SPF mislukt: Veelvoorkomende oorzaken en hoe ze te verhelpen

Blog

Laten we de vele oorzaken van SPF Fail met je doornemen. In dit artikel bespreken we de soorten fouten en leggen we uit hoe je SPF Failures in de toekomst kunt vermijden.

door Maitham Al Lawati

Leestijd: 6 min
SPF mislukt: Veelvoorkomende oorzaken en hoe ze te verhelpen
Inhoudsopgave-

Sender Policy Framework, of SPF, is een van de e-mailverificatieprotocollen die organisaties al jaren gebruiken in hun e-mailsystemen om spam te verminderen en verzendbronnen te autoriseren. Het komt echter vaak voor dat je tegen verschillende fouten aanloopt die resulteren in SPF Failure. In dit bericht bespreken we waardoor SPF kan mislukken en hoe het kan worden opgelost.

Hier zijn enkele veelvoorkomende redenen die leiden tot mislukte SPF: 

  • SPF record syntax fouten 
  • SPF record configuratiefouten 
  • Overschrijding van DNS-opzoeklimieten voor SPF
  • E-mails doorsturen 
  • Onvolledige autorisatie verzendbron

Belangrijkste opmerkingen

  1. SPF-fouten kunnen ontstaan door zaken als onjuiste syntaxis, overschrijding van DNS-opzoeklimieten en meerdere SPF-records voor hetzelfde domein.
  2. Het SPF-mechanisme kan verschillende resultaten teruggeven, waaronder Pass, Fail, Softfail, Neutral en Temporary Error, die elk een ander niveau van authenticatiesucces aangeven.
  3. Het combineren van meerdere SPF-records in een enkele met behulp van het "include"-mechanisme is essentieel om ongeldigheid van de SPF-implementatie te voorkomen.
  4. Regelmatige controle van DMARC-rapporten kan helpen bij het identificeren van de oorzaken van SPF-fouten en tijdige oplossingen mogelijk maken.
  5. Het implementeren van SPF best practices is cruciaal voor het waarborgen van e-mail deliverability en het verkleinen van de kans op authenticatiefouten.

Waarom mislukt SPF? 

SPF kan mislukken om de volgende redenen:

  • De ontvangende MTA kan geen SPF-record vinden dat in jouw DNS is gepubliceerd.
  • U hebt meer dan één SPF-record voor hetzelfde domein geconfigureerd. 
  • Je e-mailserviceproviders hebben nieuwe IP-adressen gewijzigd of toegevoegd die je niet hebt opgenomen in je SPF-record.
  • Je hebt de limiet van 10 DNS-opzoekingen voor SPF overschreden.
  • U overschrijdt het maximum aantal toegestane opzoekingen van 2.
  • De lengte van uw afgevlakte SPF-record overschrijdt de limiet van 255 SPF-karakters.

Wanneer SPF niet werkt voor je e-mail, is je volgende stap om de reden te achterhalen zodat je het kunt oplossen. Dit is mogelijk door regelmatige controle van DMARC-rapporten. PowerDMARC helpt je om rapporten over mislukte SPF-authenticatie eenvoudig te lezen met onze DMARC-analyzer.

Stop SPF-fouten met PowerDMARC!

15 dagen op proefBoek een demo

Soorten SPF-fouten

De volgende typen SPF mislukt qualifiers die elk worden toegevoegd als een prefix voor het SPF mechanisme:

"+" "Geslaagd
"-" "Niet geslaagd
"~" "Softfail
"?" "Neutraal

Wat doen deze ertoe? Well in een situatie waarin je e-mail wordt geweigerd, kun je kiezen hoe streng ontvangers het moeten afhandelen. Je kunt een kwalificatie opgeven om berichten "door te laten die een SPF "Fail" aflevering, of een "Neutraal" standpunt innemen (niets doen).

1. SPF Geen Resultaat teruggestuurd

In het eerste geval, als de ontvangende e-mailserver een DNS-opzoeking uitvoert en de domeinnaam niet kan vinden in de DNS, wordt er geen resultaat geretourneerd. Geen wordt ook geretourneerd als er geen SPF-record wordt gevonden in het DNS van de afzender, wat betekent dat de afzender geen SPF-verificatie heeft geconfigureerd voor dit domein. In dit geval mislukt de SPF-authenticatie voor je e-mails, wat wordt aangegeven met "-all".

Genereer nu uw foutloze SPF record met onze gratis SPF record generator om dit te voorkomen.

2. SPF Neutraal resultaat teruggestuurd

Als je tijdens het configureren van SPF voor je domein een "?all" mechanisme op je SPF record hebt gezet, betekent dit dat ongeacht wat de SPF authenticatie controles voor je uitgaande e-mails concluderen, de ontvangende MTA een neutraal resultaat retourneert. Dit gebeurt omdat wanneer je SPF in neutrale modus staat, je niet de IP-adressen specificeert die geautoriseerd zijn om e-mails namens jou te versturen en ongeautoriseerde IP-adressen toestaat om ze ook te versturen.

3. SPF Softfail resultaat teruggestuurd

Net als SPF neutraal, wordt SPF softfail geïdentificeerd door ~all mechanisme, wat betekent dat de ontvangende MTA de mail zou accepteren en afleveren in de inbox van de ontvanger, maar het zou worden gemarkeerd als spam, in het geval dat het IP-adres niet is opgenomen in het SPF record in de DNS, wat een reden kan zijn waarom SPF authenticatie mislukt voor je e-mail. Hieronder staat een voorbeeld van SPF softfail:

 v=spf1 include:spf.google.com ~all

4. SPF Hardfail resultaat teruggestuurd

SPF hardfail is wanneer ontvangende MTA's e-mails verwijderen die afkomstig zijn van een verzendende bron die niet in je SPF record staat. We raden je aan om SPF hardfail te configureren in je SPF record als je bescherming wilt tegen domain impersonation en email spoofing. 

Voorbeeld: v=spf1 include:spf.google.com -all

Leer het specifieke verschil tussen SPF softfail vs hardfail

5. SPF Temperror (tijdelijke SPF-fout)

Een veel voorkomende en vaak onschuldige reden waarom SPF-authenticatie mislukt, is SPF Temperror (tijdelijke fout). Dit wordt veroorzaakt door een DNS fout zoals een DNS time-out. Het is dus, zoals de naam al zegt, een tijdelijke fout die een 4xx statuscode retourneert die een tijdelijke SPF mislukking kan veroorzaken. Het zal een SPF pass resultaat opleveren wanneer het later opnieuw wordt geprobeerd.

6. SPF Permerror (SPF permanente fout)

Een andere veel voorkomende fout waar domeinen mee te maken krijgen is een SPF Permerror. Dit is wanneer er een fout optreedt met een permanente fout. Dit gebeurt wanneer je SPF-record ongeldig wordt gemaakt door de ontvangende MTA. Er zijn veel redenen waarom SPF kan breken en ongeldig kan worden gemaakt door de MTA tijdens het uitvoeren van DNS lookups:

  • Overschrijding van de 10 SPF lookup limiet
  • Onjuiste SPF record syntaxis
  • Meer dan één SPF-record voor hetzelfde domein
  • Overschrijding van de SPF record lengte limiet van 255 tekens
  • Als je SPF-record niet up-to-date is met wijzigingen door je ESP's

Opmerking: Als een MTA een SPF controleert uitvoert op een e-mail, bevraagt het de DNS of voert het een DNS lookup uit om de authenticiteit van de e-mailbron te controleren. Idealiter zijn er maximaal 10 DNS lookups toegestaan in SPF, als deze overschreden worden zal SPF breken en een Permerror resultaat teruggeven. Dit is een veel voorkomend probleem dat ertoe leidt dat SPF mislukt.

Een SPF-fout oplossen voor e-mails

Voor een goede bezorgbaarheid is het belangrijk om ervoor te zorgen dat SPF niet mislukt voor je e-mails. Om SPF fail te verhelpen, kun je deze best practices volgen: 

1. Blijf binnen de SPF-limieten

Als je verificatie mislukt door DNS lookups die RFC-limieten overschrijden, probeer dan binnen de limiet te blijven om mislukking te voorkomen. PowerDMARC helpt klanten hun SPF-records te optimaliseren om onder deze harde limieten te blijven door middel van macro's. Vaak zijn deze macro's vele malen effectiever dan de SPF-records. Vaak zijn ze vele malen effectiever dan SPF afvlakken. Als u er echter voor kiest om SPF-afvlakking te gebruiken, SPF-afvlakkingstools het proces vereenvoudigen, hoewel ze nog steeds handmatige updates vereisen wanneer je e-mailprovider zijn infrastructuur wijzigt. Macro's in je SPF DNS record helpen je te allen tijde te voorkomen dat je DNS void en lookup limieten overschrijdt.

2. Syntax- en configuratiefouten vermijden

Het handmatig implementeren van SPF-records leidt vaak tot syntaxfouten en zorgt ervoor dat ze mislukken. Om er zeker van te zijn dat je de juiste syntax gebruikt voor SPF, genereer je je record met behulp van een geautomatiseerde SPF record generator tool.

Gebruik bij het configureren van SPF in je DNS altijd het resourcetype "TXT". Als je het verkeerde resourcetype configureert, zoals "CNAME" of zelfs "SPF", zal dit leiden tot configuratiefouten en een SPF-fout. 

3. Alle verzendbronnen autoriseren

Zorg ervoor dat je al je verzendbronnen, inclusief je externe leveranciers, correct autoriseert in je SPF-record. Je leveranciers veranderen vaak hun lijst met versturende IP's of voegen er nieuwe toe. Je moet ervoor zorgen dat je op de hoogte bent van dergelijke wijzigingen en ze implementeren in je eigen SPF-record. Het missen van geautoriseerde verzendbronnen leidt vaak tot onterechte SPF fouten. 

4. Meerdere SPF-records combineren 

Meer dan één SPF record voor hetzelfde domein kan je SPF implementatie ongeldig maken en leiden tot SPF falen. In zulke gevallen is het beter om meerdere records te combineren tot één record door het "include" mechanisme te gebruiken. 

SPF Best Practices

Domeineigenaren die zich houden aan de bovengenoemde SPF best practices kunnen de kans op een onterechte SPF fail aanzienlijk verkleinen. Hier zijn enkele aanvullende goede praktijken die bedrijven in het algemeen kunnen toepassen om hun e-mailbeveiliging verder te versterken: 

  • Gebruik DKIM om SPF-fail te voorkomen voor doorgestuurde e-mails 
  • Gebruik DMARC en DKIM, zodat zelfs als SPF faalt en DKIM slaagt, DMARC slaagt 
  • DMARC-rapportage inschakelen om SPF-fouten en oorzaken te controleren 

Mislukte e-mailverificatie is nooit goed nieuws voor de reputatie en geloofwaardigheid van je domein. Om ervoor te zorgen dat je deliverability niet wordt beïnvloed, moet je nu actie ondernemen om te voorkomen dat je SPF faalt. Wilt u testen of u SPF correct hebt geconfigureerd voor uw domein? Probeer onze gratis SPF-checker vandaag nog uit!

Laatste berichten van Maitham Al Lawati (Bekijk alle berichten)
Wat is e-mailverificatie? Uw e-mails controleren en verifiërenondernemers in cyberbeveiligingHoe ondernemers hun bedrijf kunnen beschermen tegen cyberaanvallen