geeft %{i} het IP-adres van de afzender aan en %{d} het domein van de afzender uit het 'MAIL FROM' commando.
- Als het IP-adres 192.168.1.100 het IP-adres van het verzendende domein is, wanneer een e-mail vanaf dit IP-adres wordt verzonden, start de ontvangende server een DNS-query om het SPF DNS-record van het domein op te zoeken.
- Zodra de ontvanger het SPF-record van het verzendende domein opzoekt, komt hij SPF-macro's tegen die vervolgens worden vervangen door de bijbehorende waarden.
- Dit uitgebreide SPF-record wordt vervolgens onderzocht om te bepalen of de e-mail wel of niet door de SPF-validatie komt.
Wanneer worden macro's gebruikt in uw SPF-record?
SPF macro's kunnen worden gebruikt in een reeks verschillende scenario's, afhankelijk van de behoeften van domeineigenaren. Ze kunnen van pas komen als je een complexe e-mailverificatie-infrastructuur wilt vereenvoudigen, verschillende e-mailverwerkingsservices van derden wilt gebruiken of gewoon de grootte van je SPF-record wilt verkleinen.
Hieronder staan enkele veelvoorkomende gevallen waarin SPF-macro's voordelig kunnen zijn:
Organisaties met een multidomeininfrastructuur
Organisaties op bedrijfsniveau die met meerdere domeinen werken zijn de meest geschikte gebruikers voor SPF macro's, hoewel ze door organisaties van alle groottes gebruikt kunnen worden. Macro's bieden aanzienlijk meer flexibiliteit en effectieve optimalisatie van SPF-records in vergelijking met traditionele flattening-methodes, om ervoor te zorgen dat SPF naadloos functioneert, zelfs in omgevingen met meerdere domeinen. Hierdoor hoef je ook niet meerdere SPF-records aan te maken.
Grote e-mailinfrastructuren
Bedrijven met gecompliceerde e-mailinfrastructuren moeten mogelijk een aantal SPF-mechanismen opnemen, die het best geoptimaliseerd kunnen worden met SPF-macro's. Deze macro's bieden een manier om verwijzingen naar mechanismen te definiëren, zodat het record niet te lang wordt en onder de RFC gespecificeerde lengte van 512 bytes blijft.
Diensten van derden
Organisaties die verschillende e-mailproviders van derden gebruiken, kunnen nu gerust zijn in de wetenschap dat SPF niet zal breken, dankzij de opname van SPF-macro's die eenvoudige optimalisatie van third-party includes mogelijk maken en er tegelijkertijd voor zorgen dat je record de toegestane limieten voor DNS en void lookups niet overschrijdt.
Organisaties lossen SPF-uitdagingen op met SPF macro's
Je kunt meerdere SPF-macro's in een record opnemen en veelvoorkomende problemen verhelpen die naar voren kwamen tijdens SPF-inspecties die handmatig of met behulp van een SPF checker. Dit is wat je mogelijk kunt doen:
1. Voorkom lange SPF-records die Temperror veroorzaken
Als je SPF record meerdere include: statements heeft, kan het voorkomen dat je record te lang wordt. Dit is echter geen permanente oplossing. Door SPF macro's te gebruiken in de SPF setup van je domein, elimineer je de kans dat je record de lengte limiet, gespecificeerd door de RFC voor DNS TXT records (512 karakters), overschrijdt.
2. Beperk DNS en Void Lookups en beperk Permerror
Organisaties die meerdere verzendbronnen en e-mailleveranciers van derden gebruiken, lopen het risico om RFC-gespecificeerde lookup-limieten voor DNS-query's te overschrijden. Dit komt omdat elke leverancier minstens 1 of meerdere lookups toevoegt. Dit kan zich opstapelen en ervoor zorgen dat uw SPF-record wordt verbroken, wat resulteert in SPF fout.
Door SPF macro's te gebruiken om verwijzingen naar IP-adressen of domeinen van deze externe leveranciers toe te voegen, kun je onbevoegde bronnen beperken en er tegelijkertijd voor zorgen dat je onder de lookup-limieten blijft.
Profiteer van macro's in uw SPF-instellingen met PowerSPF
SPF macro's zijn uitgebreid ondersteund door MTA's om dynamiek en schaalbaarheid mogelijk te maken op het gebied van SPF authenticatie, het aanmaken van records en beheer. PowerSPF integreert SPF Macro's naadloos zodat onze klanten SPF records kunnen genereren met verbeterde flexibiliteit.
Waarom is het afvlakken van je SPF Record niet genoeg?
De traditionele SPF-afvlakmethode blijkt in de meeste gevallen effectief te zijn bij kleine tot middelgrote organisaties met eenvoudigere opstellingen en minder SPF-mechanismen. Het kan echter steeds moeilijker worden als het aantal mechanismen toeneemt, wat leidt tot de volgende ongunstige situaties:
- Het aantal DNS lookups kan maximaal 10 zijn.
- De lengte van het laatste DNS-record is mogelijk langer dan 512 tekens (maximaal toegestane grootte voor TXT DNS-records)
- Geautoriseerde IP's en verzendbronnen zijn openbaar zichtbaar, wat privacyproblemen oplevert
SPF macro's - een betere aanpak
Macro's in SPF zijn ontwikkeld met ondernemingen met complexe SPF-configuraties in gedachten, maar zijn net zo effectief voor kleine en middelgrote organisaties. Macro's in SPF helpen u uw records te optimaliseren en efficiënter te beheren in vergelijking met de typische flattening-aanpak. Dit is hoe:
- Macro's in SPF beperken je DNS en void lookups om onder de maximale limieten van respectievelijk 10 en 2 te blijven.
- Het houdt de tekenlengte van je record bij, zodat het niet over de limiet van 512 tekens
- Geautoriseerde IP's en verzendbronnen worden vervangen door karakterreferenties, waardoor ze verborgen blijven voor het publiek
SPF afvlakken vs SPF macro's
Initieel SPF-record (5 opzoekingen) | SPF macro's (1 opzoeken) | SPF afvlakken (2 opzoekingen) |
v=spf1 include:_spf.google.com include:zcsend.net -all | v=spf1 exists:%{i}.abcde12345.macrospf.powerspf.com -all | abcde12345.powerspf.com: v=spf1 ip6:2c0f:fb50:4000::/36 ip6:2a00:1450:4000::/36 ip6:2800:3f0:4000::/36 ip6:2607:f8b0:4000::/36 ip6:2404:6800:4000::/36 ip6:2001:4860:4000::/36 ip4:74.125.0.0/16 ip4:35.191.0.0/16 ip4:173.194.0.0/16 ip4:209.85.128.0/17 ip4:72.14.192.0/18 ip4:64.233.160.0/19 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ip4:172.217.192.0/19 ip4:172.217.128.0/19 ip4:172.217.0.0/19 ip4:108.177.96.0/19 ip4:66.249.80.0/20 ip4:66.102.0.0/20 ip4:172.253.112.0/20 ip4:172.217.32.0/20 include:_s1.abcde12345.powerspf.com -all _s1.abcde12345.powerspf.com: v=spf1 ip4:172.217.160.0/20 ip4:172.253.56.0/21 ip4:108.177.8.0/21 ip4:130.211.0.0/22 ip4:136.143.160.0/23 ip4:135.84.82.0/23 ip4:35.190.247.0/24 ip4:165.173.128.0/24 ip4:135.84.81.0/24 -all |
Probeer onze SPF-oplossingen vandaag nog - neem contact met ons op voor een één-op-één demonstratie met een ervaren domein- en e-mailbeveiligingsdeskundige!
- Statistieken over e-mail phishing en DMARC - 22 november 2024
- Naleving en vereisten voor DMARC - 21 november 2024
- Wat is DMARC-beleid? Geen, quarantaine en afwijzen - 15 september 2024