SPF validatiefout: Oorzaken en oplossingen

Blog

Bekijk onze uitgebreide gids over SPF validatiefouten en hun belangrijkste oorzaken. Leer hoe je SPF-problemen effectief kunt opsporen en oplossen met PowerDMARC.

door YunesTarada

Leestijd: 7 min
SPF validatiefout: Oorzaken en oplossingen
Inhoudsopgave-

Een SPF validatiefout is het resultaat van een verkeerde configuratie van het Sender Policy Framework (SPF). Een situatie als deze kan tijdrovend en duur zijn voor het bedrijf.

Dit artikel gaat dieper in op de verschillende redenen waarom SPF-validatiefouten kunnen optreden en hoe ze kunnen worden opgelost.

Belangrijkste opmerkingen

  1. SPF-fouten komen vaak voor door onjuiste DNS-records, syntaxisfouten of het overschrijden van DNS-opzoeklimieten, wat kan leiden tot leveringsfouten en onderbrekingen.
  2. Er zijn verschillende soorten SPF-fouten, waaronder Temperror (tijdelijke problemen), Permerror (syntaxis- of opzoekproblemen), Softfail (zwakke autorisatie) en Fail (expliciete afwijzing van e-mail van onbevoegde afzenders).
  3. De meest voorkomende oorzaken zijn onjuiste DNS-records, meerdere SPF-records voor hetzelfde domein, overschrijding van de limiet van 10 DNS-opzoekingen en het gebruik van verouderde SPF-recordtypen.
  4. DMARC-rapporten, online SPF-validators en tools voor het inspecteren van e-mailheaders kunnen helpen bij het snel identificeren en herstellen van SPF-validatiefouten.
  5. Om fouten te voorkomen, moet je zorgen voor een nauwkeurige SPF record syntaxis, DNS lookups beperken, SPF records consolideren en regelmatig records bijwerken wanneer je van e-mailprovider of DNS-instellingen verandert.

Wat is een SPF-validatiefout?

SPF-validatie verwijst naar het proces waarbij wordt geverifieerd of een afzender geautoriseerd (toegestaan) is om e-mails namens het domein te verzenden. SPF validatiefouten kunnen optreden wanneer uw TXT-record met SPF-informatie syntaxis- of configuratiefouten bevat. Het SPF record van een domein bestaat uit verschillende tags - technisch bekend als SPF mechanismen en modifiers. Het handmatig proberen aan te maken van een SPF record kan vaak leiden tot syntaxisfouten, die tijdens SPF evaluatie kunnen resulteren in een validatiefout. 

Tijdens SPF-validatiefouten kunnen domeineigenaren een bericht 550 spf check failed ontvangen, zoals: 

"Fout 550 - Bericht geweigerd vanwege mislukte SPF-controle."

Vereenvoudig SPF met PowerDMARC!

15 dagen op proefBoek een demo

 

Soorten SPF-validatiefouten

Hieronder staan de belangrijkste soorten SPF validatiefouten en hun bijbehorende uitleg: 

  • Temperror: Dit kan een validatiefout zijn die veroorzaakt wordt door een kortstondig probleem zoals een DNS time-out of soortgelijke problemen tijdens de SPF validatieprocedure. Het betekent niet dat het SPF record ongeldig of niet beschikbaar is of dat de SPF record validatieprocedure mislukt is. Je hoeft je geen zorgen te maken als je maar van één mailserver een SPF temperror ontvangt. U moet echter uw SPF-record dubbel controleren als u regelmatig dergelijke meldingen begint te ontvangen.
  • Fout: Wanneer de mailservers de SPF-records niet correct kunnen controleren, geven ze deze SPF Permerror berichten. Deze problemen worden meestal veroorzaakt door typefouten of SPF syntaxis problemen. Permerror wordt ook veroorzaakt wanneer SPF records de 10 DNS lookup limiet overschrijden.
  • Softail: De afzender is geautoriseerd of niet geautoriseerd om e-mail te versturen vanaf het domein. De host kan 'waarschijnlijk niet goedgekeurd' zijn als het domein geen duidelijk en agressief beleid heeft opgesteld dat resulteert in een 'fail'. Het werkt door een "all" mechanisme aan het SPF record te koppelen. Elk IP-adres zal bij beoordeling een 'SPF Softfail'-resultaat opleveren. Het SPF Soft fail resultaat is in feite een zwakke verklaring. De DMARC leest het SPF Softfail resultaat als een 'Pass' of 'Fail', afhankelijk van de instellingen van de e-mailserver, net als het SPF Neutral resultaat.
  • Mislukt: De 'SPF Fail' verklaring, in tegenstelling tot 'SPF Softfail', is een expliciete of definitieve claim dat de host het domein niet mag gebruiken. Deze voorwaarde wordt geïmplementeerd in het SPF record met de '-all' techniek. Als een willekeurig IP-adres wordt gebruikt, zal dit een 'SPF misluktresultaat opleveren wanneer de SPF-verificatiecontrole wordt uitgevoerd. Deze situatie wordt door alle domeinen met DMARC geïmplementeerd hetzelfde behandeld en wordt geïnterpreteerd als 'Fail'.

4 veel voorkomende redenen voor SPF validatiefout

Veel voorkomende redenen voor SPF-validatiefouten zijn onder andere:

1. Onjuiste DNS-records

Een veel voorkomende reden voor een SPF validatiefout is een onjuist SPF DNS record. Extra spaties, verkeerde opmaak en onjuiste interpunctie kunnen leiden tot validatiefouten voor SPF en je record ongeldig maken. Daarnaast kunnen DNS-kwetsbaarheden, zoals bungelende DNS-records, mazen creëren waar aanvallers misbruik van kunnen maken, waardoor je e-mailverificatie nog gecompliceerder wordt.

2. Meerdere SPF-records 

SPF validatie kan fouten geven als je meerdere SPF records configureert voor hetzelfde domein. Idealiter zou er maar 1 SPF record per domein moeten zijn.

3. De DNS-opzoeklimiet overschrijden

Een van de meest voorkomende redenen voor SPF validatiefouten is het overschrijden van de DNS lookup limiet voor SPF. Er is een limiet van 10 DNS lookups tijdens SPF evaluatie, als de limiet wordt overschreden mislukt SPF validatie met een Permerror. 

4. Afgeschreven SPF-recordtype

Het SPF-record type 99 (SPF) werd afgeschreven zoals vermeld in RFC 7208, sectie 3.1 omdat het niet veel nut had. Het heeft hetzelfde formaat als het RR Type TXT dat het aanbevolen bron type is voor SPF records. Het gebruik van het deprecated recordtype kan leiden tot SPF fouten. 

Hoe SPF-validatiefouten vinden?

Het is belangrijk om SPF-fouten op te sporen om ze te kunnen oplossen. Hier zijn een paar manieren om dat te doen: 

1. DMARC-rapporten gebruiken

Je kunt SPF validatiefouten opsporen door je DMARC rapporten te controleren. DMARC-rapporten bieden een schat aan informatie over je e-mailverkeer, afzenders en SPF- en DKIM-authenticatieresultaten. Als er een validatiefout is met je SPF-record, is de kans groot dat dit wordt gemarkeerd in je DMARC-rapport. Gebruik een DMARC rapport analyseprogramma kan je hierbij helpen door complexe XML-rapporten veel gemakkelijker leesbaar en begrijpelijk te maken.

2. Online SPF-validatietools gebruiken

Alleen SPF validatie tools zoals SPF checkers kunnen je helpen om validatiefouten gemakkelijk en direct op te sporen. Deze online tools zijn meestal gratis en kunnen snel je SPF record inspecteren om syntaxis- en configuratiefouten te markeren. Sommige geavanceerde tools vertellen je ook of je SPF de 10 DNS lookup limiet overschrijdt. 

Probeer PowerDMARC's gratis SPF-checker.

3. E-mailheaders controleren

Tot slot kunt u altijd controleren op SPF-validatiefouten door de headers van uw e-mail handmatig te onderzoeken. Open gewoon de e-mail. Klik op "more" en selecteer "Show original". Er verschijnt een nieuw tabblad met de samenvatting van je oorspronkelijke bericht en een gedetailleerd onbewerkt overzicht van je e-mailheader. U kunt ook een e-mail header analyzer tool gebruiken die uitgebreide inzichten geeft in de header-informatie van uw e-mail - maar in een uitgebreid en leesbaar formaat.

Hoe SPF-validatiefouten voorkomen

Om SPF validatiefouten te voorkomen: 

  • Controleer uw SPF-record om er zeker van te zijn dat u het hebt bijgewerkt of het hebt uitgeschakeld als het niet langer wordt gebruikt door een e-mail te sturen naar de eigenaar van uw domein. 
  • Stel dat je onlangs bent overgestapt naar een andere e-mailprovider (bijvoorbeeld Gmail), of dat de domeinnaamservers zijn gewijzigd. In dat geval kan je SPF breken omdat Google het adres van de afzender niet kan matchen met bestaande records. Als je onlangs een van deze wijzigingen aan je domein hebt aangebracht, zorg er dan voor dat je SPF-records zijn bijgewerkt door contact op te nemen met je webhost of e-mailprovider.
  • Zorg ervoor dat je DNS hostingprovider betrouwbaar is en dat ze goede webhostingopties. Dit kan helpen om ervoor te zorgen dat je SPF-record altijd beschikbaar is en gemakkelijk kan worden geopend door ontvangende servers, waardoor de kans op een SPF-validatiefout afneemt.
  • Het is belangrijk om een betrouwbare DNS-hostingprovider te kiezen en regelmatig te controleren of je SPF-record correct en up-to-date is om mogelijke problemen te voorkomen.

Stappen om SPF-validatiefout op te lossen

Domeineigenaren kunnen fouten herstellen door een paar eenvoudige maatregelen te nemen die hieronder worden gegeven:

1. SPF-recordsyntax controleren

Controleer uw SPF syntaxis om te bevestigen dat deze foutloos is. Een foutloos SPF-record kan er ongeveer zo uitzien: v=spf1 include:spf.domain.com ~all. Het versietype (v) en het SPF all mechanisme zijn verplichte velden die opgenomen moeten worden in de record syntax. Je moet er ook voor zorgen dat je geen extra spaties, puntkomma's of andere speciale karakters toevoegt die niet ondersteund worden door SPF.

2. DNS-opzoekingen beperken

Om SPF validatiefouten en permanente fouten te voorkomen, is het cruciaal om DNS lookups voor SPF te beperken tot maximaal 10. Hoewel er traditionele afvlakkingsmethoden zijn om dit te bereiken, is een modernere en effectievere manier om dit probleem op te lossen het gebruik van SPF macro's. Macro's helpen je om onder zowel DNS lookup als lengte limieten te blijven.

3. SPF-records consolideren

Om te voorkomen dat meerdere records voor SPF worden gepubliceerd, wat kan leiden tot validatiefouten, SPF-records samenvoegen door het include: mechanisme te gebruiken. SPF "includes" kunnen helpen bij het consolideren van meerdere records in één, door simpelweg je geautoriseerde domein achter elkaar toe te voegen zoals hieronder getoond:

v=spf1 include:spf.domain.com include:spf.example.com include:spf.company.com ~all

4. Mechanisme aanpassingen opnemen

Het over het hoofd zien van je externe verzendbronnen en e-mailleveranciers zoals Google, Microsoft Office 365, Zoho Mail, enz. kan leiden tot validatiefouten. Pas het SPF "include" mechanisme aan om al je externe leveranciers te autoriseren, zodat je een foutloze setup krijgt. 

Lees meer over leverancier bronconfiguratie.

Laatste woorden

SPF-authenticatie is vereist voor e-mailintegriteit en het voorkomen van spam. A valse e-mail kan gemakkelijk in de mailbox van een ontvanger terechtkomen door een SPF-validatiefout. Het kan de reputatie van de legitieme domeineigenaar schaden door de ontvanger te spammen of te phishen.

Hoewel de SPF-authenticatiemethode bedoeld is om te voorkomen dat ongewenste e-mails de inbox overspoelen, kunnen echte e-mails af en toe als authenticatiefout worden geregistreerd vanwege een configuratiefout of een foutief SPF-record. Daarom moet een e-mailbeheerder begrijpen wat de oorzaak is van SPF-fouten en wat hij kan doen om zijn e-mail deliverability te verbeteren. 

Laatste berichten van Yunes Tarada (Bekijk alle berichten)
Hoe herken je een valse e-mail van een universiteit?valse e-mails van universiteitenDKIM kwetsbaarheidWat is DKIM kwetsbaarheid? DKIM l= tag beperking uitgelegd