SPF Flattening uitgelegd — Hoe u de limiet van 10 DNS-lookups oplost
· DMARC Analyzer Pro
Bereikt u de SPF-limiet van 10 DNS-lookups? Ontdek wat SPF flattening is, waarom de limiet bestaat en hoe u dit kunt oplossen zonder uw e-mailauthenticatie te breken.
Als u e-mail beheert voor een middelgrote of grote organisatie, bent u vrijwel zeker de SPF-limiet van 10 DNS-lookups tegengekomen. Uw SPF-record groeit met elke externe dienst die u autoriseert om e-mail te versturen — uw CRM, marketingplatform, helpdesk, HR-systeem — en voor u het weet begint authenticatie stilletjes te falen. SPF flattening is de oplossing, maar het moet zorgvuldig worden uitgevoerd.
Waarom de limiet van 10 lookups bestaat
De SPF-specificatie (RFC 7208) legt een harde limiet op van 10 DNS-lookups per SPF-evaluatie. Dit was een bewuste ontwerpbeslissing om te voorkomen dat SPF-controles een denial-of-service-vector worden. Elk `include:`-, `a:`-, `mx:`- en `redirect=`-mechanisme in uw SPF-record triggert een DNS-lookup. Geneste includes tellen ook mee — als het SPF-record van uw marketingplatform drie andere domeinen bevat, komen die drie lookups uit uw budget.
Zodra u er meer dan 10 heeft, retourneert de SPF-controle een `permerror`-resultaat, wat de meeste ontvangende servers als een fout behandelen. Het ergste? Deze fout is onzichtbaar. U ontvangt geen bouncebericht en uw e-mails belanden stilletjes in spam of worden geweigerd.
Wat SPF flattening doet
SPF flattening vervangt DNS-lookup-intensieve mechanismen (zoals `include:`) door de opgeloste IP-adressen of CIDR-reeksen waarnaar ze verwijzen. In plaats van `include:spf.protection.outlook.com` kan uw afgevlakt record `ip4:40.92.0.0/15 ip4:40.107.0.0/16 ip4:52.100.0.0/14` bevatten — en vergelijkbaar voor elke dienst.
Aangezien `ip4:`- en `ip6:`-mechanismen geen DNS-lookups vereisen, kan uw afgevlakte record tientallen diensten autoriseren terwijl u ruim onder de limiet van 10 lookups blijft.
De valkuil: IP-adressen veranderen
Hier gaat het bij veel organisaties mis. Cloudproviders en SaaS-platforms rouleren hun verzend-IP-adressen regelmatig. Microsoft, Google en anderen werken hun SPF-reeksen bij zonder waarschuwing. Als u uw record eenmalig afvlakt en het daarna vergeet, mist u uiteindelijk IP-reeksen die uw diensten actief gebruiken — wat leidt tot SPF-fouten voor legitieme e-mail.
Daarom moet SPF flattening geautomatiseerd worden. Een goede flattening-oplossing monitort continu de bron-SPF-records, detecteert wijzigingen en werkt uw afgevlakte record dienovereenkomstig bij. Handmatig afvlakken is een tikkende tijdbom.
Best practices voor SPF flattening
Controleer allereerst uw huidige SPF-record. Identificeer elke `include:` en bepaal of elke dienst nog in gebruik is. Het is gebruikelijk om includes te vinden voor platforms die u jaren geleden bent gestopt met gebruiken. Verwijder die eerst — misschien heeft u niet eens flattening nodig.
Gebruik ten tweede een geautomatiseerde flattening-tool die upstream-wijzigingen monitort en u waarschuwt wanneer updates nodig zijn. Idealiter zou deze uw DNS-records automatisch moeten bijwerken of u kant-en-klare records moeten leveren.
Houd ten derde altijd een `~all` of `-all` aan het einde van uw afgevlakte record. De softfail (`~all`) is een veiligere keuze tijdens de overgang, maar zodra u vertrouwen heeft in uw configuratie, stap dan over naar een hardfail (`-all`) voor sterkere bescherming.
Monitor ten slotte uw DMARC-rapporten nauwlettend na wijzigingen. Uw DMARC-aggregatierapporten laten precies zien welke berichten SPF wel of niet doorstaan — waardoor u een vangnet heeft dat problemen opspoort voordat ze uw gebruikers beïnvloeden.