SPF validatiefout: Oorzaken en oplossingen

Blog

Los SPF-validatiefouten en 'SPF-controle mislukt' in Outlook/Office 365 op. Ontdek de oorzaken, de limiet van 10 lookups en stapsgewijze oplossingen voor SPF-records.

door YunesTarada

Laatst bijgewerkt:
9 leestijd: 9 minuten
SPF validatiefout: Oorzaken en oplossingen
Inhoudsopgave-

Belangrijkste Conclusies

  • SPF-validatiefouten treden op wanneer een ontvangende server uw SPF TXT-record niet correct kan evalueren, meestal als gevolg van syntaxfouten, ontbrekende/onjuiste inclusies of het overschrijden van de limiet van 10 DNS-lookups.
  • SPF-controles geven doorgaans resultaten weer zoals temperror, permerror, softfail (~all) en fail (-all). Deze resultaten geven informatie over het risico, maar elk ontvangend systeem beslist zelf of het de e-mail aflevert, in quarantaine plaatst of weigert.
  • De meest voorkomende oorzaken zijn ongeldige SPF-syntaxis, meerdere SPF records op hetzelfde domein, geneste includes die meer dan 10 lookups genereren, en het publiceren van SPF met verouderde recordtypes in plaats van TXT.
  • U kunt SPF-problemen sneller opsporen door DMARC-rapporten, een SPF-checker/validator (voor syntaxis + lookup-telling) en inspectie van e-mailheaders te combineren (Authentication-Results / Received-SPF) om het echte SPF-resultaat te bevestigen.
  • Om herhaalde storingen te voorkomen, moet u één SPF-record per domein onderhouden, het aantal lookups ≤10 houden, wijzigingscontrole gebruiken bij het toevoegen van e-mailproviders en SPF opnieuw valideren na DNS-/providermigraties of nieuwe verzendservices.

Een SPF-validatiefout is de manier waarop uw domein aangeeft: "Mijn e-mailconfiguratie werkt niet goed." Als uw SPF-record verkeerd is geconfigureerd, kunnen inboxproviders legitieme afzenders niet verifiëren. Daardoor daalt de deliverability, neemt het risico op spoofing toe en kost het oplossen van problemen u veel tijd. Hier leest u hoe u SPF-fouten kunt identificeren en snel kunt oplossen.

Wat is een SPF-validatiefout?

SPF-validatie verwijst naar het proces waarbij wordt gecontroleerd of een afzender bevoegd (toegestaan) is om namens het domein e-mails te verzenden. SPF-validatiefouten kunnen optreden wanneer uw TXT-record met SPF-informatie syntaxis- of configuratiefouten bevat. Het SPF-record van een domein bestaat uit verschillende tags, technisch bekend als SPF-mechanismen en -modificatoren. Het handmatig aanmaken van een SPF-record leidt vaak tot syntaxis fouten, wat tijdens de SPF-evaluatie kan resulteren in een validatiefout. 

Tijdens SPF-validatiefouten kunnen domeineigenaren een 550 SPF-controle mislukt bericht, zoals: 

"Fout 550 - Bericht geweigerd vanwege mislukte SPF-controle."

PowerDMARC SPF-banner

SPF gaat stilletjes kapot. Je merkt het pas als er geen e-mails meer binnenkomen.

PowerDMARC heeft meer dan 10.000 klanten geholpen met:

Eén dashboard voor SPF, DMARC en DKIM
Geautomatiseerde monitoring — geen gedoe met het doorzoeken van ruwe rapporten
Directe meldingen bij verkeerde configuraties en hiaten in het beleid
Schaalbaarheid binnen multi-tenant klantdomeinen

De eerste 15 dagen zijn gratis

Meld je aan voor een gratis proefperiode

Veelvoorkomende SPF-validatiefoutmeldingen en hun betekenis

Als u SPF-foutmeldingen begrijpt, kunt u configuratieproblemen snel diagnosticeren en de juiste corrigerende maatregelen nemen. Hoewel de bewoordingen kunnen verschillen per e-mailprovider, geven de volgende meldingen de meest voorkomende SPF-gerelateerde resultaten weer die tijdens e-mailverificatiecontroles worden gezien.

FoutmeldingWat het betekentAanbevolen actie
"SPF-validatie mislukt"De ontvangende server kon het SPF-record niet succesvol evalueren.Controleer de syntaxis van het SPF-record, de beschikbaarheid van DNS en de opzoeklimieten.
"Waarschuwing: SPF-validatie mislukt"Een zwak SPF-resultaat (vaak softfail) dat levering nog steeds mogelijk maaktControleer geautoriseerde afzenders en verscherp het SPF-beleid
"SPF-controle mislukt (modus: normaal)"SPF-evaluatie leverde een negatief resultaat opCorrigeer het SPF-record of autoriseer de verzendende bron
"Bericht geweigerd vanwege een mislukte SPF-controle"Het bericht werd geweigerd omdat de afzender niet geautoriseerd was.Werk het SPF-record bij om het verzendende IP-adres of de verzendende dienst op te nemen.

Belangrijk: De exacte foutmelding is niet gestandaardiseerd en kan verschillen per provider, mailserver en loggingsysteem. Deze voorbeelden zijn veelvoorkomende patronen en geen gegarandeerde meldingen.

E-mailplatforms geven SPF-validatiefouten op verschillende manieren weer, afhankelijk van hun beleid en logboekformaten. Hieronder staan typische voorbeelden, geen vaste of universele strings.

  • Gmail
     Bounce- of bezorgingsmeldingen kunnen erop wijzen dat een bericht is geblokkeerd of als verdacht is gemarkeerd vanwege problemen met de evaluatie van het SPF-beleid.
  • Microsoft 365 / Outlook
     Bezorgingsrapporten verwijzen doorgaans naar 5.7.x SMTP-statuscodes (zoals 550 5.7.1) wanneer SPF-controles mislukken of de afzender niet geautoriseerd is.
  • Yahoo Mail
     Afwijzingen kunnen vermelden dat het bericht niet is geaccepteerd vanwege een fout in de SPF-validatie of verzenderauthenticatie.
Hoe deze resultaten te interpreteren:
SPF zelf geeft gestandaardiseerde resultaten terug, zoals geslaagd, mislukt, softfail, neutraal, temperror of permerror. Elk ontvangend systeem beslist vervolgens op basis van zijn eigen beleid en algemene authenticatiecontext of het bericht wordt afgeleverd, in quarantaine wordt geplaatst of wordt geweigerd.

Soorten SPF-validatiefouten

SPF-controles kunnen verschillende soorten resultaten opleveren, afhankelijk van wat de ontvangende server tijdens de evaluatie aantreft. Hieronder volgen de meest voorkomende SPF-resultaten die u tijdens SPF-validatie zult zien: 

  • Temperror: Dit kan een validatiefout zijn die wordt veroorzaakt door een tijdelijk probleem, zoals een DNS-time-out of soortgelijke problemen tijdens de SPF-validatieprocedure. Dit betekent niet dat het SPF-record ongeldig of onbeschikbaar is, of dat het de SPF-recordvalidatieprocedure niet heeft doorstaan. U hoeft zich geen zorgen te maken als u slechts één SPF-temperror van één mailserver ontvangt. Als u echter regelmatig dergelijke meldingen ontvangt, moet u uw SPF-record nogmaals controleren. 

Voorbeeld: Een DNS-server is tijdelijk niet beschikbaar tijdens het opzoeken van SPF, waardoor een time-out optreedt.

  • Permerror: Wanneer de mailservers de SPF-records niet correct kunnen controleren, geven ze deze SPF Permerror -berichten. Deze problemen worden meestal veroorzaakt door typefouten of SPF-syntaxisproblemen problemen. Permerror wordt ook veroorzaakt wanneer SPF-records de limiet van 10 DNS-lookups overschrijden.  

Voorbeeld: Een SPF-record bevat "v=spf2" in plaats van "v=spf1", of bevat 12 DNS-lookups terwijl de limiet 10 is.

  • Softail: De afzender is al dan niet bevoegd om e-mails te versturen vanuit het domein. De host kan 'waarschijnlijk niet goedgekeurd' zijn als het domein geen duidelijk en streng beleid heeft vastgesteld dat resulteert in een 'fail'. Dit werkt door een 'all'-mechanisme toe te voegen aan het SPF-record. Elk IP-adres levert een 'SPF Softfail'-resultaat op bij beoordeling. Het SPF Softfail-resultaat is in feite een zwakke uitspraak. 

De DMARC leest het SPF Softfail-resultaat als 'Pass' of 'Fail', afhankelijk van de instellingen van de e-mailserver, net als het SPF Neutral-resultaat. 

Voorbeeld: Een SPF-record eindigt met "~all" en een ongeautoriseerde afzender probeert een e-mail te verzenden, wat resulteert in een soft failure.

  • Fail: De 'SPF Fail'-verklaring is, in tegenstelling tot 'SPF Softfail', een expliciete of definitieve verklaring dat de host het domein niet mag gebruiken. Deze voorwaarde wordt in het SPF-record geïmplementeerd met behulp van de '-all'-techniek. 

Als een IP-adres wordt gebruikt, zal dit een 'SPF Fail' resulteren wanneer de SPF-authenticatiecontrole wordt uitgevoerd. Deze situatie wordt door alle domeinen met DMARC op dezelfde manier behandeld en geïnterpreteerd als 'Fail'.  

Voorbeeld: Een SPF-record eindigt met "-all" en een volledig ongeautoriseerd IP-adres probeert e-mail te verzenden, wat resulteert in een harde fout en afwijzing van de e-mail.

Veelvoorkomende oorzaken van SPF-validatiefouten

SPF-validatiefouten zijn meestal het gevolg van een klein aantal configuratieproblemen. Als u deze onderliggende oorzaken begrijpt, kunt u fouten snel oplossen en voorkomen dat ze zich opnieuw voordoen.

1. Onjuist SPF DNS-record syntaxis

Een veelvoorkomende reden voor een SPF-validatiefout is een onjuist SPF DNS-record. Extra spaties, verkeerde opmaak en onjuiste interpunctie kunnen leiden tot validatiefouten voor SPF en uw record ongeldig maken. Bovendien DNS-kwetsbaarheden, zoals dangling DNS records, kunnen mazen in de beveiliging creëren die aanvallers kunnen misbruiken, waardoor uw e-mailverificatie nog ingewikkelder wordt.

Veelvoorkomende syntaxisproblemen zijn onder meer:

  • Gebruik van een ongeldige versie (bijvoorbeeld v=spf2 in plaats van v=spf1)
  • Het ontbreken van de verplichte alle mechanisme (~all of -all)
  • Het toevoegen van niet-ondersteunde scheidingstekens of opmaakfouten

Een voorbeeld:

Ongeldig SPF-recordProbleemGecorrigeerde versie
v=spf2 include:_spf.google.com ~allOngeldige SPF-versiev=spf1 include:_spf.google.com ~all
v=spf1 include:_spf.google.comAlle mechanismen ontbrekenv=spf1 include:_spf.google.com ~all

2. Meerdere SPF-records voor hetzelfde domein

Een domein mag slechts één SPF-record hebben. Als er meerdere SPF TXT-records worden gepubliceerd, mislukt de SPF-evaluatie omdat ontvangende servers niet kunnen bepalen welk record ze moeten toepassen.

Dit gebeurt vaak wanneer:

  • Meerdere e-maildiensten worden onafhankelijk van elkaar toegevoegd.
  • SPF-records worden aangemaakt door verschillende teams of leveranciers.
  • Oude SPF-records worden niet verwijderd tijdens migraties.

Resultaat: SPF-evaluatie kan een permanente foutmelding opleveren, waardoor legitieme e-mails niet worden geauthenticeerd.

3) Overschrijding van de SPF DNS-lookuplimiet

SPF staat maximaal 10 DNS-lookups toe tijdens de evaluatie. Als deze limiet wordt overschreden, mislukt de SPF-validatie met een permanente foutmelding.

DNS-lookups worden geactiveerd door mechanismen zoals:

  • opnemen
  • a
  • mx
  • ptr
  • bestaat
  • doorsturen

Praktijkscenario: Een SaaS-bedrijf maakt gebruik van Google Workspace, Microsoft 365, een marketingplatform en een transactionele e-maildienst. Elk daarvan voegt meerdere include statements, en geneste includes duwen de SPF-evaluatie stilzwijgend voorbij de limiet van 10 lookups, waardoor e-mails mislukken ondanks "correct ogende" records.

4. Gebruik van verouderd SPF-recordtype

Het SPF-record type 99 (SPF) werd afgeschreven zoals vermeld in RFC 7208, sectie 3.1 omdat het niet veel nut had. Het heeft hetzelfde formaat als het RR Type TXT dat het aanbevolen bron type is voor SPF records. Het gebruik van het deprecated recordtype kan leiden tot SPF fouten. 

Belangrijkste conclusie: De meeste SPF-validatiefouten worden veroorzaakt door syntaxfouten, meerdere SPF-records of het overschrijden van de limiet van 10 DNS-lookups, en niet door storingen in de mailserver of problemen aan de kant van de ontvanger.

Hoe SPF-validatiefouten vinden?

Voordat u SPF-validatiefouten kunt oplossen, moet u eerst vaststellen waar deze fouten zich voordoen: in uw DNS-record, tijdens SPF-evaluatie (lookups/syntaxis) of bij daadwerkelijke verzendpogingen.

Stapsgewijze checklist voor SPF-foutdetectie

  1. Controleer DMARC-rapporten → zoek naar SPF-fouten en foutpatronen
  2. Valideer uw SPF-record → bevestig de syntaxis en het aantal DNS-lookups
  3. E-mailheaders controleren → het SPF-resultaat bevestigen dat door de ontvanger is teruggestuurd
  4. Bounceberichten controleren → afwijzingscodes identificeren die gekoppeld zijn aan SPF
  5. Controleer DNS-publicatie → controleer of er precies één SPF TXT-record voor het domein is

1. DMARC-rapporten gebruiken

U kunt SPF-validatiefouten opsporen door uw DMARC-rapporten te controleren. DMARC-rapporten bieden een schat aan informatie over uw e-mailverkeer, afzender en SPF- en DKIM- authenticatieresultaten. Als er een validatiefout is in uw SPF-record, wordt deze waarschijnlijk gemarkeerd in uw DMARC-rapport. Met behulp van een DMARC-rapportanalysetool kunt u dit proces vereenvoudigen door complexe XML-rapporten veel leesbaarder en begrijpelijker te maken. 

2. Online SPF-validatietools gebruiken

Alleen SPF-validatietools zoals SPF-checkers kunnen u helpen om validatiefouten eenvoudig en direct op te sporen. Deze online tools zijn meestal gratis en kunnen uw SPF-record snel inspecteren om syntax- en configuratiefouten aan het licht te brengen. Sommige geavanceerde tools geven ook aan of uw SPF de limiet van 10 DNS-lookups overschrijdt. 

Probeer PowerDMARC's gratis SPF-checker.

3. E-mailheaders controleren

Ten slotte kunt u altijd controleren op SPF-validatiefouten door uw e-mailheaders handmatig te onderzoeken. Open gewoon de e-mail. Klik op 'meer' en selecteer 'Origineel weergeven'. Er verschijnt een nieuw tabblad met een samenvatting van uw oorspronkelijke bericht en een gedetailleerd overzicht van uw e-mailheader. U kunt ook een e-mailheaderanalysator tool gebruiken die uitgebreide inzichten geeft in uw e-mailheaderinformatie, maar dan in een begrijpelijk en leesbaar formaat.

Stapsgewijze analyse van de header: Zoek naar regels die beginnen met 'Received-SPF:' of 'Authentication-Results:' om de SPF-validatieresultaten te vinden. Veelvoorkomende resultaten zijn 'pass', 'fail', 'softfail', 'neutral', 'temperror' of 'permerror'.

Hoe SPF-validatiefouten voorkomen

Om SPF validatiefouten te voorkomen: 

  • Controleer uw SPF-record om er zeker van te zijn dat u het hebt bijgewerkt of het hebt uitgeschakeld als het niet langer wordt gebruikt door een e-mail te sturen naar de eigenaar van uw domein. 
  • Stel dat je onlangs bent overgestapt naar een andere e-mailprovider (bijvoorbeeld Gmail), of dat de domeinnaamservers zijn gewijzigd. In dat geval kan je SPF breken omdat Google het adres van de afzender niet kan matchen met bestaande records. Als je onlangs een van deze wijzigingen aan je domein hebt aangebracht, zorg er dan voor dat je SPF-records zijn bijgewerkt door contact op te nemen met je webhost of e-mailprovider.
  • Zorg ervoor dat je DNS hostingprovider betrouwbaar is en dat ze goede webhostingopties. Dit kan helpen om ervoor te zorgen dat je SPF-record altijd beschikbaar is en gemakkelijk kan worden geopend door ontvangende servers, waardoor de kans op een SPF-validatiefout afneemt.
  • Het is belangrijk om een betrouwbare DNS-hostingprovider te kiezen en regelmatig te controleren of je SPF-record correct en up-to-date is om mogelijke problemen te voorkomen.

Voor MSP's en ondernemingen: Implementeer geautomatiseerde SPF-monitoring en zet processen voor veranderingsbeheer op om configuratieafwijkingen tussen meerdere domeinen en clients te voorkomen.

Hoe SPF-validatiefouten te verhelpen

Domeineigenaren kunnen fouten herstellen door een paar eenvoudige maatregelen te nemen die hieronder worden gegeven:

1. SPF-recordsyntax controleren

Controleer uw SPF-syntaxis om te controleren of deze foutloos is. Een foutloos SPF-record kan er als volgt uitzien: v=spf1 include:spf.domain.com ~all. Het versietype (v) en de SPF all -mechanisme zijn verplichte velden die in de syntaxis van uw record moeten worden opgenomen. U moet er ook voor zorgen dat u geen extra spaties, puntkomma's of andere speciale tekens toevoegt die niet door SPF worden ondersteund. 

Voor SaaS-bedrijven: Wanneer u meerdere e-maildiensten integreert (marketingautomatisering, transactionele e-mails, ondersteuningssystemen), zorg er dan voor dat de SPF-vereisten van elke dienst correct zijn opgenomen zonder de opzoeklimieten te overschrijden.

2. DNS-opzoekingen beperken

Om SPF-validatiefouten en permanente fouten te voorkomen, is het cruciaal om DNS lookups voor SPF tot maximaal 10 te beperken. Hoewel er traditionele flattening-methoden zijn om dit te bereiken, is een modernere en effectievere manier om dit probleem op te lossen het gebruik van SPF-macro's. Macro's helpen u om zowel de DNS-lookup- als de lengtelimieten te respecteren. 

3. SPF-records consolideren

Om te voorkomen dat meerdere records voor SPF worden gepubliceerd, wat kan leiden tot validatiefouten, SPF-records samenvoegen door het include: mechanisme te gebruiken. SPF "includes" kunnen helpen bij het consolideren van meerdere records in één, door simpelweg je geautoriseerde domein achter elkaar toe te voegen zoals hieronder getoond:

v=spf1 include:spf.domain.com include:spf.example.com include:spf.company.com ~all

4. Mechanisme aanpassingen opnemen

Het over het hoofd zien van je externe verzendbronnen en e-mailleveranciers zoals Google, Microsoft Office 365, Zoho Mail, enz. kan leiden tot validatiefouten. Pas het SPF "include" mechanisme aan om al je externe leveranciers te autoriseren, zodat je een foutloze setup krijgt. 

Lees meer over leverancier bronconfiguratie.

Neem de controle over de beveiliging van uw domein

SPF-authenticatie is vereist voor e-mailintegriteit en het voorkomen van spam. A valse e-mail kan gemakkelijk in de mailbox van een ontvanger terechtkomen door een SPF-validatiefout. Het kan de reputatie van de legitieme domeineigenaar schaden door de ontvanger te spammen of te phishen.

Hoewel de SPF-authenticatiemethode bedoeld is om ongewenste e-mails de inbox van iemand te overspoelen, kunnen echte e-mails soms worden geregistreerd als een authenticatiefout vanwege een configuratiefout of een defect SPF-record. Als gevolg hiervan moet een e-mailbeheerder begrijpen wat de oorzaak is van SPF-fouten en wat hij kan doen om de afleverbaarheid van zijn e-mails te verbeteren. 

Bij PowerDMARC begrijpen we hoe belangrijk e-mailbeveiliging is voor bedrijven van elke omvang. Of u nu een groeiend SaaS-platform beschermt, de naleving van regelgeving voor een gereguleerde sector beheert of als MSP toezicht houdt op de e-mailbeveiliging voor meerdere klanten, wij staan klaar om u te helpen slagen.

Volgende stappen

Klaar om SPF-validatiefouten te elimineren en uw e-mailinfrastructuur te beveiligen? Dit kunt u nu doen:

Veelgestelde Vragen

1. Wat veroorzaakt een SPF-fout?

SPF-fouten worden meestal veroorzaakt door onjuiste DNS-records, syntaxfouten, overschrijding van de limiet van 10 DNS-lookups, meerdere SPF-records voor hetzelfde domein of het gebruik van verouderde SPF-recordtypen. Tijdelijke DNS-problemen kunnen ook SPF-fouten veroorzaken.

2. Hoe los ik SPF-validatiefouten op?

Om SPF-validatiefouten te verhelpen: 1) Controleer en corrigeer de syntaxis van het SPF-record, 2) Zorg ervoor dat er slechts één SPF-record per domein bestaat, 3) Beperk DNS-lookups tot maximaal 10, 4) Neem alle geautoriseerde e-mailbronnen op en 5) Gebruik het TXT-recordtype in plaats van het verouderde SPF-recordtype.

3. Wat betekent "geweigerd vanwege SPF-validatie"?

"Afgewezen vanwege SPF-validatie" betekent dat de ontvangende e-mailserver het SPF-record van uw domein heeft gecontroleerd en heeft vastgesteld dat de verzendende server niet bevoegd is om e-mails namens uw domein te verzenden. Dit heeft tot gevolg dat de e-mail wordt afgewezen of als spam wordt gemarkeerd.

4. Hoe lang duurt het voordat wijzigingen in SPF-records van kracht worden?

Wijzigingen in SPF-records worden doorgaans binnen enkele minuten tot 48 uur van kracht, afhankelijk van de TTL-instellingen (Time To Live) van uw DNS-provider. De meeste wijzigingen worden binnen 1-4 uur wereldwijd doorgevoerd.

5. Kan ik meerdere SPF-records voor subdomeinen hebben?

Ja, u kunt aparte SPF-records hebben voor verschillende subdomeinen, maar elk afzonderlijk domein of subdomein mag slechts één SPF-record hebben. U kunt bijvoorbeeld één SPF-record hebben voor example.com en een andere voor mail.example.com.

Laatste berichten van Yunes Tarada (Bekijk alle berichten)
Laatst bijgewerkt:
Hoe herken je een valse e-mail van een universiteit?valse e-mails van universiteitenDKIM kwetsbaarheidWat is DKIM kwetsbaarheid? DKIM l= tag beperking uitgelegd