Wat is SPF inbegrepen?

Blog

Leer wat SPF Include is en hoe je SPF Include kunt gebruiken om zonder fouten meerdere hosts en IP-adressen aan je SPF-record toe te voegen.

door YunesTarada

Leestijd: 6 min
Wat is SPF inbegrepen?
Inhoudsopgave-

Het SPF Include-mechanisme bevat verwijzingen of voorwaarden - binnen een SPF-record - waaraan voor elke server moet worden voldaan om de deliverability van e-mails te verbeteren. Als je per ongeluk nalaat de Include-verklaringen voor je externe leveranciers toe te voegen aan je SPF-record, kan dit leiden tot problemen voor je ontvangers, zoals bounced e-mails en je totale bouncepercentage kan omhoog schieten.

Leer wat het "Include" mechanisme in de SPF Records is en hoe je SPF Include statements kunt optimaliseren voor jouw behoeften.

Belangrijkste opmerkingen

  1. Het SPF Include-mechanisme verbetert de bezorgbaarheid van e-mail door geautoriseerde verzenddomeinen of IP-adressen te specificeren.
  2. Het opnemen van de Include-verklaringen in SPF-records is cruciaal voor het voorkomen van bounced e-mails van externe leveranciers.
  3. Elk SPF-record moet een specifieke structuur volgen, inclusief declaraties, toegestane domeinen en IP-adressen.
  4. Het gebruik van meerdere SPF-records kan tot verwarring leiden bij ontvangende e-mailservers, waardoor e-mail mogelijk niet wordt afgeleverd.
  5. Goed geoptimaliseerde SPF-records met includes kunnen het beheer vereenvoudigen en e-mailverificatieprocessen verbeteren.

Wat betekent SPF inbegrepen?

In de syntaxis van uw SPF-record geeft het "include"-mechanisme records aan die moeten worden doorgegeven aan uw e-mailserver om te controleren of de records overeenkomen met het domein dat is opgegeven in de "include"-regel. 

SPF "include" wijst naar een domein waarvan de SPF records worden opgevraagd wanneer wordt gecontroleerd of het verzendende IP-adres is toegestaan of niet. Als het verzendende IP adres is opgenomen in een "include" lijst die is gedefinieerd door SPF, dan zal dit resulteren in een overeenkomst en zal SPF slagen.

Belang van SPF Multiple Include Mechanisme

 SPF opnemen is belangrijk omdat:

Hiermee geef je aan dat je wilt worden beschermd door SPF-records voor elk domein dat wordt vermeld in je blok "include".

Hiermee worden regels toegevoegd die specifiek zijn voor een domein.

U kunt het SPF Include-mechanisme gebruiken om algemene filterregels op te nemen die van toepassing zijn op alle domeinen binnen dezelfde klasse. Dit betekent dat, als uw toepassing meerdere klassen van e-mailadressen ondersteunt, u include statements kunt gebruiken om complexere filtering toe te staan op basis van de klasse van het ontvangstadres.

Hoe werkt SPF inclusief?

Met het SPF include-mechanisme kan een domeineigenaar de verantwoordelijkheid voor het verzenden van e-mails aan een ander domein delegeren. Het wordt vaak gebruikt wanneer een domeineigenaar een externe service of provider wil machtigen om namens hem e-mails te versturen.

Zo werkt het SPF include mechanisme:

  • De domeineigenaar publiceert een SPF-record
  • Het Include-mechanisme in het SPF-record specificeert een ander domein of IP-adres dat geautoriseerd is om e-mails namens hen te versturen.
  • Tijdens het opzoekproces wordt het SPF-record opgehaald uit het DNS van het domein van de afzender.
  • De ontvangende e-mailserver evalueert het SPF-record om te bepalen of de verzendende server geautoriseerd is om e-mails voor dat domein te verzenden. Als het SPF-record een "include"-mechanisme bevat, controleert de ontvangende server ook het SPF-record van het included domein.
  • De ontvangende server voert een recursieve zoekopdracht uit door de DNS te vragen naar het SPF-record van het opgenomen domein. Dit proces gaat door als er meerdere lagen van inclusiemechanismen zijn.

SPF op de juiste manier instellen met PowerDMARC!

15 dagen op proefBoek een demo

Voorbeeld SPF opnemen

Bijvoorbeeld: Als je "include:_spf.google.com" in je SPF record hebt staan en er worden e-mails verstuurd vanaf een Google IP adres, dan wordt dit beschouwd als een geautoriseerde e-mail afzender omdat het IP adres van dat domein gevonden wordt in het "include" mechanisme van het SPF record van dat domein. Als gevolg hiervan zal de e-mail met succes de server passeren voordat het de beoogde ontvanger bereikt.

Om google te autoriseren als een geverifieerde verzendbron, zou dit de syntax van je SPF-record moeten zijn: 

v=spf1 include:_spf.google.com ~all

Hoe meerdere domeinen of hosts of IP-adressen opnemen in een SPF-record? 

Als je meer dan 1 SPF-record wilt opnemen, kun je problemen krijgen met de bezorging van e-mail (zoals e-mails die als spam worden geweigerd). De oplossing is om de overtredende SPF-records te verwijderen en de domeinen of hostvermeldingen samen te voegen in één record of regel via SPF include.

Beschouw het voorbeeld van het SPF-record met talrijke hosts en ip4-adressen dat wordt gebruikt door een van 's werelds bekendste technologiefabrikanten van consumentenelektronica, Lenovo.com.

Bij het uitvoeren van SPF-bestand opzoeken voor Lenovo.com hebben we ontdekt dat het 4 domeinen heeft samengevoegd:

  1. spf.messagelabs.com
  2. netblocks.eloqua.com
  3. spf.protection.outlook.com
  4. spf.pfpool.lenovo.com

en 5 IP4-adressen:

  1. 72.32.45.225
  2. 40.65.201.146
  3. 138.108.60.125
  4. 138.108.24.107
  5. 52.247.21.11

in een enkele record zoals dit:

v=spf1 include:spf.messagelabs.com include:_netblocks.eloqua.com include:spf.protection.outlook.com include:spf.pfpool.lenovo.com ip4:72.32.45.225 ip4:40.65.201.146 ip4:138.108.60.125 ip4:138.108.24.107 ip4:52.247.21.11 ~all

De semantiek van het SPF-record begrijpen

Gezien het bovenstaande voorbeeld, hebben we geleerd dat de volgende regel van toepassing is bij het samenvoegen van meerdere hosts of IP4 adressen in een enkel SPF record.

Een SPF record moet 3 secties hebben om als geldig beschouwd te worden: de declaratie (start), het include mechanisme voor domeinen en de IP4 tag voor IP adressen (midden), en een handhavingsregel (einde).

Verklaring: De record moet beginnen met v=spf1 (gebruik deze string niet meer in de regel)

Toegestane domeinen: Een include: voor elk domein (je moet het SPF Include mechanisme gebruiken als include: bij elk domein, voeg je toe in het SPF record)

Toegestane IP's: Een IP4 tag toe voor elk IP-adres (u moet de IP4-tag gebruiken voor elk IP-adres dat u toevoegt aan het SPF-record)

Handhaving regel: Eindig het record met een ~all statement (gebruik deze string aan het einde en slechts één keer)

Kan ik meerdere SPF-records hebben?

Het antwoord is nee omdat meerdere SPF-records verwarren de ontvangende server over welke TXT record te overwegen tijdens een lookup, en te veel spf omvat het toevoegen van meerdere DNS lookups die snel zal overschrijden de lookup limiet van 10.

SPF-records zijn TXT-records die beginnen met de string v=spf1. Ze vertellen e-mailservers welke regels ze moeten volgen bij het bepalen of een bepaalde e-mail spam is of niet. De regels omvatten:

  • Een ontvangende mailserver moet controleren of het verzendende domein een geautoriseerde ontvanger van dat bericht is. Als aan deze regel is voldaan, wordt het bericht geaccepteerd en afgeleverd bij de gebruiker.

  • Een ontvangende mailserver moet controleren of het IP-adres van het verzendende domein overeenkomt met een geautoriseerd IP-adres voor dat domein en of het IP-adres toebehoort aan een geautoriseerde afzender. Als aan deze voorwaarden is voldaan, wordt het bericht afgeleverd bij de gebruiker.

Als je dus twee afzonderlijke SPF TXT-records op je server hebt, zullen je e-mails de SPF-verificatie niet doorstaan en een PermError retourneren. Dit komt omdat een ontvangende mailserver niet weet welke regel hij moet volgen-het zal gewoon beide TXT records negeren.

Een belangrijke opmerking over SPF Inclusief

Het is belangrijk om het "include" mechanisme op te nemen in je SPF record omdat je hiermee andere domeinen en hosts kunt opnemen in je SPF record, wat handig kan zijn voor het verifiëren van de authenticiteit van je berichten.

De volgende regel geldt echter voor het gebruik van het aantal lookups per SPF record (zoals vermeld in sectie 10.1 van RFC 4408):

"SPF implementaties MOETEN het aantal mechanismen en modifiers beperken tot maximaal 10 per SPF controle, inclusief eventuele lookups veroorzaakt door het gebruik van het "include" mechanisme of de "redirect" modifier."

Als je SPF implementatie het aantal mechanismen en modifiers niet beperkt, dan zal het controles voor onbereikbare hosts uitstellen. Omdat deze hosts nooit meegenomen worden in je controles, zullen ze nooit mail ontvangen van clients. Dit kan serieuze problemen veroorzaken met het afleveren van mail.

Verschil tussen SPF omvatten: en een:

Het SPF "include" mechanisme wordt gebruikt om SPF records van een ander domein op te nemen in het SPF record van het huidige domein, terwijl het SPF "a" mechanisme wordt gebruikt om individuele IP adressen of hostnamen (A records) te specificeren die geautoriseerd zijn om e-mails te versturen voor het domein.

SPF omvatten vs een

Redenen om een:

  • Het is praktischer en minder ingewikkeld
  • Omdat je SPF niet hebt ingeschakeld op de relevante domeinen
  • Omdat de SPF niet correct is geconfigureerd of omdat het per ongeluk andere servers toestaat die niet in zijn A-records staan.

Redenen om te gebruiken zijn onder andere:

  • U vertrouwt erop dat de domeinnaam van een site een geldig SPF-record heeft
  • Omdat je een enkele bron van de waarheid wilt hebben voor don't-repeat-yourself redenen, en het SPF domein complex is
  • U kunt wijzigingen aanbrengen in uw SPF-records zonder noodzakelijkerwijs de DNS aan te passen voor alle domeinen die de uwe bevatten

Geautomatiseerde optimalisatie van SPF insluiten: voor meerdere domeinen en IP-adressen

SPF-records met meerdere hosts en IP-adressen zijn niet nieuw. Het bouwen van dit soort records vereist de juiste expertise om te voorkomen dat SPF authenticatie mislukking of PermError.

Om een SPF-record te maken dat werkt, moet je het include: mechanisme correct gebruiken. En om je SPF beleid effectief te laten zijn, moet het goed geïmplementeerd zijn op meerdere hosts en IP adressen.

Bij gebruik van PowerDMARC's SPF-afvlakking genereren we een geldig SPF-record voor je met al je hosts en IP-adressen in één regel tekst. Je kunt zoveel domeinen en IP's toevoegen als je wilt - scheid ze gewoon door spaties. We voegen dat samen in een enkele SPF toevoegen zodat zodat je nooit de opzoeklimiet overschrijdt of te maken krijgt met problemen met e-mailaflevering en hardfail.

 

Laatste berichten van Yunes Tarada (Bekijk alle berichten)
Wat zijn de gebruikelijke aanwijzingen voor een poging tot phishing?Wat zijn de gebruikelijke aanwijzingen voor een phishingpoging?Wat is IP-spoofingWat is IP-spoofing?