SPF/TXT record niet geldig

je gaat sowieso over het limiet van 10 heen!

hard limiet

"SPF implementations MUST limit the number of mechanisms and modifiers that do DNS lookups to at most 10 per SPF check, including any lookups caused by the use of the “include” mechanism or the “redirect” modifier. If this number is exceeded during a check, a PermError MUST be returned. The “include”, “a”, “mx”, “ptr”, and “exists” mechanisms as well as the “redirect” modifier do count against this limit. The “all”, “ip4”, and “ip6” mechanisms do not require DNS lookups and therefore do not count against this limit. Processing limits"

je krijgt dus een SPF error bij het controleren, een moderate of low check zal dit gewoon accepteren maar een strikte check kan je mail als spam classificeren. Op lange termijn is SPF niet houdbaar, alleen met de office365 include zit je al bijna op 10. Allemaal losse spf domeinen om onder die 10 te kunnen blijven is ook een bewerkelijke oplossing, DKIM misschien?

In het geval van TS die limiet toch niet van toepassing omdat hij maar 2 DNS lookups heeft, en IP4 adressen niet tellen voor de limiet?

Tenzij er natuurlijk een sloot aan A / MX records in de DNS staan.

[ Voor 20% gewijzigd door Dennism op 13-05-2016 08:56 ]

je kan spoofing helpen voorkomen door aan de berichtkoppen van uitgaande berichten een digitale handtekening volgens de DKIM-standaard toe te voegen. Hiervoor moet je de berichtkoppen van uitgaande mail van uw domein versleutelen met een privé-domeinsleutel en aan de DNS-records van het domein een openbare versie van de sleutel toevoegen.

De ontvangende servers kunnen dan de openbare sleutel ophalen om binnenkomende kopteksten te ontgrendelen en te controleren of het bericht daadwerkelijk van uw domein afkomstig is en niet onderweg is gewijzigd.

Probleem van TS is idd al opgelost ivm een vreemd symbool echter voldoet hij niet aan de SPF standaard met teveel lookups.

[ Voor 10% gewijzigd door TWFpa2Vs op 13-05-2016 08:58 ]

Correct, of je moet de partijen via je eigen mailserver relayen, DKIM wordt wel de standaard vermoed ik aangezien het geen limiet kent zoals SPF.

klopt, DKIM kun je al wel vast inrichten, partijen die dan een DKIM check willen uitvoeren kunnen het uitvoeren net zoals een SPF check, het is geen verplichting!

Dennism schreef op vrijdag 13 mei 2016 @ 08:55:
In het geval van TS die limiet toch niet van toepassing omdat hij maar 2 DNS lookups heeft, en IP4 adressen niet tellen voor de limiet?

Ik tel er iets meer, je moet namelijk de includes wel volledig volgen. In het geval van Office 365 levert dat al 2 extra 'verborgen' DNS lookups op en kom je uit op:
- spf.protection.outlook.com
- spfa.protection.outlook.com
- spfb.protection.outlook.com

- spf.intellyhosting.nl

Dan heb je er dus al sowieso 4 te pakken en dan gedraagt Microsoft zich vandaag de dag vrij netjes. In het verleden gaf spf.outlook.com al rustig 8 DNS lookups.

Afhankelijk van de hoeveelheid A & MX records kan je zo dus nog over de limiet gaan.