Wat is SPF inclusief?

Leer wat SPF Include is en hoe je SPF Include kunt gebruiken om zonder fouten meerdere hosts en IP-adressen aan je SPF-record toe te voegen.

door Yunes

Leestijd: 6 min
Wat is SPF inclusief?
Inhoudsopgave-

Het SPF Include-mechanisme bevat verwijzingen of voorwaarden - binnen een SPF-record - waaraan voor elke server moet worden voldaan om de deliverability van e-mails te verbeteren. Als je per ongeluk nalaat de Include-verklaringen voor je externe leveranciers toe te voegen aan je SPF-record, kan dit leiden tot problemen voor je ontvangers, zoals bounced e-mails en je totale bouncepercentage kan omhoog schieten.

Leer wat het "Include" mechanisme in de SPF Records is en hoe u SPF Include statements kunt optimaliseren voor uw behoeften.

Wat betekent SPF inbegrepen?

In de syntaxis van uw SPF-record geeft het "include"-mechanisme records aan om uw e-mailserver te laten controleren op records die overeenkomen met het domein dat is opgegeven in de "include"-regel. 

SPF "include" wijst naar een domein waarvan de SPF records worden opgevraagd wanneer wordt gecontroleerd of het verzendende IP-adres is toegestaan of niet. Als het verzendende IP adres is opgenomen in een "include" lijst die is gedefinieerd door SPF, dan zal dit resulteren in een overeenkomst en zal SPF slagen.

Belang van SPF Multiple Include Mechanisme

 SPF opnemen is belangrijk omdat:

Hiermee geeft u aan dat u beschermd wilt worden door SPF-records voor elk domein dat in uw "include"-blok staat.

➜ Het voegt regels toe die specifiek zijn voor een domein.

➜ U kunt het SPF Include mechanisme gebruiken om algemene filterregels op te nemen die van toepassing zijn op alle domeinen binnen dezelfde klasse. Dit betekent dat, als uw toepassing meerdere klassen van e-mailadressen ondersteunt, u include statements kunt gebruiken om complexere filtering mogelijk te maken op basis van de klasse van het adres van de ontvanger.

Hoe werkt SPF inclusief?

Met het SPF include-mechanisme kan een domeineigenaar de verantwoordelijkheid voor het verzenden van e-mails aan een ander domein delegeren. Het wordt vaak gebruikt wanneer een domeineigenaar een externe service of provider wil machtigen om e-mails namens hem te versturen.

Zo werkt het SPF include mechanisme:

  • De domeineigenaar publiceert een SPF-record
  • Het Include-mechanisme in het SPF-record specificeert een ander domein of IP-adres dat geautoriseerd is om e-mails namens hen te versturen.
  • Tijdens het opzoekproces wordt het SPF-record opgehaald uit het DNS van het domein van de afzender.
  • De ontvangende e-mailserver evalueert het SPF-record om te bepalen of de verzendende server geautoriseerd is om e-mails voor dat domein te verzenden. Als het SPF-record een "include"-mechanisme bevat, controleert de ontvangende server ook het SPF-record van het included domein.
  • De ontvangende server voert een recursieve zoekopdracht uit door de DNS te vragen naar het SPF-record van het opgenomen domein. Dit proces gaat door als er meerdere lagen van inclusiemechanismen zijn.

Voorbeeld SPF opnemen

Bijvoorbeeld: Als je "include:_spf.google.com" in je SPF record hebt staan, en er worden e-mails verstuurd vanaf een Google IP adres, dan wordt dit beschouwd als een geautoriseerde e-mail afzender omdat het IP adres van dat domein gevonden wordt in het "include" mechanisme van het SPF record van dat domein. Als gevolg hiervan zal de e-mail met succes de server passeren voordat het de beoogde ontvanger bereikt.

Om google te autoriseren als een geverifieerde verzendbron, zou dit de syntax van je SPF-record moeten zijn: 

v=spf1 include:_spf.google.com ~all

Meerdere SPF-records verwarren de ontvangende server over welke TXT record te overwegen tijdens een lookup, en te veel spf omvat het toevoegen van meerdere DNS lookups die snel de lookup limiet van 10 overschrijden.

SPF records zijn TXT-type records die beginnen met de string v=spf1. Zij vertellen e-mail servers welke regels zij moeten volgen bij het bepalen of een bepaalde e-mail al dan niet spam is. De regels omvatten:

  • Een ontvangende mailserver moet verifiëren dat het verzendende domein een geautoriseerde ontvanger van dat bericht is. Als aan deze regel is voldaan, aanvaardt hij het bericht en levert hij het af bij de gebruiker.

  • Een ontvangende mailserver moet nagaan of het IP-adres van het verzendende domein overeenkomt met een geautoriseerd IP-adres voor dat domein en of het IP-adres toebehoort aan een geautoriseerde afzender. Als aan deze voorwaarden is voldaan, wordt het bericht bij de gebruiker afgeleverd.

Daarom, als je twee afzonderlijke SPF TXT record entries op je server hebt, zullen je emails SPF authenticatie niet doorstaan en een PermError terugsturen. Dat komt omdat een ontvangende mail server niet weet welke regel te volgen-het zal gewoon beide TXT records negeren.

Hoe neem je meerdere domeinen of hosts of IP-adressen op in je SPF-record? 

Als je meer dan 1 SPF-record wilt opnemen, kun je problemen krijgen met de bezorging van e-mail (zoals e-mails die als spam worden geweigerd). De oplossing is om de overtredende SPF-records te verwijderen en de domeinen of hostvermeldingen samen te voegen in één record of regel via SPF include.

Neem het voorbeeld van het SPF-record met talrijke hosts en ip4-adressen dat wordt gebruikt door een van 's werelds beroemde tech-fabrikanten van consumentenelektronica, Lenovo.com.

Bij het uitvoeren van SPF Record Lookup voor Lenovo.com, ontdekten we dat het 4 domeinen heeft samengevoegd:

  1. spf.messagelabs.com
  2. _netblocks.eloqua.com
  3. spf.protection.outlook.com
  4. spf.pfpool.lenovo.com

en 5 IP4 adressen:

  1. 72.32.45.225
  2. 40.65.201.146
  3. 138.108.60.125
  4. 138.108.24.107
  5. 52.247.21.11

in een enkel record zoals dit:

v=spf1 include:spf.messagelabs.com include:_netblocks.eloqua.com include:spf.protection.outlook.com include:spf.pfpool.lenovo.com ip4:72.32.45.225 ip4:40.65.201.146 ip4:138.108.60.125 ip4:138.108.24.107 ip4:52.247.21.11 ~all

De semantiek van SPF-records begrijpen

Uit bovenstaand voorbeeld hebben we geleerd dat de volgende regel van toepassing is bij het samenvoegen van talrijke hosts of IP4-adressen in een enkel SPF-record.

Een SPF record moet 3 secties hebben om als geldig beschouwd te worden: de declaratie (begin), het include mechanisme voor domeinen en de IP4 tag voor IP adressen (midden), en een handhavingsregel (einde).

Verklaring: De record moet beginnen met v=spf1 (gebruik deze string niet opnieuw in de regel)

Toegestane domeinen: Voeg een include: voor elk domein (u moet het SPF Include mechanisme gebruiken als include: bij elk domein, u voegt in het SPF record)

Toegestane IP's: Voeg een IP4 tag toe voor elk IP-adres (u moet de IP4-tag gebruiken voor elk IP-adres dat u toevoegt aan het SPF-record)

Handhaving regel: Eindig het record met een ~all verklaring (gebruik deze string aan het einde en slechts eenmaal)

Een belangrijke opmerking met betrekking tot SPF Include

Het is belangrijk om het "include" mechanisme in uw SPF record op te nemen omdat het u toelaat om andere domeinen en hosts in uw SPF record op te nemen, wat nuttig kan zijn om de authenticiteit van uw berichten te verifiëren.

De volgende regel is echter van toepassing op het gebruik van het aantal lookups per SPF-record (zoals vermeld in sectie 10.1 van RFC 4408):

"SPF implementaties MOETEN het aantal mechanismen en modifiers beperken tot maximaal 10 per SPF controle, inclusief eventuele lookups veroorzaakt door het gebruik van het "include" mechanisme of de "redirect" modifier."

Als je SPF implementatie het aantal mechanismen en modifiers niet beperkt, zal het slapen op controles voor onbereikbare hosts. Omdat deze hosts nooit in de controles zullen worden opgenomen, zullen ze nooit mail van cliënten ontvangen. Dit kan ernstige problemen veroorzaken met de aflevering van e-mail.

Verschil tussen SPF omvatten: en een:

Het SPF "include" mechanisme wordt gebruikt om SPF records van een ander domein op te nemen in het SPF record van het huidige domein, terwijl het SPF "a" mechanisme wordt gebruikt om individuele IP adressen of hostnamen (A records) te specificeren die geautoriseerd zijn om e-mails te versturen voor het domein.

SPF omvatten vs een

Redenen om een:

  • Het is praktischer en minder gecompliceerd
  • Omdat je SPF niet hebt ingeschakeld op de relevante domeinen
  • Omdat de SPF niet correct is geconfigureerd of omdat hij per ongeluk andere servers toelaat die niet in zijn A-records staan

Redenen om te gebruiken zijn onder andere:

  • U vertrouwt erop dat de domeinnaam van een site een geldig SPF record heeft
  • Omdat u één enkele bron van waarheid wilt hebben om redenen die niet voor herhaling vatbaar zijn, en het SPF-domein complex is
  • U kunt wijzigingen aanbrengen in uw SPF records zonder noodzakelijkerwijs de DNS te wijzigen voor alle domeinen die de uwe bevatten

Geautomatiseerde optimalisatie van SPF Include: voor meerdere domeinen en IP-adressen

Multi-host, multi-IP adres SPF record is niet nieuw. Maar hoe je dit soort record moet bouwen vereist de nodige expertise om te vermijden dat SPF authenticatie mislukking of PermError.

Om een SPF-record te maken dat werkt, moet je het include: mechanisme correct gebruiken. En om je SPF beleid effectief te laten zijn, moet het goed geïmplementeerd zijn op meerdere hosts en IP adressen.

Bij gebruik van PowerDMARC's SPF-afvlakking genereren we een geldig SPF-record voor je met al je hosts en IP-adressen in één regel tekst. Je kunt zoveel domeinen en IP's toevoegen als je wilt - scheid ze gewoon door spaties. We voegen dat samen in een enkele SPF toevoegen zodat zodat je nooit de opzoeklimiet overschrijdt of te maken krijgt met problemen met e-mailaflevering en hardfail.

SPF omvatten

 

Laatste berichten van Yunes Tarada (Bekijk alle berichten )
Wat zijn de meest voorkomende aanwijzingen voor een poging tot phishing?Wat zijn de gebruikelijke aanwijzingen voor een poging tot phishing?Wat is IP-spoofingWat is IP Spoofing?