Berichten

De SPF (Sender Policy Framework) redirect is een record modifier die verwijst naar een aparte domeinnaam die een SPF record bevat. Domeineigenaars kunnen meerdere domeinen configureren om gebruik te maken van een enkel SPF record dat gehost wordt op één domein met SPF redirect. Hoewel het in sommige opzichten voordelig kan lijken, raden wij het niet aan. Lees meer om uit te vinden waarom!

Inleiding tot SPF en de Redirect Modifier

SPF is de e-mailauthenticatiestandaard die uw organisatie beschermt tegen impersonatie en spam door een register bij te houden van geautoriseerde partijen. 

Terwijl de SPF redirect modifier optioneel is en slechts eenmaal per SPF record gebruikt mag worden. Er zijn bepaalde vereisten om SPF redirect te gebruiken. Deze zijn als volgt:

  • Het heeft alleen zin wanneer een organisatie met meerdere domeinen werkt 
  • Al deze domeinen moeten dezelfde e-mailinfrastructuur delen
  • Het tweede domein, dat wordt doorverwezen, moet een geldig SPF record hebben
  • Om SPF redirect te gebruiken, moet de controle over alle domeinen die deelnemen aan de redirect-keten bij de domeineigenaar liggen

Hoe werkt de SPF Redirect modifier?

Om de functionaliteit van de SPF redirect beter te begrijpen, laten we eens kijken naar het volgende voorbeeld: 

Als domein_test.com een SPF record heeft zoals:
v=spf1 redirect=domain_test2.com

Dit geeft aan dat het SPF record voor "domain_test2.com" moet worden gebruikt in plaats van "domain_test". De mails van domein_test zouden dan worden omgeleid via "domein_test2".

Wanneer kunt u de SPF redirect modifier gebruiken?

1. Wanneer één enkel record voor meerdere domeinen moet worden gebruikt

Bijvoorbeeld,

delaware.example.com. TXT "v=spf1 redirect=_spf.example1.com"
austin.example.com TXT "v=spf1 redirect=_spf.example1.com"
washington.example.com TXT "v=spf1 redirect=_spf.example1.com"
_spf.example.com. TXT "v=spf1 mx:example1.com -all"

In dit voorbeeld zal elke mail van de drie bovengenoemde domeinen worden beschreven door hetzelfde record, in dit geval "_spf.example1.com", hetgeen gebruikers een administratief voordeel biedt.

2. Wanneer de naam van het domein moet worden gewijzigd.

Voor alle mechanismen is de waarde "a", "mx" en "ptr" optioneel. Als er geen specifieke waarden worden opgegeven, worden ze ingesteld op het huidige domein. Wanneer echter een "redirect" wordt gebruikt, wijzen de "a", "mx", en "ptr" mechanismen naar het doorverwezen domein.

Neem het volgende voorbeeld:
powerdmarc.com "v=spf1 a -all"

Hier heeft het mechanisme, "a" geen gespecificeerde waarde, dus zal het dan verwijzen naar het DNS 'A' record van "powerdmarc.com" aangezien dat is waar het SPF record gehost wordt zoals gespecificeerd in het voorbeeld.

Neem nu het volgende voorbeeld:
powerdmarc.com "v=spf1 redirect=_spf.powerdmarc.com"
_spf.powerdmarc.com "v=spf1 a -all"

In het bovenstaande voorbeeld wijst het "a" mechanisme naar het DNS 'A' record van "_spf.powerdmarc.com", ook al verwijst het "powerdmarc.com" root domain er naar door.

Dit is een van de meest voorkomende oorzaken van validatie problemen van SPF en is moeilijk te debuggen. Als uw organisatie een SPF "redirect" gebruikt, merk dan op dat als er een "a", "mx", of "ptr" mechanisme bestaat zonder een expliciet gedefinieerde domeinnaam in uw redirected SPF record, deze alleen zal verwijzen naar het redirected domein.

Nadelen van SPF Redirect

1. De "redirect" modifier voegt toe aan het aantal DNS Lookups

Wanneer SPF e-mailverificatie wordt gebruikt, voert de e-mailserver van de ontvanger, telkens wanneer een e-mail van een domein naar het domein van de ontvanger wordt verzonden, DNS-queryverzoeken uit, ook bekend als DNS-lookups, om te controleren op bestaande geautoriseerde IP-adressen in uw DNS en deze te vergelijken met het IP-adres in de retourpadheader van de ontvangen e-mail. SPF RFC7208 beperkt het maximum aantal voor deze lookups tot 10. 

Een "redirect" modifier, wanneer gebruikt, verhoogt ook deze telling. Uw organisatie moet dus voorzichtig zijn met het gebruik van een "redirect" modifier, aangezien de 10 DNS lookup limiet overschreden kan worden. Dit kan SPF doen breken en leiden tot mislukte authenticatie.

Bij PowerDMARC configureren onze gebruikers PowerSPF, een doeltreffend SPF-afvlakkingshulpmiddel om het aantal lookups te beperken en van een foutloze SPF te genieten.

2. Er wordt een foutmelding gegeven als er geen SPF beleid is gedefinieerd in domeinen die "redirect" gebruiken

Indien u een domein opneemt dat geen SPF record bevat of een ongeldig SPF record heeft, wordt een softfail (geen) resultaat teruggegeven dat geen invloed heeft op het verificatieproces. 

Als echter bij gebruik van de SPF redirect modifier het doorverwezen domein een ongeldig of ontbrekend record voor SPF bevat, wordt een SPF Permerror resultaat geretourneerd, wat een harde fail is en SPF kan doen breken.

Gebruik van het SPF include mechanisme in plaats van de SPF redirect modifier

Wij raden aan het SPF include mechanisme te gebruiken in plaats van de redirect modifier om een aantal veel voorkomende complicaties te omzeilen, Deze zijn als volgt:

  • Wanneer een redirect mechanisme wordt gebruikt, betekent dit het einde van het record en kunnen geen verdere wijzigingen meer worden aangebracht. Als je daarentegen een SPF include gebruikt, kan je wijzigingen aanbrengen aan je record en naar believen meer includes, a of mx records toevoegen, wat meer flexibiliteit biedt.
  • Het include mechanisme kan helpen om uw SPF record in te korten zodat het onder de SPF karakter lengte limiet blijft. U kunt een SPF TXT record maken op spfrecord1.xyz.com en spfrecord2.abc.com door het oorspronkelijk enkele, lange SPF record te splitsen en beide domeinen op te nemen in het TXT record voor een van de domeinen (b.v.: xyz.com).
  • In het geval dat er geen SPF record gevonden in een omgeleid domein kan het bijhouden van de foutstatus (permerror waarde) voor omleiding, zoals hierboven vermeld, ook omzeild worden door gebruik te maken van het include mechanisme dat een softfail resultaat zal teruggeven terwijl je e-mails nog steeds bezorgd worden.
  • In tegenstelling tot SPF include die geen effect heeft op het all mechanisme, instrueert de SPF redirect modifier de server om de SPF ~all voor het root domein met behulp van redirect zoals in het volgende geval:
    domain1.com "v=spf1 redirect=_spf.domain2.com"
    _spf.domain2.com "v=spf1 ip4:164.100.226.127 ~all
    Dit komt omdat voor elk record dat redirect gebruikt, het "all" mechanisme in de eerste plaats afwezig is, wat wel kan bestaan tijdens het gebruik van include mechanismen. Vandaar dat de "~all" set voor het doorverwezen subdomein ook wordt geheven op het root domein.

Conclusie

Er zijn veel dingen om voorzichtig mee te zijn bij het gebruik van een "redirect" modifier zoals de 10 DNS Lookup limiet, daarom moet uw organisatie voorzichtig zijn bij het opzetten van uw SPF Record. Uw organisatie moet de SPF records van tijd tot tijd optimaliseren om ervoor te zorgen dat de DNS lookups binnen de limiet blijven. Voor alle SPF-gerelateerde vragen van uw organisatie, kijk op PowerSPF. Het voert automatische flattening uit en auto-updates van de netblocks om ervoor te zorgen dat de geautoriseerde IP's altijd up-to-date en veilig zijn. Bovendien hoeft u zich geen zorgen te maken over fouten of het overschrijden van DNS lookup limieten.

De beste manier om uw emails met SPF te beveiligen is door ze te implementeren met DKIM en gratis DMARC. Dit zal helpen bij het beschermen van uw organisatie tegen spam mail en mogelijke spear-phishing pogingen. Kijk eens naar PowerDMARC en zorg ervoor dat uw organisatie gebruik maakt van een actieve anti-spoofing DMARC technology service provider.

In dit artikel zullen we onderzoeken hoe u eenvoudig SPF record kunt optimaliseren voor uw domein. Voor ondernemingen en kleine bedrijven die in het bezit zijn van een email domein voor het verzenden en ontvangen van berichten onder hun klanten, partners en werknemers, is het zeer waarschijnlijk dat er standaard een SPF record bestaat, welke is ingesteld door uw inbox service provider. Het maakt niet uit of u een reeds bestaand SPF record heeft of dat u een nieuwe moet aanmaken, u moet uw SPF record correct optimaliseren voor uw domein om er zeker van te zijn dat het geen e-mail afleveringsproblemen veroorzaakt.

Sommige e-mailontvangers vereisen SPF, wat betekent dat als u geen SPF-record voor uw domein hebt gepubliceerd, uw e-mails als spam kunnen worden gemarkeerd in de inbox van uw ontvanger. Bovendien helpt SPF bij het opsporen van niet-geautoriseerde bronnen die e-mails verzenden uit naam van uw domein.

Laten we eerst eens begrijpen wat SPF is en waarom je het nodig hebt.

Sender Policy Framework (SPF)

SPF is in wezen een standaard e-mailverificatieprotocol dat de IP-adressen specificeert die gemachtigd zijn om e-mails van uw domein te verzenden. Het werkt door afzenderadressen te vergelijken met de lijst van geautoriseerde verzendende hosts en IP-adressen voor een specifiek domein die is gepubliceerd in de DNS voor dat domein.

SPF is samen met DMARC (Domain-based Message Authentication, Reporting and Conformance) ontworpen om vervalste afzenderadressen tijdens de aflevering van e-mail op te sporen en spoofing-aanvallen, phishing en oplichting via e-mail te voorkomen.

Het is belangrijk te weten dat hoewel de standaard SPF die door uw hostingprovider in uw domein is geïntegreerd, ervoor zorgt dat e-mails die vanaf uw domein worden verzonden, worden geverifieerd aan de hand van SPF als u meerdere externe leveranciers hebt om e-mails vanaf uw domein te verzenden, dit reeds bestaande SPF-record moet worden aangepast en gewijzigd om aan uw vereisten te voldoen. Hoe kunt u dat doen? Laten we eens kijken naar twee van de meest voorkomende manieren:

  • Een gloednieuw SPF record aanmaken
  • Optimaliseren van een bestaand SPF record

Instructies over hoe SPF record te optimaliseren

Maak een gloednieuw SPF-record

Het aanmaken van een SPF record is simpelweg het publiceren van een TXT record in de DNS van uw domein om SPF voor uw domein te configureren. Dit is een verplichte stap die komt voordat u begint met hoe u SPF record te optimaliseren. Als u net begint met authenticatie en onzeker bent over de syntax, kunt u onze gratis online SPF record generator gebruiken om een SPF record voor uw domein aan te maken.

Een SPF record entry met een correcte syntax ziet er ongeveer zo uit:

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Specificeert de versie van SPF die wordt gebruikt
ip4/ip6Dit mechanisme specificeert de geldige IP adressen die geauthoriseerd zijn om emails te versturen vanaf uw domein.
omvattenDit mechanisme vertelt de ontvangende servers om de waarden voor het SPF record van het gespecificeerde domein op te nemen.
-alleDit mechanisme specificeert dat emails die niet SPF compliant zijn, geweigerd worden. Dit is de aanbevolen tag die je kunt gebruiken bij het publiceren van je SPF record. Het kan echter vervangen worden door ~ voor SPF Soft Fail (niet-conforme emails worden gemarkeerd als soft fail maar worden nog steeds geaccepteerd) of + wat aangeeft dat elke server toegestaan wordt emails te versturen in naam van je domein, wat sterk afgeraden wordt.

Als u SPF al heeft geconfigureerd voor uw domein, kunt u ook onze gratis SPF record checker gebruiken om uw SPF record op te zoeken, te valideren en problemen op te sporen.

Veel voorkomende uitdagingen en fouten bij het configureren van SPF

1) 10 DNS-opzoeklimiet 

De meest voorkomende uitdaging waar domeineigenaren tegenaan lopen bij het configureren en gebruiken van SPF authenticatie protocol voor hun domein, is dat SPF een limiet heeft op het aantal DNS lookups, dat niet hoger mag zijn dan 10. Voor domeinen die afhankelijk zijn van meerdere leveranciers van derde partijen, wordt de limiet van 10 DNS lookups gemakkelijk overschreden, waardoor SPF wordt verbroken en een SPF PermError wordt geretourneerd. De ontvangende server maakt in zo'n geval automatisch je SPF record ongeldig en blokkeert het.

Mechanismen die DNS-lookups initiëren: MX, A, INCLUDE, REDIRECT modifier

2) SPF Leegte Opzoeken 

Ongeldige lookups verwijzen naar DNS lookups die ofwel een NOERROR antwoord of een NXDOMAIN antwoord (ongeldig antwoord) teruggeven. Bij het implementeren van SPF is het aanbevolen ervoor te zorgen dat DNS lookups in de eerste plaats geen ongeldig antwoord teruggeven.

3) SPF recursieve lus

Deze fout geeft aan dat het SPF-record voor het opgegeven domein recursieve problemen bevat met een of meer van de INCLUDE-mechanismen. Dit gebeurt wanneer een van de domeinen die in de INCLUDE tag zijn gespecificeerd een domein bevat waarvan het SPF record de INCLUDE tag van het oorspronkelijke domein bevat. Dit leidt tot een oneindige lus waardoor e-mailservers voortdurend DNS-lookups moeten uitvoeren voor de SPF-records. Dit leidt uiteindelijk tot het overschrijden van de 10 DNS lookup limiet, wat resulteert in emails die SPF niet halen.

4) Syntaxisfouten 

Een SPF record kan bestaan in de DNS van uw domein, maar het is van geen nut als het syntaxfouten bevat. Als uw SPF TXT record onnodige spaties bevat bij het typen van de domeinnaam of mechanisme naam, zal de string die voorafgaat aan de extra spatie volledig genegeerd worden door de ontvangende server bij het uitvoeren van een lookup, waardoor het SPF record ongeldig wordt.

5) Meerdere SPF records voor hetzelfde domein

Een enkel domein kan slechts één SPF TXT entry in de DNS hebben. Als uw domein meer dan één SPF record bevat, maakt de ontvangende server ze allemaal ongeldig, waardoor e-mails SPF niet halen.

6) Lengte van het SPF-record 

De maximumlengte van een SPF-record in de DNS is beperkt tot 255 tekens. Deze limiet kan echter worden overschreden en een TXT-record voor SPF kan meerdere strings bevatten die aan elkaar zijn gekoppeld, maar niet langer dan 512 tekens, om in het DNS-antwoord op een zoekopdracht te passen (volgens RFC 4408). Hoewel dit later werd herzien, zouden ontvangers die op oudere DNS-versies vertrouwen, niet in staat zijn e-mails te valideren die afkomstig zijn van domeinen die een lang SPF-record bevatten.

Uw SPF-record optimaliseren

Om uw SPF record snel aan te passen kunt u de volgende SPF best practices gebruiken:

  • Probeer uw e-mailbronnen in aflopende volgorde van belangrijkheid van links naar rechts in uw SPF-record te typen
  • Verwijder verouderde e-mailbronnen uit uw DNS
  • Gebruik IP4/IP6-mechanismen in plaats van A en MX
  • Hou het aantal INCLUDE mechanismen zo laag mogelijk en vermijd geneste includes
  • Publiceer niet meer dan één SPF record voor hetzelfde domein in uw DNS
  • Zorg ervoor dat uw SPF-record geen overbodige spaties of syntaxisfouten bevat

Opmerking: SPF flattening wordt niet aangeraden omdat het niet eenmalig is. Als je email service provider zijn infrastructuur wijzigt, zul je elke keer je SPF records overeenkomstig moeten wijzigen.

Uw SPF-record optimaliseren gemakkelijk gemaakt met PowerSPF

U kunt doorgaan en proberen om al die bovengenoemde wijzigingen om uw SPF record te optimaliseren handmatig uit te voeren, of u kunt het gedoe vergeten en vertrouwen op onze dynamische PowerSPF om dat allemaal automatisch voor u te doen! PowerSPF helpt u om uw SPF record met een enkele klik te optimaliseren, waarin u kunt:

  • Eenvoudig verzendende bronnen toevoegen of verwijderen
  • Eenvoudig records bijwerken zonder uw DNS handmatig te moeten wijzigen
  • Krijg een geoptimaliseerd auto SPF record met één klik op de knop
  • Blijf altijd onder de 10 DNS lookup limiet
  • Succesvol verzachten PermError
  • Vergeet syntaxisfouten in SPF-records en configuratieproblemen
  • Wij nemen u de last van het oplossen van SPF-beperkingen uit handen

Meld u vandaag nog aan bij PowerDMARC en zeg voor altijd vaarwel tegen de SPF beperkingen!