Mensen lopen soms tegen de foutmelding "te veel DNS-zoekopdrachten" aan bij de uitrol van SPF (Sender Policy Framework). Het helpt niet dat er veel slechte begeleiding op internet is. In dit artikel leggen we uit hoe dit probleem kan worden opgelost.

SPF wordt geleverd met een ingebouwde limiet voor het aantal "DNS-zoekmechanismen" dat een set SPF-records kan bevatten. Die limiet is 10. Die mechanismen zijn: a, mx, ptr, exists, includeen redirect

Meestal lopen mensen tegen de " te veel DNS-zoekopdrachten"-melding aan als gevolg van het gebruik van veel include -mechanismen. Als een domein bijvoorbeeld gebruik maakt van Google Apps, dan neemt de SPF-record van Google zelf automatisch 4 van de 10 toegestane DNS-zoekmechanismen in beslag:

v = spf1 include: _netblocks.google.com include: _netblocks2.google.com include: _netblocks3.google.com ~ all

Veel diensten op het internet zullen een eigenaar van een e-maildomein vragen om hun dienst toe te voegen aan een SPF-record. Helaas heeft het toevoegen van dergelijke diensten meestal geen enkel effect door verwarring over hoe SPF werkt.

Het probleem is dat SPF het enveloppe-domein van een e-mail controleert, en meestal gebruikt de dienst die vraagt om in het SPF-record van een domein te worden opgenomen dat domein niet eens in het enveloppe-adres. We hebben een korte video gepubliceerd over hoe SPF werkt.

Er is een meer. Zelfs als de internetdienst uw eigen domein gebruikt in het enveloppe-adres van de e-mail die ze namens u versturen, dan wordt dat bouncebericht naar de e-mailserver van uw eigen domein gestuurd en niet terug naar de internetservice als de e-maillevering om welke reden dan ook mislukt en er een bounce-bericht moet worden verzonden (bijvoorbeeld: "slecht adres" of "de mailbox van de ontvanger is vol").

Het niet kunnen ontvangen van bounces is niet goed, daarom hebben we hoe internetservices namens anderen betere e-mail kunnen verzenden geschreven.

Om erachter te komen welke onnodige diensten uit uw SPF-records kunnen worden geknipt, zal dmarcian de DMARC-feedbackgegevens van uw domein vergelijken met het SPF-record van uw domein. Als u bent ingelogd op een dmarcian-account en er DMARC-feedback aanwezig is, kan de SPF Surveyor u laten zien welke delen van uw SPF-record actief worden gebruikt.

Komt u er nog steeds niet uit, neem dan contact met ons op en we helpen u verder.