Har SPF-postlengden en grense? Langt svar kort, ja. SPF-postgrensen din er en strenggrense på 255 tegn som overskrider, noe som kan bryte SPF og føre til autentiseringsfeil. Hvis du har kommet over meldingen "SPF overskrider maksimal tegngrense", betyr det ganske enkelt at SPF-posten i DNS-en din er lengre enn den RFC-spesifiserte ( RFC 7208 ) strengtegngrensen. Dette kan være et problem, spesielt hvis leveringen av e-postene dine er sterkt avhengig av SPF-justering.

Har du allerede en SPF-rekord? Sjekk gyldigheten med vår gratis SPF-kontroll .

Optimaliserer SPF for å holde seg under SPF-lengdegrensen

  1. Unngå å bruke ptr-mekanismen i posten din. Dette er fordi det for øyeblikket ikke støttes i henhold til RFC-retningslinjene for SPF og øker antallet tegn i SPF-strengen ytterligere
  2. Hvis du vil omgå grensen på 255 tegn for SPF for å omgå feilmeldingen uten å svikte SPF, tillater RFC bruk av flere strenger for én enkelt SPF DNS-post. Imidlertid bør alle disse strengene kobles sammen uten mellomrom for at posten din skal være gyldig. Pass på at det er én sammenhengende linje og ikke delt opp i flere linjer, siden hver linje behandles som en egen post. Flere poster for et enkelt domene vil bryte SPF.
  3. Sørg for at du fjerner redundante, gjentatte og NULL-mekanismer i SPF-posten din, som også øker tegngrensen. Dette sikrer at posten din er kort, skarp og gyldig.
  4. Du kan bruke vårt SPF-utflatningsverktøy for å optimalisere posten din automatisk som aldri overskrider grensen for SPF-postlengde på 255 tegn

Hva skjer når du overskrider tegngrensen for SPF-strengen?

Hvis du overskrider grensen på 255 tegn for SPF, vil e-postene dine mislykkes med autentisering på mottakerens side, da posten i DNS-en din nå anses som ugyldig. Avhengig av retningslinjene og tilpasningsmodusen din, kan e-postene dine gå tapt under transport og aldri bli levert til mottakerne. Det anbefales at du konfigurerer en DMARC-rapportanalysator for domenet ditt for å få rapporter om mislykket SPF-autentisering. Med rapportering aktivert i disse scenariene vil du motta en feilmelding på linje med "SPF overskrider maksimal tegngrense" eller din DNS vil kommunisere med BIND for å vise meldingen: "ugyldig rdata format: gikk tom for plass". Hver av disse betyr ganske enkelt at du har overskredet SPF-postgrensen. 

Begrense SPF-postgrensen din med PowerSPF

 

PowerSPF er din one-stop-løsning for alle SPF-relaterte problemer. Enten det er å holde seg under oppslagsgrensen på 10, eller begrense rekordlengden til den spesifiserte grensen, gjør PowerSPF alt umiddelbart og enkelt!

Å optimalisere DNS-postene dine for å nyte feilfri implementering er en mulighet med PowerDMARCs e-postsikkerhetspakke. Registrer deg for en DMARC-prøveperiode for å nyte en ett-klikks optimalisert SPF som aldri overskrider SPF 255 tegngrensen

Hvis du ikke har fulgt hele debatten om DMARC vs SPF, la oss forstå hva de er og hvordan de kan hjelpe deg. Hvis du er ny på e-postautentisering, er sjansen stor for at du har kommet over flyktige termer som DMARC og SPF og ønsker å forstå dem bedre for å avgjøre hvilken som passer deg best.

Sender Policy Framework, aka SPF, lar deg bufre en liste over autoriserte IP-adresser som har lov til å sende e-post til kundene dine på dine vegne ( RFC 4408 ). På den annen side hjelper DMARC med å spesifisere en policy for e-poster som mislykkes med autentisering, og hjelper domeneeiere med å kontrollere strengheten til deres implementerte sikkerhetsprotokoller. Når det er sagt, la oss utdype DMARC vs SPF. 

Jeg har distribuert SPF, trenger jeg fortsatt DMARC?

SPF gir ikke domeneeiere en mekanisme for å sende rapporter om mislykkede leveranser og etterligningsforsøk. Det er her DMARC kommer inn i bildet. Hvis du aktiverer DMARC-rapportering for domenene dine, vil du kunne få varsler om SPF-autentiseringsresultatene dine, som inkluderer, men er ikke begrenset til, mislykket levering og forsøk på forfalskning. Dette er en viktig funksjon som bør være et uunnværlig tillegg til e-postsikkerhetspakken din selv om du kun har SPF utplassert for domenene dine.

Overvåking av domenene dine kan være nyttig for å behandle informasjon om hvordan e-postene dine presterer og måle suksessraten til e-postmarkedsføringskampanjene dine. Det hjelper deg også å svare på angrep raskere og svarteliste mistenkelige avsenderadresser. 

Kan jeg distribuere DMARC uten DKIM?

Ja. Det er mulig å publisere en DMARC-post selv uten tilstedeværelse av en DKIM-post i DNS. Dette er fordi, for at e-postene dine skal anses å være DMARC-kompatible, må de bestå enten SPF- eller DKIM-autentisering og ikke begge deler. Hvis du ikke har en DKIM-post på plass, sjekker mottakende MTA-er kun for SPF-justering som bestemmer autentisiteten til meldingene, mens DKIM automatisk mislykkes for hver melding.

Dette er imidlertid ikke en ideell situasjon. La oss finne ut hvorfor:

Problemet med videresending av e-post og e-postlister

Når det gjelder videresendte e-poster, går meldingen din gjennom en mellomtjener før den kan lande i mottakerens innboks. Denne serveren har en annen IP-adresse som kanskje ikke er inkludert i domenets SPF-post. Derfor bryter de videresendte e-postene SPF på mottakerens side.

Hvis du ikke har en DKIM-post, vil sviktende SPF i hovedsak resultere i sviktende DMARC. For en policy som er satt til å avvise, ville ikke de legitime e-postene dine sendt gjennom e-postlister nå mottakerne dine i det hele tatt. Dette er grunnen til at det å ha både SPF og DKIM implementert for domenet ditt, og oppnå fullstendig DMARC-samsvar ved å justere e-postene dine mot begge protokollene er en bedre måte å sikre jevn levering.

DMARC vs SPF: For å oppsummere

 

For å oppsummere diskusjonen om DMARC vs SPF, er vår anbefaling å starte med å publisere en TXT-post for SPF og en DMARC-post som holder retningslinjene på ingen måte samtidig som den aktiverer samlet rapportering. På denne måten kan du holde oversikt over volumet av e-poster som videresendes eller sendes via e-postlister. En ingen-policy vil ikke ha noen effekt på leveringsdyktigheten til e-postene dine samtidig som den lar deg overvåke domenene dine effektivt.

For å forbedre forsvaret ditt mot forestående phishing-angrep og spoofing trenger du imidlertid en mer håndhevet policy (p=reject/quarantine) for DMARC. Å implementere SPF utelukkende gir ingen beskyttelse mot e-postsvindel, noe som krever en DMARC-policy.

Fordeler med en DMARC-programvareløsning

Vi vil anbefale bruk av PowerDMARCs DMARC rapportanalysator for å få ekspertråd og få mest mulig ut av e-postautentiseringsstandardene dine i dag. Dette vil hjelpe deg:

  • Bytt til en avvisningspolicy på den raskeste markedshastigheten, uten å påvirke leveringsevnen din 
  • Få 100 % DMARC-samsvar på dine utgående e-poster
  • Overvåk e-postkanalene dine mens du er på p=none for å få klarhet i volumet av videresendte e-poster 
  • Ta avgjørelser om protokollpolicymodusene og konfigurasjonene dine raskere og nyt en jevn utrulling av de implementerte standardene for e-autentisering