Mensen lopen soms tegen de foutmelding "too many DNS lookups" (te veel DNS-zoekopdrachten) aan bij het uitrollen en beheren van SPF. Het helpt niet dat er veel slechte begeleiding is op het internet is. In dit artikel leggen we uit hoe dit probleem kan worden opgelost.

SPF wordt geleverd met een ingebouwde limiet op het aantal "DNS-zoekmechanismen" dat een set SPF-records kan bevatten. Die limiet is 10. De mechanismen zijn: a, mx, ptr, exists, includeen redirect

Meestal lopen mensen tegen de foutmelding "te veel DNS-zoekopdrachten" aan als gevolg van het gebruik van veel include -mechanismen. Als een domein bijvoorbeeld gebruik maakt van Google Apps, dan neemt de SPF-record van Google zelf automatisch 4 van de 10 toegestane DNS-zoekmechanismen in beslag:

v = spf1 include: _netblocks.google.com include: _netblocks2.google.com include: _netblocks3.google.com ~ all

Veel diensten op het internet zullen een eigenaar van een e-maildomein vragen om hun dienst toe te voegen aan een SPF-record. Helaas heeft het toevoegen van dergelijke diensten meestal geen enkel effect door de bestaande verwarring over hoe SPF werkt.

Het probleem is dat SPF het enveloppe-domein van een e-mail controleert, en meestal gebruikt de dienst die vraagt om in het SPF-record van een domein te worden opgenomen dat domein niet eens in het enveloppe-adres. We hebben een korte video gepubliceerd over hoe SPF werkt.

Er is een meer. Zelfs als de internetdienst uw eigen domein gebruikt in het enveloppe-adres van de e-mail die ze namens u versturen, dan wordt dat bouncebericht naar de e-mailserver van uw eigen domein gestuurd en niet terug naar de internetdienst als de e-maillevering om welke reden dan ook mislukt en er een bounce-bericht verzonden moet worden (bijvoorbeeld: "slecht adres!" of "mailbox van de ontvanger is vol!"), wordt dat teruggestuurde bericht naar de e-mailserver van uw eigen domein gestuurd - en niet terug naar de internetservice.

Het niet kunnen ontvangen van bounces is geen goede zaak, daarom hebben we beschreven hoe internetservices namens anderen betere e-mail kunnen verzenden.

Om erachter te komen welke onnodige diensten uit uw SPF-records kunnen worden geknipt, zal dmarcian de DMARC-feedbackgegevens van uw domein vergelijken met het SPF-record van uw domein. Als u bent ingelogd op een dmarcian-account en er DMARC-feedback aanwezig is, kan de SPF Surveyor u laten zien welke delen van uw SPF-record actief worden gebruikt.

Als je nog steeds vastzit, bekijk dan dit artikel op gemeenschappelijke oplossingen om het SPF 10 limieten voor DNS-lookup. Voel je ook vrij om contact met ons op en we helpen u verder.