SPF Lookup Limit

SPF standarden har efterhånden eksisteret i noget der ligner 20 år, det til trods har rigtig mange stadig problemer med at implementere SPF korrekt.

Man ser mange forskellige typer fejl.

• ipv4 i stedet for ip4
• Mere end en SPF record.
• Illegale karakterer, sker typisk ved copy/paste fra Microsoft Word
• Mellemrum på de forkerte steder, eks: ip4: 194.182.24.18 i stedet for ip4:194.182.24.18
• Og sidst men ikke mindst, alt for mange mekanismer som resulterer i for mange DNS opslag.

Det her med for mange mekanismer, og deraf følgende for mange DNS opslag er nok det største problem, idet det vidner om en manglende forståelse af hvordan SPF virker.

Lad os kigge på et fiktivt eksempel:

• Firma ABC ApS anvender Google Workspace.

• Firmaet har en blog som udsender email notifikationer om nye blogposts via MailChimp.

• Firmaets onlineshop sender brugeroprettelses & password reset email via MandrillApp

• Udsendelse af fakturaer klares af en 3. part, som anvender Amazon SES.

• Marketingafdelingen anvender Hubspot, og tidligere har man anvendt både Marketingplatform og Apsis

• Og ja, en Trustpilot sælger har forklaret firma ABC ApS at man skal have en betalt Trustpilot konto.

Alt i alt ender et firma som ABC ApS typisk med en SPF record i stil med:

v=spf1 a mx include:_spf.google.com include:servers.mcsv.net include:spf.mandrillapp.com include:amazonses.com include:123456.spf03.hubspotemail.net include:_spf.anpdm.com include:mailmailmail.net include:trustpilotservice.com ~all 

Ovenstående SPF record er ikke valid, den koster 13 DNS opslag, max 10 er tilladt.

Hvad gør man så?
Der findes en del løsninger som kan klare udfordringer med SPF records, løsningerne udbydes typisk af DMARC SaaS udbydere (ingen nævnt, ingen glemt) og lover dig næmest på magisk vis at løse dine SPF udfordringer.

Jeg vil ikke anbefale den slags løsninger, af flere grunde.

• Du får ikke løst dit SPF problem, du får skjult det, fejet ind under gulvtæppet om man vil.
• Hos nogle DMARC SaaS udbydere får du produktet med gratis, hos andre koster det et abonnement.
• DMARC SaaS udbydere burde vejlede dig til at få konstrueret en retvisende SPF record, ikke mere eller mindre groft udnytte din manglende viden om SPF.

Den korrekte løsning.

Lær hvordan SPF virker, ja det lyder nemt, men det er faktisk svært at finde valid information om emnet.
Flertallet af email service providers giver dig forkert information, ja, det lyder helt skørt, men det er desværre rigtigt.
Du kan nok finde mindst 500 blog posts skrevet af personer som ikke har forstået hvordan SPF virker, men gerne vejleder om det.
“Spørg en ven” kan også nemt gå galt, vennen har typisk sin information fra email service providers eller blog posts om emnet.

Korrekt information finder du i selve SPF RFC ’en, men den er mildt sagt lidt tung at læse. I stedet vil jeg anbefale M³AAWG Best Practices for Managing SPF Records , specielt afsnit 3.2.3 Other Issues and Sources of Confusion

Med korrekt information om hvordan SPF virker kan vi nu konstruere den korrekte SPF record til firma ABC ApS, den ser således ud:

v=spf1 include:_spf.google.com ~all 

Forklaring til de slettede dele:

Opsummering

Implementerer du SPF korrekt får du ikke problemer med for mange mekanismer/DNS opslag.