SPF-fout bij validatie
Het Sender Policy Framework (SPF) is een e-mailverificatiesysteem dat domeineigenaren en organisaties gebruiken om e-mails te verifiëren die door andere bronnen zijn verzonden om spoofing en phishingpogingen te voorkomen (bekijk 2022 phishing statistieken) op hun domeinen te voorkomen. Dergelijke records kunnen echter verkeerd worden geconfigureerd, wat resulteert in verificatiefouten zoals "SPF validatiefout". Een situatie als deze kan tijdrovend en kostbaar zijn voor het bedrijf.
Om een foutloos SPF record aan te maken kunt u gebruik maken van onze SPF record generator tool gebruiken. Dit artikel gaat dieper in op de verschillende redenen waarom SPF validatie fouten kunnen optreden en hoe deze op te lossen.
Wat is een SPF-validatiefout?
Het SPF-record bevat een lijst van IP-adressen voor servers die een domeineigenaar heeft toegestaan namens hem e-mails te verzenden. De ontvangende server zal alleen e-mails accepteren van IP-adressen die in het SPF-record staan.
Als een domein een e-mail verstuurt vanaf een IP-adres dat niet in het SPF-record staat, ontvangt de domeineigenaar een ongeldig SPF-record afleverstatusrapport.
"Fout 550 - Bericht geweigerd vanwege mislukte SPF-controle."
Soorten SPF-fouten
- Pas: Het IP-adres van de afzender van het domein mag een e-mail verzenden.
- Geen: Dit betekent dat het domein geen SPF-record heeft. De server geeft een 'SPF None' foutmelding als hij de domeinnaam niet kan oplossen in het DNS of het juiste SPF record op het domein niet kan vinden. Met andere woorden, als een SPF-record ontbreekt of de server het niet kan vinden, wordt een SPF Geen-fout geretourneerd. Dit probleem kan worden opgelost door een geldig SPF-record te publiceren/toe te voegen aan het domein van de afzender.
- Neutraal: Wanneer de domeineigenaar niet wil beweren dat de verzendende IP-adressen zijn toegestaan, worden SPF neutrale berichten afgeleverd. Het feit dat het SPF record de eindtag '?all' gebruikt, bewijst het argument. Het is bijna hetzelfde als een ontbrekend SPF record.
- Temperror: Dit kan een fout zijn die veroorzaakt wordt door een kortstondig probleem zoals een DNS time-out of soortgelijke problemen tijdens de SPF validatieprocedure. Het betekent niet dat het SPF record ongeldig of niet beschikbaar is of dat de SPF record validatieprocedure mislukt is. Je hoeft je geen zorgen te maken als je maar van één mailserver een SPF temperror ontvangt. U moet echter uw SPF-record dubbel controleren als u regelmatig dergelijke meldingen begint te ontvangen.
- Fout: Wanneer de mailservers de SPF-records niet correct kunnen controleren, geven ze deze SPF PermError berichten. Deze problemen worden meestal veroorzaakt door typefouten of syntaxisproblemen.
- Softail: De afzender is geautoriseerd of niet geautoriseerd om e-mail te versturen vanaf het domein. De host kan 'waarschijnlijk niet goedgekeurd' zijn als het domein geen duidelijk en agressief beleid heeft opgesteld dat resulteert in een 'fail'. Het werkt door een "all" mechanisme aan het SPF record te koppelen. Elk IP-adres zal bij beoordeling een 'SPF Softfail' resultaat opleveren. Het SPF Soft fail resultaat is in feite een zwakke verklaring. De DMARC leest het SPF Softfail resultaat als een 'Pass' of 'Fail', afhankelijk van de instellingen van de e-mailserver, net als het SPF Neutral resultaat.
- Mislukt: De 'SPF Fail' verklaring, in tegenstelling tot 'SPF Softfail', is een expliciete of definitieve claim dat de host het domein niet mag gebruiken. Deze voorwaarde wordt geïmplementeerd in het SPF record met de '-all' techniek. Als een willekeurig IP-adres wordt gebruikt, zal dit een 'SPF misluktresultaat opleveren wanneer de SPF-verificatiecontrole wordt uitgevoerd. Deze situatie wordt door alle domeinen met DMARC geïmplementeerd hetzelfde behandeld en wordt geïnterpreteerd als 'Fail'.
Redenen voor SPF-fout bij validatie
Veel voorkomende redenen voor SPF Validation Error zijn:
- Berichtenscanners hebben moeite met het parseren van bepaalde gegevens uit het SPF-record
- Uw DNS heeft nog geen tijd gehad om uw nieuw toegevoegde SPF-record te renderen (dit kan tot 72 uur duren, afhankelijk van uw DNS hosting provider)
- U hebt uw IP-lijst niet bijgewerkt voor nieuwe verzendbronnen van derden
- Domeineigenaren hebben geen toegang om het MX record van hun domein te wijzigen of een afzender van derden te gebruiken zoals SendGrid, MailPoet, enz.
- De DNS-server kan de domeinnaam niet omzetten in het DNS.
- Het is mogelijk dat de controle talrijke SPF vermeldingen op het domein heeft gevonden.
- Een enkele SPF-controle kan meer dan tien DNS-lookups hebben omvat.
- De SPF-controle kan meer dan twee "void" lookups in een enkele SPF-controle hebben geïdentificeerd.
- Het SPF record kan syntactisch onjuist zijn.
Hoe SPF validatiefout te voorkomen
De meest voorkomende validatiefout wordt veroorzaakt wanneer de SPF records niet zijn bijgewerkt. Controleer uw SPF-record dubbel om er zeker van te zijn dat u het hebt bijgewerkt of uitgeschakeld als het niet langer wordt gebruikt door een e-mail te sturen naar de eigenaar van uw domein. Als u echter onlangs bent overgestapt op een andere e-mailprovider (bijvoorbeeld Gmail), of als er een wijziging in de domeinnaamservers is aangebracht, kan uw SPF breken omdat Google het afzenderadres niet kan koppelen aan bestaande records. Als u onlangs een van deze wijzigingen aan uw domein heeft aangebracht, zorg er dan voor dat uw SPF records zijn bijgewerkt door contact op te nemen met uw webhost of e-mailprovider.
Een manier om SPF-validatiefouten te voorkomen is ervoor te zorgen dat uw DNS-hostingprovider betrouwbaar is en dat ze goede webhostingopties. Dit kan helpen om ervoor te zorgen dat je SPF-record altijd beschikbaar is en gemakkelijk kan worden geopend door ontvangende servers, waardoor de kans op een SPF-validatiefout afneemt. Het is belangrijk om een betrouwbare DNS hostingprovider te kiezen en regelmatig te controleren of je SPF record accuraat en up-to-date is om mogelijke problemen te voorkomen.
Stappen om SPF validatiefout te herstellen
Domeineigenaren kunnen SPF-validatiefouten voorkomen door een paar eenvoudige maatregelen te nemen die hieronder worden gegeven:
- Gebruik geldige afzender
- Domeineigenaars moeten nagaan of hun e-mails van een legitieme bron afkomstig zijn. Het kan nuttig zijn de volgende punten te controleren:
- Het domein en het mail record linken beide naar de juiste server.
- De SPF records van het domein zijn correct.
- Het in het "van" veld gebruikte domein is juist.
- Corrigeer het SPF-record van de afzender
De ontvanger krijgt de foutmelding SPF check failed, maar de verzender moet het probleem verhelpen. Daarom is het belangrijk om de SPF records van de afzender dubbel te controleren om er zeker van te zijn dat ze correct zijn ingesteld. Onlinetoepassingen kunnen SPF-controles uitwisselen om er zeker van te zijn dat de e-mails afkomstig zijn van het IP-adres dat in het SPF-record is opgegeven. Als er een fout is, zullen de e-mails door de ontvangende mailserver worden geweigerd.
Laatste woorden
SPF-authenticatie is vereist voor e-mailintegriteit en het voorkomen van spam. A valse e-mail kan gemakkelijk in de mailbox van een ontvanger terechtkomen door een SPF-validatiefout. Het kan de reputatie van de legitieme domeineigenaar schaden door de ontvanger te spammen of te phishen.
Hoewel de SPF authenticatie methode bedoeld is om te voorkomen dat ongewenste emails iemands inbox overspoelen, kunnen echte emails af en toe worden geregistreerd als een authenticatie mislukking als gevolg van een configuratie fout of een fout SPF record. Daarom moet een e-mailbeheerder begrijpen wat een SPF-fout veroorzaakt en hoe DMARC SPF-methoden interpreteert.