Te vermijden fouten bij het configureren van SPF-instellingen

Blog

Veel voorkomende fouten in uw SPF-instellingen kunnen uw record volledig ongeldig maken en uw authenticatie-inspanningen belemmeren. Dit is wat u moet doen.

door Ahona Rudra

Leestijd: 4 min
Te vermijden fouten bij het configureren van SPF-instellingen
Inhoudsopgave-

SPF validatie is belangrijk voor een betere e-mail deliverability en om je domein te beschermen tegen phishing en spam aanvallen. SPF-instellingen zijn echter ingewikkeld en je kunt de fout in gaan bij het configureren ervan. Door deze veelvoorkomende fouten op te lossen en te vermijden, zorg je ervoor dat er geen valse positieven zijn en DMARC correct voldoet aan uw domein dat e-mail verzendt.

Belangrijkste conclusies

  1. Er mag maar één SPF-record per domein bestaan om leveringsproblemen te voorkomen.
  2. Het overschrijden van de limiet van 10 DNS lookups kan leiden tot SPF validatiefouten.
  3. Het 'all' mechanisme moet aan het einde van je SPF record staan voor een goede werking.
  4. Vermijd het gebruik van het 'ptr' mechanisme omdat dit wordt afgeraden en prestatieproblemen kan veroorzaken.
  5. SPF-records vereisen zorgvuldig onderzoek en nauwkeurige informatie om een goede postbezorging te garanderen.

7 veelgemaakte fouten om te vermijden bij het configureren van SPF-instellingen

Sommige DNS-mechanismen worden gebruikt om de IP's op te geven van systemen die e-mails mogen versturen met een e-mail retourpadadres. Maar hun onjuist gebruik veroorzaakt fouten zoals: overschrijding van de grootte van het SPF-record, meer dan 10 DNS-opzoekingen, meer dan 2 onopgeloste DNS-opzoekingen, enz.

We hebben veelvoorkomende SPF-fouten opgesomd om je te helpen ze te vermijden bij het configureren van SPF-instellingen.

Fout 1: Meerdere SPF Records

Er moet één SPF entry per domein zijn, anders zullen ontvangende servers beide weigeren. Verwijder SPF entries die momenteel niet in gebruik zijn, bijvoorbeeld- verouderde diensten met actieve SPF entries.

U kunt deze fout in de SPF-instelling oplossen door twee of meer records samen te voegen tot één. Stel dat een gebruikersdomein een SPF-record heeft en een Elastic Email SPF-record bevat, maar niet door de verificatiecontroles komt. De mogelijke reden hiervoor is dat er twee records op het domein aanwezig zijn. 

v=spf1 a mx include:_sampledomain1.com include:_spf.elasticemail.com ~all

v=spf1 a mx include:_sampledomain2.com ~all

U kunt dit oplossen door ze samen te voegen tot één record zoals:

v=spf1 a mx include:_sampledomain1.com include:_sampledomain2.com include:_spf.elasticemail.com ~all

Fout 2: Te veel DNS-opzoekingen

Er is een limiet van 10 'include' lookups, wat betekent dat je niet meer dan 10 verwijzingen naar andere domeinen kunt genereren. Elk voorkomen van de parameters "include", "a", "mx", "ptr", "exists" en "redirect" genereert een lookup. Bovendien, als een domein waarnaar verwezen wordt in een 'include' een andere parameter bevat, wordt deze ook meegeteld voor de 10 lookup limiet. Het overschrijden van de lookup limiet is dus een van de meest voorkomende fouten bij het configureren van SPF instellingen.

U kunt dit oplossen door 'omvat' en verwijzingen naar inactieve domeinen.

Beveiliging vereenvoudigen met PowerDMARC!

15 dagen op proefBoek een demo

Fout 3: Toegeeflijk alle Mechanisme

Een SPF-record wordt van links naar rechts geïnterpreteerd, en dealle mechanisme zal overeenkomen met de 'alle afzenders die niet overeenkomen met de voorgaande mechanismen. Er wordt voorgesteld om de 'all' mechanisme aan het einde van uw SPF record te plaatsen, en het te gebruiken met het ~ (softfail) of - (fail) voorvoegsel. Wanneer geen prefix is ingesteld, wordt standaard de + (pass) gebruikt.

Fout 4: Het gebruik van de ptr mechanisme

De SPF 'ptr mechanisme wordt gebruikt voor reverse DNS lookup die de hostnaam teruggeeft aan het bijbehorende IP-adres. Deze informatie is vooral nuttig voor B2B-merken. Maar dit mechanisme heeft betrouwbaarheidsproblemen en vormt een belasting voor de reverse DNS-servers en de daarop aangesloten e-mailsystemen.

Daarom raadt RFC7208 het gebruik van de 'ptr' mechanisme. In de meeste gevallen kunt u het vervangen door de 'a' mechanisme.

Fout 5: Het gebruik van mx Mechanisme

Gebruik 'mx' met domeinnamen en niet met mailservernamen. Met mx:mailserver.sample.com wordt als onjuist beschouwd, tenzij u daadwerkelijk SPF-validatie vereist om alle hosts op te zoeken die mail accepteren voor het domein 'mailserver.sample.com'. In de meeste gevallen zullen die hosts er niet zijn, omdat 'mailserver.sample.com' zelf een host is en geen domein.

U zult dit niet tegenkomen als een syntaxfout, maar het komt niet zomaar ergens mee overeen.

De juiste manier om te valideren tegen het MX-record voor 'sample.com' is mx:sample.com. Wanneer u de hostnaam of het IP-adres van een bepaalde mailserver moet definiëren, a:mailserver.sample.com of ip4:x.x.x.x moet worden gebruikt.

Fout 6: Een SPF Record aanmaken zonder goed onderzoek

Dit geldt vooral voor ISP's. Maak geen records aan met halve informatie over het domein, de eigenaar en het merk waartoe het behoort. Onderzoek welke e-mailserver zij gebruiken, anders zou u kunnen eindigen met het blokkeren van hun uitgaande e-mail afleveringspad van hun in-office mail server.

Fout 7: typefouten

Voorkom veelgemaakte fouten bij het configureren van SPF-instellingen door het SPF-record dubbel te controleren op typefouten. U typt misschien 'inlcude' in plaats van 'include'. Dit kan het hele record ongeldig maken.

Fout 8: Geen SPF Records publiceren voor HELO-namen die door uw e-mailservers worden gebruikt

Verifying HELO or EHLO names is encouraged by the SPF RFC. HELO or its developed version EHLO is used when Mail from is <> despite the recipient’s failure in doing 100% HELO checking.

Het publiceren van een HELO protocol omvat het genereren van een SPF record dat overeenkomt met de HELO FQDN die uw mailserver gebruikt. Bijvoorbeeld: mailserver.sample1.com

In het algemeen moet het een volledig andere SPF-regel zijn dan de regel die het Van-adres in uw domein controleert dat gekoppeld is aan "sample1.com".

Fout 9: TXT Record Inhoud niet weergegeven met dubbele aanhalingstekens

De inhoud van een DNS TXT-record staat altijd tussen dubbele aanhalingstekens ("-"), maar deze mogen nooit deel uitmaken van de eigenlijke DNS-recordinhoud. Deze aanhalingstekens worden alleen gebruikt om het begin en einde van een TXT-record te scheiden.

Een SPF-record moet beginnen met v=spf1 maar als het begint met "v=spf1wordt het helemaal niet herkend.

Nog steeds een probleem?

Elke wijziging van de SPF-instellingen heeft enige tijd nodig om zich via het internet te verspreiden. Het kan wel 72 uur duren. Maar als u nog steeds problemen ondervindt, gebruik dan onze gratis SPF record checker of neem contact op met ons team van experts op [email protected].

Nieuwste berichten van Ahona Rudra (zie alle)
Hoe gemakkelijk is het om e-mail te vervalsen?Hoe gemakkelijk is het om e-mail te vervalsenWat is Bestandsloze malwareWat is bestandloze malware?