SPF-fout oplossen: Overwin SPF te veel DNS opzoekingen limiet
door
Leestijd: 7 min
SPF (Sender Policy Framework) is een e-mailverificatiemethode die helpt je domein te beschermen tegen spoofing. Maar soms kun je tegen een fout aanlopen die SPF Permerror heet - ook bekend als een SPF permanente fout - meestal veroorzaakt door te veel DNS lookups in je SPF record.
Waarom is dit belangrijk? Want als je SPF-record breekt, kunnen je legitieme e-mails in spammappen terechtkomen of helemaal worden geweigerd. Dit kan er ook voor zorgen dat DMARC mislukkenwat de algehele e-mailbeveiliging en deliverability van uw domein beïnvloedt.
Heb je de limiet van 10 zoekopdrachten bereikt? Dit is wat u moet doen. In deze blog leggen we uit wat deze fout veroorzaakt en helpen we je met eenvoudige manieren om het te verhelpen.
Belangrijkste punten
- SPF Permerror geeft aan dat er een fundamenteel probleem is met het SPF-record van een domein, waardoor een nauwkeurige evaluatie niet mogelijk is.
- Het overschrijden van de 10 DNS lookup limiet kan ernstige problemen veroorzaken, zoals het weigeren van e-mail of classificatie als spam.
- Syntaxfouten in het SPF-record kunnen leiden tot Permerror, waardoor zorgvuldige opmaak en verificatie nodig is.
- Te grote SPF-records kunnen de vastgestelde karakterlimieten overschrijden, wat bijdraagt aan deliverabilityproblemen en mogelijke SPF-fouten.
- Het gebruik van SPF-afvlakkingstools kan helpen records te optimaliseren om Permerrors te voorkomen en e-mailverificatie te verbeteren.
Wat is SPF Permerror?
Een SPF Permerror is een permanente fout in je SPF record, wat betekent dat er iets mis mee is waardoor het niet meer werkt.
Een Permerror-resultaat wordt geretourneerd door ontvangende mailservers wanneer uw SPF-record een kritiek probleem heeft waardoor het niet kan worden geëvalueerd, zoals onjuiste syntaxis, te veel DNS-lookups (meer dan de 10-limiet) of ongeldige mechanismen. In tegenstelling tot een gewone SPF "fail" (wat betekent dat een e-mail niet door de authenticatie kwam), geeft een Permerror aan dat het SPF record zelf kapot is of verkeerd geconfigureerd. Dit heeft niet alleen invloed op de deliverability, maar kan ook uw DMARC bescherming verzwakken als SPF het enige mechanisme is dat u gebruikt om uw e-mail af te stemmen.
Belangrijkste verschillen: SPF Fail Vs SPF Permerror
| SPF mislukt | SPF-factor | |
|---|---|---|
| Wat het betekent | Het SPF-record is gevonden en geëvalueerd, maar de afzender is niet geautoriseerd | Het SPF-record kon niet worden geëvalueerd vanwege een fout of verkeerde configuratie |
| Oorzaak | IP van afzender niet vermeld in SPF-record van domein | Gebroken SPF syntaxis, te veel DNS lookups of andere kritieke problemen |
| Type uitgave | Tijdelijk probleem (e-mail niet geautoriseerd) | Permanente fout (SPF-record is ongeldig of onleesbaar) |
| Impact | E-mail kan worden geweigerd of gemarkeerd als spam | E-mail kan worden geweigerd of doorgelaten zonder SPF-validatie |
| DMARC afstemming | Kan DMARC doen mislukken als SPF niet is uitgelijnd | Kan DMARC doorbreken, vooral als SPF je enige afstemmingsmechanisme is |
| Fix | Ga door je afzenderlijst om legitieme afzenders te autoriseren | Het SPF-record moet worden hersteld om de functionaliteit te herstellen |
Waarom heeft SPF een 10 DNS Lookup Limiet?
Je denkt misschien dat de 10 DNS lookup limiet in SPF beperkend is, maar daar is een goede reden voor.
Volgens RFC 7208bestaat deze limiet voornamelijk voor veiligheids- en prestatiedoeleinden. Specifiek helpt het ontvangende mailservers te beschermen tegen Denial-of-Service (DoS) aanvallen veroorzaakt door overmatige DNS queries.
Dit is hoe het misbruikt kan worden:
Een bedreigende actor kan een kwaadaardig SPF-record maken dat honderden DNS-opzoekingen triggert door naar meerdere domeinen of inclusies te verwijzen. Dit kan worden gekoppeld aan een vervalst domein dat zich voordoet als een vertrouwd bedrijf. Elke keer dat een ontvangende server zo'n e-mail probeert te valideren, wordt deze gedwongen om al deze zoekopdrachten uit te voeren, waardoor de server vertraagt of zelfs crasht.
Door DNS lookups te beperken tot 10, helpt SPF:
- De prestaties van e-mailverwerking op peil houden
- Beschermen tegen aanvallen van uitputting van bronnen
- Betrouwbaarheid tegen spoofing verbeteren door beter ontwerp van SPF-records aan te moedigen
Wat veroorzaakt SPF-fouten?
Een SPF Permerror kan worden veroorzaakt door verschillende problemen, waaronder overmatige DNS lookups, syntaxisfouten, verkeerd geconfigureerde records of zelfs te grote SPF entries. Laten we de meest voorkomende oorzaken eens op een rijtje zetten:
1. SPF Syntaxfouten
Een onjuiste opmaak of ongeldige syntaxis in het SPF-record kan leiden tot een Permerror, die een juiste evaluatie verhindert.
Veel voorkomende oorzaken:
- Ontbrekende of verkeerd geplaatste tekens (bijvoorbeeld aanhalingstekens " of dubbele punten 🙂
- Ongeldige of misvormde mechanismen of kwalifiers (bijvoorbeeld, gebruik van include_spf.example.com in plaats van include:spf.example.com)
- Onjuiste macrodefinities of niet-ondersteunde macro's
Voorbeelden:
❌ v=spf1 include_spf.example.com -all → ontbrekende dubbele punt in include
❌ v=spf1 +mx a:mail.example.com -all → + qualifier is onnodig en wordt vaak verkeerd gebruikt
2. Problemen met DNS-configuratie
Hierbij gaat het om problemen met de DNS-setup in verband met je SPF-record.
Veel voorkomende problemen:
- SPF-record dat verwijst naar onbestaande of verkeerd geconfigureerde domeinen
- Ontbrekende SPF-records op domeinen waarnaar wordt verwezen
- Ongeldige of verouderde DNS-recordtypes (bijv. gebruik van SPF-records in plaats van TXT)
Voorbeeld:
Uw domeinverwijzingen omvatten:spf.partner.com, maar spf.partner.com bestaat niet of heeft geen TXT-record, waardoor de SPF-evaluatie mislukt.
3. Te veel DNS-opzoekingen
SPF staat slechts 10 DNS lookups toe tijdens de evaluatie van records, zoals gedefinieerd in RFC 7208, Paragraaf 4.6.4. Dit is een veiligheidsmaatregel om misbruik te voorkomen (bijvoorbeeld Denial-of-Service aanvallen) en evaluaties licht te houden.
Wat telt als een lookup:
- opnemen
- a, mx, ptr
- bestaat, omleiden
Lege zoekopdrachten (query's die geen DNS-gegevens opleveren) zijn ook beperkt tot 2.
Gemeenschappelijke oorzaak:
Een SPF record met veel include: mechanismen of geneste includes die gezamenlijk de 10-lookup limiet overschrijden.
4. Omringend Inclusief
Circular includes treden op wanneer SPF-records in een lus naar elkaar terugverwijzen, waardoor oneindige resolutiecycli ontstaan.
Voorbeeld:
- Domein A: v=spf1 include:domeinB.com -all
- Domein B: v=spf1 include:domeinA.com -all
Deze cirkelvormige verwijzing zorgt ervoor dat SPF-evaluatie mislukt, wat vaak resulteert in een Permerror.
5. Ongeldige mechanismen of kwalificeerders
Het gebruik van niet-erkende of deprecated mechanismen in je SPF-record kan resulteren in een Permerror.
Veelgemaakte fouten:
- Typos zoals ip6v in plaats van ip6
- Niet-ondersteunde mechanismen zoals all:, ptr: verkeerd gebruikt
- Onnodig of onjuist gebruik van + of ? aanduidingen
Voorbeeld:
❌ v=spf1 ptr:mail.example.com -all → ontmoedigd mechanisme
❌ v=spf1 ip4v:192.0.2.0/24 -all → ongeldig mechanisme (ip4v moet ip4 zijn)
6. Te grote SPF-records
SPF-records moeten voldoen aan beperkingen qua grootte:
- Elke tekenreeks in een TXT-record moet ≤ 255 tekens zijn.
- De totale lengte van een TXT-record mag niet langer zijn dan 512 bytes.
Oorzaken van te grote records:
- Te veel IP's, bevat of mechanismen
- Dubbele of onnodige invoer
Voorbeeld:
Een record als v=spf1 ip4:192.0.2.0/24 ip4:198.51.100.0/24 include:spf1.example.com include:spf2.example.com include:spf3.example.com include:spf4.example.com -all kan DNS limieten of grootte beperkingen overschrijden.
Hoe SPF Lookup Overload je e-mails breekt
Als je SPF-record meer dan 10 DNS-opzoekingen veroorzaakt, kan dit de aflevering van je e-mail ernstig verstoren. Dit is wat er kan gebeuren:
- Vertragingen bij levering: E-mailservers kunnen de verwerking vertragen wanneer ze je SPF record proberen te evalueren, waardoor de aflevering vertraagd wordt.
- Time-out fouten: Te veel lookups kunnen leiden tot time-outs tijdens SPF-evaluatie, waardoor berichten stilletjes mislukken of worden verwijderd.
- Afgewezen e-mails: Sommige ontvangende servers kunnen e-mails met SPF Permerror weigeren of markeren om hun infrastructuur te beschermen.
- DMARC mislukt: Als uw DMARC-beleid is gebaseerd op SPF-afstemming, kan een mislukte SPF-controle DMARC doorbreken en de betrouwbaarheid van uw domein verminderen.
Hoe SPF-fouten herstellen (stap voor stap)
Handmatige oplossingen
- Ongebruikte mechanismen verwijderen
Loop elke include: in je SPF-record na en controleer of deze nog steeds nodig is. Als het gekoppeld is aan een service die je niet meer gebruikt, verwijder het dan.
- Vervangen door IP-adressen (indien statisch)
Als een include: gewoon naar een statisch IP of klein IP-bereik wijst, vervang het dan direct door een ip4: of ip6: mechanisme om een DNS lookup te vermijden.
- PTR-mechanismen elimineren
PTR wordt afgeraden door RFC 7208 vanwege prestatie- en betrouwbaarheidsproblemen. Verwijder het volledig om het aantal zoekacties te verminderen en fouten te voorkomen.
- Consolideren omvat domeinen
Sommige diensten (bijv. e-mailplatforms of providers) bieden meerdere SPF-vermeldingen. Controleer hun documentatie, want vaak bieden ze een enkele geconsolideerde vermelding die je kunt gebruiken in plaats van meerdere.
- Gebruik ip4 / ip6 waar mogelijk
Als je de IP's van je verzendservers kent, voeg ze dan direct toe met ip4: of ip6: in plaats van te vertrouwen op mechanismen zoals MX of A die lookups vereisen.
Beste werkwijze: Gebruik een automatische SPF-afvlakkingstool
Automatisch afvlakken van SPF is het proces van het dynamisch omzetten van meerdere "include" verklaringen en andere DNS-gebaseerde lookups in een vereenvoudigde lijst van IP-adressen. Deze aanpak vermindert het aantal DNS-opzoekingen tijdens SPF-controles.
Handmatig SPF vervlakken lijkt misschien een snelle oplossing, maar er kleven serieuze risico's aan. Als je e-mailprovider zijn verzend-IP's wijzigt, zal je SPF-record de wijziging niet weergeven, tenzij je het handmatig bijwerkt. Het vereist dus constante controle en handmatige bewerkingen om compliant te blijven. Een verouderd IP-adres in je geflatteerde record kan ertoe leiden dat SPF mislukt, wat van invloed is op de bezorgbaarheid van e-mail en de afstemming op DMARC.
PowerSPF is onze gehoste SPF-afvlakking- en optimalisatietool die het hele proces automatiseert, zodat je je nooit meer zorgen hoeft te maken over opzoeklimieten of IP-veranderingen.
- Automatisch bijwerken wanneer verkopers IP's wijzigen: Wij houden uw SPF-record in realtime bijgewerkt.
- Eenmalige instelling: Eén keer instellen en vergeten. Geen doorlopend onderhoud.
- Aantal opzoekingen blijft laag: Uw SPF record blijft slank en voldoet aan de RFC richtlijnen en beperkingen.
FAQs
- Kan SPF meer dan 10 lookups hebben als dat nodig is?
Nee, SPF is strikt beperkt tot 10 DNS lookups tijdens evaluatie, zoals gedefinieerd in RFC 7208. Het overschrijden van deze limiet veroorzaakt een Permerror en uw e-mails kunnen worden geweigerd of gemarkeerd als spam.
- Kan ik meerdere SPF-records hebben?
Nee. Je moet slechts 1 SPF-record per domein instellen dat al je verzendbronnen voor dat domein autoriseert. Meerdere records kunnen ze allemaal ongeldig maken en fouten veroorzaken.
- Wat is de veiligste manier om Permerror te repareren?
De veiligste manier om Permerror op te lossen is door een gehoste SPF-oplossing zoals PowerSPF te gebruiken om SPF dynamisch te optimaliseren, met deskundige ondersteuning die 24/7 beschikbaar is.
- Is flattening veilig voor dynamische IP's?
Als je provider dynamische IP's gebruikt, kan handmatig afvlakken snel verouderd raken, waardoor SPF mislukt. Voor dynamische of vaak veranderende IP's is de veiligste optie het gebruik van een gehoste oplossing die automatisch IP's voor je ophaalt en bijwerkt.
"Geweldig product en geweldig team"
Hakob Sharabkhanyan (CEO van Hacktech)
"Fantastisch bedrijf, product en MSP-leverancier "
Bill Barnett (Oprichter en voorzitter van Clearview IT)
Laatste aandachtspunten
SPF Permerror kan invloed hebben op je deliverability, domeingezondheid en beveiliging. Eenvoudige inspanningen zoals het verwijderen van overbodige mechanismen, het vervangen van mechanismen door IP-bereiken en het monitoren van deliverability kunnen al veel doen.
En voor organisaties die het gedoe willen vermijden en tijd willen besparen, zijn er gehoste oplossingen zoals PowerSPF. Wilt u weten hoe het werkt en hoe het uw authenticatie kan verbeteren? Plan vandaag nog een gratis demo vandaag nog in met een van onze interne experts!
Cyberbeveiligingsexpert, CEO bij PowerDMARC
Maitham is een technisch ondernemer, cyberbeveiligingsexpert, CEO en oprichter van PowerDMARC met meer dan 15 jaar ervaring in de sector. Maitham heeft een Global MBA van de Universiteit van Manchester en diverse professionele certificeringen waaronder CISSP, CISM, CRISC en ISC2 CCSP.
Laatste berichten van Maitham Al Lawati (Bekijk alle berichten)
- SPF mislukt: Wat betekent het en hoe los je het op? - 29 september 2025
- Beleid voor aanvaardbaar gebruik: Belangrijkste elementen en voorbeelden - 9 september 2025
- Wat is CASB? Cloud Access Security Broker uitgelegd - 8 september 2025
