SPF-fout bij validatie
Het Sender Policy Framework (SPF) is een e-mailverificatiesysteem dat domeineigenaren en organisaties gebruiken om e-mails te verifiëren die door andere bronnen zijn verzonden om spoofing en phishingpogingen (bekijk 2022 phishing-statistieken) op hun domeinen te voorkomen. Dergelijke records kunnen echter verkeerd worden geconfigureerd, wat leidt tot verificatie fouten zoals "SPF-validatiefout." Een dergelijke situatie kan tijdrovend en kostbaar zijn voor het bedrijf.
Om een foutloos SPF record aan te maken kunt u gebruik maken van onze SPF record generator tool gebruiken. Dit artikel gaat dieper in op de verschillende redenen waarom SPF validatie fouten kunnen optreden en hoe deze op te lossen.
Wat is SPF validatiefout?
Het SPF-record bevat een lijst van IP-adressen voor servers die een domeineigenaar heeft toegestaan namens hem e-mails te verzenden. De ontvangende server zal alleen e-mails accepteren van IP-adressen die in het SPF-record staan.
Als een domein een e-mail verstuurt vanaf een IP-adres dat niet in het SPF-record staat, ontvangt de domeineigenaar een ongeldig SPF-record afleverstatusrapport.
"Fout 550 - Bericht geweigerd vanwege mislukte SPF-controle."
Soorten SPF-fouten
- Pas: Het IP-adres van de afzender van het domein is toegestaan om een e-mail te verzenden.
- Geen: Dit betekent dat het domein geen SPF record heeft. De server geeft een 'SPF None' fout als hij de domeinnaam niet kan oplossen in de DNS of het juiste SPF record op het domein niet kan vinden. Met andere woorden, als een SPF record ontbreekt of de server het niet kan vinden, wordt een SPF None fout geretourneerd. Dit probleem kan worden opgelost door een geldig SPF record te publiceren/toe te voegen aan het domein van de afzender.
- Neutraal: Wanneer de domeineigenaar niet wenst te beweren dat de verzendende IP-adressen zijn toegestaan, worden SPF neutrale berichten afgeleverd. Het feit dat het SPF record de eindtag '?all' gebruikt, bewijst het argument. Het is bijna hetzelfde als een ontbrekend SPF record.
- Temperror: Dit kan een fout zijn veroorzaakt door een kortstondig probleem zoals een DNS timeout of soortgelijke problemen tijdens de SPF validatie procedure. Het betekent niet dat het SPF record ongeldig of onbeschikbaar is, of dat de SPF record validatie procedure mislukt is. U hoeft zich geen zorgen te maken als u slechts van één mailserver een SPF-temperror ontvangt. U moet echter uw SPF record dubbel controleren als u regelmatig zulke meldingen begint te ontvangen.
- Permerror: Als de mailservers de SPF records niet goed kunnen controleren, geven ze deze SPF PermError berichten uit. Deze problemen worden meestal veroorzaakt door typefouten of syntax problemen.
- Softail: De afzender is geautoriseerd of niet geautoriseerd om e-mail te versturen vanaf het domein. De host kan 'waarschijnlijk niet goedgekeurd' zijn als het domein geen duidelijk en agressief beleid heeft opgesteld dat resulteert in een 'fail'. Het werkt door een "all" mechanisme aan het SPF record te koppelen. Elk IP-adres zal bij beoordeling een 'SPF Softfail' resultaat opleveren. Het SPF Soft fail resultaat is in feite een zwakke verklaring. DMARC leest het SPF Softfail resultaat als een 'Pass' of 'Fail', afhankelijk van de instellingen van de e-mailserver, net als het SPF Neutral resultaat.
- Fail: De 'SPF Fail' verklaring, in tegenstelling tot 'SPF Softfail', is een expliciete of definitieve claim dat de host het domein niet mag gebruiken. Deze voorwaarde wordt in het SPF-record geïmplementeerd met behulp van de '-all'-techniek. Als een willekeurig IP-adres wordt gebruikt, zal dit een 'SPF Fail' als de SPF-authenticatiecontrole wordt uitgevoerd. Deze situatie wordt door alle domeinen met DMARC geïmplementeerd hetzelfde behandeld en wordt geïnterpreteerd als 'Fail'.
Redenen voor SPF-fout bij validatie
Veel voorkomende redenen voor SPF Validation Error zijn:
- Berichtenscanners hebben moeite met het parseren van bepaalde gegevens uit het SPF-record
- Uw DNS heeft nog geen tijd gehad om uw nieuw toegevoegde SPF-record te renderen (dit kan tot 72 uur duren, afhankelijk van uw DNS hosting provider)
- U hebt uw IP-lijst niet bijgewerkt voor nieuwe verzendbronnen van derden
- Domeineigenaren hebben geen toegang om het MX record van hun domein te wijzigen of een afzender van derden te gebruiken zoals SendGrid, MailPoet, enz.
- DNS Server kan de domeinnaam niet oplossen in de DNS.
- Het is mogelijk dat de controle talrijke SPF vermeldingen op het domein heeft gevonden.
- Een enkele SPF-controle kan meer dan tien DNS-lookups hebben omvat.
- De SPF-controle kan meer dan twee "void" lookups in een enkele SPF-controle hebben geïdentificeerd.
- Het SPF record kan syntactisch onjuist zijn.
Hoe SPF validatiefout te voorkomen
De meest voorkomende validatiefout wordt veroorzaakt wanneer de SPF records niet zijn bijgewerkt. Controleer uw SPF-record dubbel om er zeker van te zijn dat u het hebt bijgewerkt of uitgeschakeld als het niet langer wordt gebruikt door een e-mail te sturen naar de eigenaar van uw domein. Als u echter onlangs bent overgestapt op een andere e-mailprovider (bijvoorbeeld Gmail), of als er een wijziging in de domeinnaamservers is aangebracht, kan uw SPF breken omdat Google het afzenderadres niet kan koppelen aan bestaande records. Als u onlangs een van deze wijzigingen aan uw domein heeft aangebracht, zorg er dan voor dat uw SPF records zijn bijgewerkt door contact op te nemen met uw webhost of e-mailprovider.
Een manier om SPF-validatiefouten te voorkomen is ervoor te zorgen dat uw DNS-hostingprovider betrouwbaar is en goede webhostingopties heeft. Dit kan ervoor zorgen dat uw SPF-record altijd beschikbaar is en gemakkelijk toegankelijk is voor ontvangende servers, waardoor de kans op een SPF-validatiefout afneemt. Het is belangrijk om een betrouwbare DNS hosting provider te kiezen en regelmatig te controleren of uw SPF record accuraat en up-to-date is om mogelijke problemen te voorkomen.
Stappen om SPF validatiefout te herstellen
Domeineigenaars kunnen vermijden SPF validatie fouten door een paar eenvoudige maatregelen te nemen die hieronder worden beschreven:
- Gebruik geldige afzender
- Domeineigenaars moeten nagaan of hun e-mails van een legitieme bron afkomstig zijn. Het kan nuttig zijn de volgende punten te controleren:
- Het domein en het mail record linken beide naar de juiste server.
- De SPF records van het domein zijn correct.
- Het in het "van" veld gebruikte domein is juist.
- Corrigeer het SPF-record van de afzender
De ontvanger krijgt de foutmelding SPF check failed, maar de verzender moet het probleem verhelpen. Daarom is het belangrijk om de SPF records van de afzender dubbel te controleren om er zeker van te zijn dat ze correct zijn ingesteld. Onlinetoepassingen kunnen SPF-controles uitwisselen om er zeker van te zijn dat de e-mails afkomstig zijn van het IP-adres dat in het SPF-record is opgegeven. Als er een fout is, zullen de e-mails door de ontvangende mailserver worden geweigerd.
Laatste woorden
SPF-authenticatie is vereist voor e-mailintegriteit en het voorkomen van spam. Een valse e-mail kan gemakkelijk in de mailbox van een ontvanger terechtkomen door een SPF-validatiefout. Het kan de reputatie van de legitieme domeineigenaar schaden door de ontvanger te spammen of te phishen.
Hoewel de SPF authenticatie methode bedoeld is om te voorkomen dat ongewenste emails iemands inbox overspoelen, kunnen echte emails af en toe worden geregistreerd als een authenticatie mislukking als gevolg van een configuratie fout of een fout SPF record. Daarom moet een e-mailbeheerder begrijpen wat een SPF-fout veroorzaakt en hoe DMARC SPF-methoden interpreteert.
- FTC meldt dat e-mail een populair medium is voor oplichting door imitators - 16 april 2024
- SubdoMailing en de opkomst van phishing via subdomeinen - 18 maart 2024
- Mailchimp DMARC, SPF en DKIM installatiegids - 26 februari 2024