Berichten

Heb je ooit een e-mail gezien die SPF niet haalde? Als dat zo is, dan zal ik je precies vertellen waarom SPF verificatie faalt. Sender Policy Framework, of SPF, is een van de e-mail verificatie standaarden die we allemaal al jaren gebruiken om spam tegen te houden. Zelfs als je er niet van op de hoogte was, durf ik te wedden dat als ik de instellingen van je login account voor Facebook zou controleren, je waarschijnlijk "opt-in" zou zien voor "alleen e-mail van vrienden". Dat is in feite hetzelfde als SPF.

SPF is een e-mailverificatieprotocol dat wordt gebruikt om te controleren of de afzender van de e-mail overeenkomt met zijn domeinnaam in het veld Van: van het bericht. De verzendende MTA zal DNS gebruiken om een vooraf geconfigureerde lijst van SPF servers te bevragen om te controleren of het verzendende IP gemachtigd is om e-mail voor dat domein te verzenden. Er kunnen inconsistenties zijn in de manier waarop SPF-records worden ingesteld, wat van cruciaal belang is om te begrijpen waarom e-mails SPF-verificatie kunnen weigeren, en welke rol u kunt spelen om ervoor te zorgen dat er geen problemen optreden bij uw eigen e-mailmarketingactiviteiten.

Waarom SPF Authenticatie Faalt : Geen, Neutraal, Hardfail, Softfail, TempError, en PermError

SPF authenticatie mislukt om de volgende redenen:

  • De ontvangende MTA slaagt er niet in een SPF record te vinden dat in uw DNS gepubliceerd is
  • U heeft meerdere SPF records gepubliceerd in uw DNS voor hetzelfde domein
  • Uw ESP's hebben hun IP-adressen gewijzigd of toegevoegd die niet zijn bijgewerkt op uw SPF-record
  • Als u de 10 DNS lookup limiet voor SPF overschrijdt
  • Als u het maximum aantal toegestane opzoekingen overschrijdt van 2
  • De lengte van uw SPF record overschrijdt de limiet van 255 SPF karakters

Hierboven staan verschillende scenario's waarom SPF authenticatie mislukt. U kunt uw domeinen monitoren met onze DMARC analyzer om rapporten te krijgen over SPF authenticatie mislukkingen. Wanneer u DMARC rapportage heeft ingeschakeld, retourneert de ontvangende MTA een van de volgende SPF authenticatie mislukte resultaten voor de e-mail, afhankelijk van de reden waarom uw e-mail SPF heeft gefaald. Laten we ze beter leren kennen:

Geval 1: SPF Geen resultaat wordt geretourneerd

In het eerste geval, - als de ontvangende e-mailserver een DNS lookup uitvoert en de domeinnaam niet in de DNS kan vinden, wordt een none resultaat geretourneerd. Geen wordt ook geretourneerd als er geen SPF record wordt gevonden in de DNS van de afzender, wat impliceert dat de afzender geen SPF authenticatie heeft geconfigureerd voor dit domein. In dit geval mislukt de SPF authenticatie voor uw emails.

Genereer nu uw foutloze SPF record met onze gratis SPF record generator tool om dit te vermijden.

Geval 2: SPF Neutraal resultaat wordt geretourneerd

Als u bij het configureren van SPF voor uw domein een ?all mechanisme aan uw SPF record hebt gekoppeld, betekent dit dat ongeacht wat de SPF authenticatiecontroles voor uw uitgaande e-mailberichten opleveren, de ontvangende MTA een neutraal resultaat retourneert. Dit gebeurt omdat wanneer je je SPF in neutrale modus hebt, je niet de IP adressen specificeert die geauthoriseerd zijn om namens jou emails te versturen en niet geauthoriseerde IP adressen toestaat om ze ook te versturen.

Geval 3: SPF Softfail Resultaat

Vergelijkbaar met SPF neutraal, wordt SPF softfail geïdentificeerd door het ~all mechanisme, wat inhoudt dat de ontvangende MTA de mail accepteert en aflevert in de inbox van de ontvanger, maar dat deze wordt gemarkeerd als spam, in het geval dat het IP adres niet voorkomt in het SPF record in de DNS, wat een reden kan zijn waarom SPF authenticatie mislukt voor uw e-mail. Hieronder staat een voorbeeld van een SPF softfail:

 v=spf1 include:spf.google.com ~all

Geval 4: SPF Hardfail Resultaat

SPF hardfail, ook bekend als SPF fail is wanneer ontvangende MTA's emails zouden negeren die afkomstig zijn van een versturende bron die niet in je SPF record voorkomt. Wij raden u aan om SPF hardfail in uw SPF record te configureren, als u bescherming wilt tegen domein impersonatie en email spoofing. Hieronder staat een voorbeeld van SPF hardfail:

v=spf1 include:spf.google.com -all

Geval 5: SPF TempError (SPF tijdelijke fout)

Een van de meest voorkomende en vaak onschuldige redenen waarom SPF authenticatie mislukt is SPF TempError (tijdelijke fout) die veroorzaakt wordt door een DNS fout zoals een DNS timeout terwijl een SPF authenticatie controle wordt uitgevoerd door de ontvangende MTA. Het is dus, zoals de naam al zegt, meestal een tussentijdse fout die een 4xx status code terugstuurt die een tijdelijke SPF mislukking kan veroorzaken, maar een SPF pass-resultaat oplevert als het later opnieuw geprobeerd wordt.

Geval 6: SPF PermError (SPF permanente fout)

Een ander veel voorkomend resultaat waar domeinfouten mee te maken krijgen is SPF PermError. Dit is de reden waarom SPF authenticatie in de meeste gevallen mislukt. Dit gebeurt wanneer je SPF record ongeldig wordt gemaakt door de ontvangende MTA. Er zijn vele redenen waarom SPF kan breken en ongeldig gemaakt kan worden door de MTA tijdens het uitvoeren van DNS lookups:

  • Overschrijden van de 10 SPF lookup limiet
  • Onjuiste SPF record syntax
  • Meer dan één SPF record voor hetzelfde domein
  • Overschrijding van de SPF record lengte limiet van 255 tekens
  • Als uw SPF record niet up to date is met de wijzigingen die uw ESP's

Opmerking: Wanneer een MTA een SPF controle uitvoert op een e-mail, bevraagt hij de DNS of voert hij een DNS lookup uit om de authenticiteit van de e-mail bron te controleren. Idealiter zijn in SPF maximaal 10 DNS lookups toegestaan, bij overschrijding daarvan zal SPF falen en een PermError resultaat geven.

Hoe kan Dynamic SPF Flattening een SPF PermError oplossen?

In tegenstelling tot de andere SPF fouten, is de SPF PermError veel lastiger en ingewikkelder op te lossen. PowerSPF helpt u om dit probleem op te lossen met behulp van automatische SPF afvlakking. Het helpt u:

  • Blijf onder de harde limiet van de SPF
  • Optimaliseer direct uw SPF record
  • Verlaag uw record tot een enkele verklaring
  • Zorg ervoor dat uw SPF-record altijd wordt bijgewerkt bij wijzigingen door uw ESP's

Wilt u testen of u SPF correct heeft geconfigureerd voor uw domein? Probeer dan vandaag nog onze gratis SPF record lookup tool!

Is het goed om meerdere SPF records op uw domein te hebben? Het antwoord is nee, omdat het hebben van meerdere SPF records een van de meest voorkomende SPF fouten is die domeineigenaren tegenkomen, het kan je SPF volledig ongeldig maken en leiden tot SPF PermError. Om te begrijpen waarom dit gebeurt moeten we weten hoe SPF functioneert en waarom het hebben van meer dan één SPF record problemen kan veroorzaken bij de verificatie. Voer vandaag nog een SPF record controle uit om fouten in uw SPF record configuratie op te sporen.

Hoe werkt SPF?

Sender Policy Framework of SPF is een populair e-mail authenticatieprotocol dat werkt door een lijst op te stellen van alle geautoriseerde verzendbronnen die namens uw domein e-mails mogen verzenden. SPF werkt door het uitvoeren van DNS query requests, of DNS lookups waarbij de ontvangende MTA het Return-path adres van uw e-mail opzoekt en valideert door het te vergelijken met de lijst van IP adressen die vermeld staan in het SPF record dat zich in de DNS van uw domein bevindt.

Als er een overeenkomst wordt gevonden, wordt de e-mail door SPF gehaald, anders niet.

SPF configureren is dus gewoon een DNS TXT record publiceren dat begint met de syntax "v=spf1".

Wat is SPF PermError?

Wanneer een ontvangende MTA begint met het uitvoeren van SPF authenticatie op een e-mail, haalt hij alle DNS TXT records op die beginnen met "v=spf1". Als SPF niet is geconfigureerd voor het verzendende domein, en er geen SPF record wordt gevonden in de DNS, wordt een None resultaat geretourneerd. Als er daarentegen meerdere SPF-records beginnend met "v=spf1" worden gevonden voor hetzelfde domein, wordt een PermError-resultaat teruggezonden.

De verkeerde kant op: 

Soort recordDomeinnaamRecord WaardeTTL
TXTexampledomain.comv=spf1 include:_spf.zoho.com -allstandaard
TXTexampledomain.comv=spf1 include:_spf.google.com -allstandaard

In dit voorbeeld, voor domein exampledomain.com, zijn er 2 afzonderlijke DNS TXT records die gepubliceerd zijn in de DNS van het domein. In dit geval mislukt de SPF authenticatie door SPF PermError.

 

De juiste manier: 

Soort recordDomeinnaamRecord WaardeTTL
TXTexampledomain.comv=spf1 include:_spf.zoho.com include:_spf.google.com -allstandaard

In dit voorbeeld heeft het domein exampledomain.com slechts één SPF DNS TXT record in de DNS gepubliceerd door alle include mechanismen in één enkel record toe te voegen. Het record is geldig en SPF zou in dit geval geen PermError resultaat teruggeven. Leer hoe u uw SPF record op de juiste manier optimaliseert om SPF record fouten in de toekomst te vermijden.

Andere factoren die van invloed zijn op SPF: Soorten SPF-fouten

Zoals hierboven besproken, is het hebben van meer dan één SPF record een veel voorkomende SPF fout die uw SPF record ongeldig kan maken en SPF verificatie kan doen mislukken. Dus het antwoord op de vraag "Kan ik meerdere SPF records op mijn domein hebben?" is eenvoudig en simpel: nee, dat kan niet. Als je er zeker van bent dat je maar één SPF record hebt gepubliceerd in je DNS, kunnen er nog andere factoren zijn die SPF fouten veroorzaken.

  • Overschrijding van de SPF 10 lookup limiet kan ook SPF PermError teruggeven en SPF breken.
  • Het handmatig afvlakken van uw SPF-record om alle IP-adressen achter uw include-mechanisme te doorlopen kan leiden tot een lang record dat de tekenreekslimiet van 255 tekens kan overschrijden
  • Uw email service providers zoals Zoho, Gmail, of Outlook kunnen hun IP adressen veranderen of toevoegen waardoor uw SPF record ongeldig wordt
  • Uw SPF record kan syntaxfouten bevatten

Om de bovenvermelde fouten te vermijden gebruikt u PowerSPF om uw SPF record automatisch af te vlakken en onder de 10 DNS lookup limiet te blijven.

U kunt uw foutloze SPF record genereren met onze gratis SPF record generator. Meld u vandaag nog aan voor DMARC Analyzer om SPF correct te configureren voor uw domein en alle SPF fouten te vermijden.

Redenen om SPF afvlakking te vermijden

Sender Policy Framework, of SPF is een alom geprezen e-mail authenticatie protocol dat uw berichten valideert door ze te vergelijken met alle geautoriseerde IP adressen die voor uw domein in uw SPF record zijn geregistreerd. Om emails te valideren, specificeert SPF aan de ontvangende mail server om DNS queries uit te voeren om te controleren op geautoriseerde IP's, wat resulteert in DNS lookups.

Uw SPF record bestaat als een DNS TXT record dat gevormd wordt uit een assemblage van verschillende mechanismen. De meeste van deze mechanismen (zoals include, a, mx, redirect, exists, ptr) genereren DNS lookups. Het maximum aantal DNS-lookups voor SPF-authenticatie is echter beperkt tot 10. Als u verschillende derde partijen gebruikt om emails te versturen met uw domein, kunt u gemakkelijk de harde limiet van SPF overschrijden.

U vraagt zich misschien af wat er gebeurt als u deze limiet overschrijdt? Het overschrijden van de 10 DNS lookup limiet zal leiden tot SPF mislukking en zelfs legitieme berichten verzonden vanaf uw domein ongeldig maken. In zulke gevallen stuurt de ontvangende mail server een SPF PermError rapport terug naar uw domein als u DMARC monitoring heeft ingeschakeld. Dit brengt ons bij het primaire onderwerp van discussie voor deze blog: SPF flattening.

Wat is SPF afvlakking?

SPF record flattening is één van de populaire methodes die gebruikt wordt door industrie experten om uw SPF record te optimaliseren en te vermijden dat de SPF harde limiet overschreden wordt. De procedure voor SPF flattening is vrij eenvoudig. Het flatten van uw SPF record is het proces van het vervangen van alle include mechanismen door hun respectievelijke IP adressen om de noodzaak voor het uitvoeren van DNS lookups te elimineren.

Bijvoorbeeld, als uw SPF record er oorspronkelijk zo uitzag:

v=spf1 include:spf.domain.com -all

Een afgevlakt SPF record ziet er ongeveer zo uit:

v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -all

Dit afgevlakte record genereert slechts één DNS lookup, in plaats van meerdere lookups uit te voeren. Het verminderen van het aantal DNS-queries dat door de ontvangende server wordt uitgevoerd tijdens e-mailauthenticatie helpt om onder de limiet van 10 DNS-lookups te blijven, maar heeft zo zijn eigen problemen.

Het probleem met SPF afvlakking

Afgezien van het feit dat uw handmatig afgevlakte SPF record te lang kan worden om te publiceren op de DNS van uw domein (het overschrijden van de 255 karakter limiet), moet u er rekening mee houden dat uw email service provider zijn IP adressen kan wijzigen of toevoegen zonder u als gebruiker daarvan op de hoogte te stellen. Wanneer uw provider af en toe wijzigingen aanbrengt aan hun infrastructuur, worden deze wijzigingen niet weerspiegeld in uw SPF record. Wanneer deze gewijzigde of nieuwe IP adressen dus door uw mail server worden gebruikt, zal de e-mail SPF aan de kant van de ontvanger falen.

PowerSPF: Uw dynamische SPF Record Generator

Het uiteindelijke doel van PowerDMARC was om met een oplossing te komen die kan voorkomen dat domeineigenaren tegen de 10 DNS lookup limiet aanlopen, alsmede het optimaliseren van uw SPF record om altijd op de hoogte te blijven van de laatste IP adressen die uw email service providers gebruiken. PowerSPF is uw geautomatiseerde SPF flattening oplossing die uw SPF record doorzoekt om een enkele include verklaring te genereren. PowerSPF helpt u:

  • Gemakkelijk IP's en mechanismen toevoegen of verwijderen
  • Automatische update van netblokkades om ervoor te zorgen dat uw geautoriseerde IP's altijd up-to-date zijn
  • Blijf met gemak onder de 10 DNS lookup limiet
  • Verkrijg een geoptimaliseerd SPF-record met een enkele klik
  • Permerror' permanent verslaan
  • Foutloze SPF implementeren

Meld u vandaag nog aan bij PowerDMARC voor een betere bezorgbaarheid en authenticatie van e-mail, terwijl u onder de limiet van 10 DNS SPF-lookups blijft.

In dit artikel zullen we onderzoeken hoe u eenvoudig SPF record kunt optimaliseren voor uw domein. Voor ondernemingen en kleine bedrijven die in het bezit zijn van een email domein voor het verzenden en ontvangen van berichten onder hun klanten, partners en werknemers, is het zeer waarschijnlijk dat er standaard een SPF record bestaat, welke is ingesteld door uw inbox service provider. Het maakt niet uit of u een reeds bestaand SPF record heeft of dat u een nieuwe moet aanmaken, u moet uw SPF record correct optimaliseren voor uw domein om er zeker van te zijn dat het geen e-mail afleveringsproblemen veroorzaakt.

Sommige e-mailontvangers vereisen SPF, wat betekent dat als u geen SPF-record voor uw domein hebt gepubliceerd, uw e-mails als spam kunnen worden gemarkeerd in de inbox van uw ontvanger. Bovendien helpt SPF bij het opsporen van niet-geautoriseerde bronnen die e-mails verzenden uit naam van uw domein.

Laten we eerst eens begrijpen wat SPF is en waarom je het nodig hebt.

Sender Policy Framework (SPF)

SPF is in wezen een standaard e-mailverificatieprotocol dat de IP-adressen specificeert die gemachtigd zijn om e-mails van uw domein te verzenden. Het werkt door afzenderadressen te vergelijken met de lijst van geautoriseerde verzendende hosts en IP-adressen voor een specifiek domein die is gepubliceerd in de DNS voor dat domein.

SPF is samen met DMARC (Domain-based Message Authentication, Reporting and Conformance) ontworpen om vervalste afzenderadressen tijdens de aflevering van e-mail op te sporen en spoofing-aanvallen, phishing en oplichting via e-mail te voorkomen.

Het is belangrijk te weten dat hoewel de standaard SPF die door uw hostingprovider in uw domein is geïntegreerd, ervoor zorgt dat e-mails die vanaf uw domein worden verzonden, worden geverifieerd aan de hand van SPF als u meerdere externe leveranciers hebt om e-mails vanaf uw domein te verzenden, dit reeds bestaande SPF-record moet worden aangepast en gewijzigd om aan uw vereisten te voldoen. Hoe kunt u dat doen? Laten we eens kijken naar twee van de meest voorkomende manieren:

  • Een gloednieuw SPF record aanmaken
  • Optimaliseren van een bestaand SPF record

Instructies over hoe SPF record te optimaliseren

Maak een gloednieuw SPF-record

Het aanmaken van een SPF record is simpelweg het publiceren van een TXT record in de DNS van uw domein om SPF voor uw domein te configureren. Dit is een verplichte stap die komt voordat u begint met hoe u SPF record te optimaliseren. Als u net begint met authenticatie en onzeker bent over de syntax, kunt u onze gratis online SPF record generator gebruiken om een SPF record voor uw domein aan te maken.

Een SPF record entry met een correcte syntax ziet er ongeveer zo uit:

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Specificeert de versie van SPF die wordt gebruikt
ip4/ip6Dit mechanisme specificeert de geldige IP adressen die geauthoriseerd zijn om emails te versturen vanaf uw domein.
omvattenDit mechanisme vertelt de ontvangende servers om de waarden voor het SPF record van het gespecificeerde domein op te nemen.
-alleDit mechanisme specificeert dat emails die niet SPF compliant zijn, geweigerd worden. Dit is de aanbevolen tag die je kunt gebruiken bij het publiceren van je SPF record. Het kan echter vervangen worden door ~ voor SPF Soft Fail (niet-conforme emails worden gemarkeerd als soft fail maar worden nog steeds geaccepteerd) of + wat aangeeft dat elke server toegestaan wordt emails te versturen in naam van je domein, wat sterk afgeraden wordt.

Als u SPF al heeft geconfigureerd voor uw domein, kunt u ook onze gratis SPF record checker gebruiken om uw SPF record op te zoeken, te valideren en problemen op te sporen.

Veel voorkomende uitdagingen en fouten bij het configureren van SPF

1) 10 DNS-opzoeklimiet 

De meest voorkomende uitdaging waar domeineigenaren tegenaan lopen bij het configureren en gebruiken van SPF authenticatie protocol voor hun domein, is dat SPF een limiet heeft op het aantal DNS lookups, dat niet hoger mag zijn dan 10. Voor domeinen die afhankelijk zijn van meerdere leveranciers van derde partijen, wordt de limiet van 10 DNS lookups gemakkelijk overschreden, waardoor SPF wordt verbroken en een SPF PermError wordt geretourneerd. De ontvangende server maakt in zo'n geval automatisch je SPF record ongeldig en blokkeert het.

Mechanismen die DNS-lookups initiëren: MX, A, INCLUDE, REDIRECT modifier

2) SPF Leegte Opzoeken 

Ongeldige lookups verwijzen naar DNS lookups die ofwel een NOERROR antwoord of een NXDOMAIN antwoord (ongeldig antwoord) teruggeven. Bij het implementeren van SPF is het aanbevolen ervoor te zorgen dat DNS lookups in de eerste plaats geen ongeldig antwoord teruggeven.

3) SPF recursieve lus

Deze fout geeft aan dat het SPF-record voor het opgegeven domein recursieve problemen bevat met een of meer van de INCLUDE-mechanismen. Dit gebeurt wanneer een van de domeinen die in de INCLUDE tag zijn gespecificeerd een domein bevat waarvan het SPF record de INCLUDE tag van het oorspronkelijke domein bevat. Dit leidt tot een oneindige lus waardoor e-mailservers voortdurend DNS-lookups moeten uitvoeren voor de SPF-records. Dit leidt uiteindelijk tot het overschrijden van de 10 DNS lookup limiet, wat resulteert in emails die SPF niet halen.

4) Syntaxisfouten 

Een SPF record kan bestaan in de DNS van uw domein, maar het is van geen nut als het syntaxfouten bevat. Als uw SPF TXT record onnodige spaties bevat bij het typen van de domeinnaam of mechanisme naam, zal de string die voorafgaat aan de extra spatie volledig genegeerd worden door de ontvangende server bij het uitvoeren van een lookup, waardoor het SPF record ongeldig wordt.

5) Meerdere SPF records voor hetzelfde domein

Een enkel domein kan slechts één SPF TXT entry in de DNS hebben. Als uw domein meer dan één SPF record bevat, maakt de ontvangende server ze allemaal ongeldig, waardoor e-mails SPF niet halen.

6) Lengte van het SPF-record 

De maximumlengte van een SPF-record in de DNS is beperkt tot 255 tekens. Deze limiet kan echter worden overschreden en een TXT-record voor SPF kan meerdere strings bevatten die aan elkaar zijn gekoppeld, maar niet langer dan 512 tekens, om in het DNS-antwoord op een zoekopdracht te passen (volgens RFC 4408). Hoewel dit later werd herzien, zouden ontvangers die op oudere DNS-versies vertrouwen, niet in staat zijn e-mails te valideren die afkomstig zijn van domeinen die een lang SPF-record bevatten.

Uw SPF-record optimaliseren

Om uw SPF record snel aan te passen kunt u de volgende SPF best practices gebruiken:

  • Probeer uw e-mailbronnen in aflopende volgorde van belangrijkheid van links naar rechts in uw SPF-record te typen
  • Verwijder verouderde e-mailbronnen uit uw DNS
  • Gebruik IP4/IP6-mechanismen in plaats van A en MX
  • Hou het aantal INCLUDE mechanismen zo laag mogelijk en vermijd geneste includes
  • Publiceer niet meer dan één SPF record voor hetzelfde domein in uw DNS
  • Zorg ervoor dat uw SPF-record geen overbodige spaties of syntaxisfouten bevat

Opmerking: SPF flattening wordt niet aangeraden omdat het niet eenmalig is. Als je email service provider zijn infrastructuur wijzigt, zul je elke keer je SPF records overeenkomstig moeten wijzigen.

Uw SPF-record optimaliseren gemakkelijk gemaakt met PowerSPF

U kunt doorgaan en proberen om al die bovengenoemde wijzigingen om uw SPF record te optimaliseren handmatig uit te voeren, of u kunt het gedoe vergeten en vertrouwen op onze dynamische PowerSPF om dat allemaal automatisch voor u te doen! PowerSPF helpt u om uw SPF record met een enkele klik te optimaliseren, waarin u kunt:

  • Eenvoudig verzendende bronnen toevoegen of verwijderen
  • Eenvoudig records bijwerken zonder uw DNS handmatig te moeten wijzigen
  • Krijg een geoptimaliseerd auto SPF record met één klik op de knop
  • Blijf altijd onder de 10 DNS lookup limiet
  • Succesvol verzachten PermError
  • Vergeet syntaxisfouten in SPF-records en configuratieproblemen
  • Wij nemen u de last van het oplossen van SPF-beperkingen uit handen

Meld u vandaag nog aan bij PowerDMARC en zeg voor altijd vaarwel tegen de SPF beperkingen!