Az SPF rekordok csendben tönkreteszik az emailjeidet

Az email-hitelesítés olyan feladat, amit sokan beállítanak és aztán el is felejtenek. SPF, DKIM és DMARC működik, mehetünk tovább. Csakhogy a DNS-rekordokban gyakran egy láthatatlan időzített bomba ketyeg. Ez a probléma közel 5%-ot érint a domainek közül.

Amikor az email hirtelen eltűnik

A tranzakciós levelek nem érkeznek meg. A marketingkampányok egyszerűen eltűnnek. A support fiókok megtelnek kérdésekkel, de a levelezési naplókban semmi sem utal hibára. A DMARC-jelentésekben viszont sorban jelennek meg a sikertelen hitelesítések.

Ez történik, amikor az SPF-rekord túllépi a 10 lekérdezési limitet. A számok is beszélnak: 148 655 domain szenved ettől a problémától jelenleg. A legtöbben nem is tudják, hogy a levelezésük egy része már nem jut el sehova.

Miért van ez a korlát überhaupt?

Az SPF egy vagy több include: utasítást tartalmaz a TXT-rekordban. Minden egyes include: egy külön DNS-lekérdezést indít. A specifikáció szándékosan korlátozza ezeket 10-re, hogy elkerülje a túlterhelést és a támadások lehetőségét. Ha ezt túlléped, az SPF PermError hibát dob vissza, ami teljesen blokkolja a hitelesítést.

A helyzet gyorsan súlyosbodik, amikor több szolgáltatót is használsz egyszerre. Google Workspace, Mailchimp, Stripe, SendGrid, Zapier – minden egyes szolgáltató újabb include-ot jelent. Gyorsan túlléped a keretet, mégpedig csendben.

A flattening csapdája

A legtöbben SPF flatteninggel próbálják megoldítani a problémát. Ez azt jelenti, hogy az include:-okat statikus IP-címekre és A-rekordokra cserélik. Ez elvben jó ötlet, de praktikusan egy karbantartási rémálom.

Az email-szolgáltatók rendszeresen változtatják az IP-címeket. Ha nem monitorálod ezt fortlaufend, az SPF-rekordod stale lesz. Egyetlen kései frissítés miatt már visszaesik a hitelesítési problémakba – és ezmalíg a hardcoded IP-címek miatt még rosszabb.

Öt jobb megoldás

1. Auditáld a szolgáltatókat

Először is kérdezd meg magadtól: valóban szükséged van minden egyes szolgáltatóra, aki jelenleg levelet küld a neveden?

Sok cégnek több régi szolgáltatója is still benne van a rekordban. A régi autókerekek vagy a migrált marketinges eszközokok. A gyors megoldás az, hogy töröld őket ki. Ez gyakran 30-40%-os csökkenést hoz a lekérdezések számában.

2. Konszolidáld a szolgáltatókat

Ha lehetséges, válassz olyan szolgáltatót, aki több szerepet is egyszerre vállal. Postmark vagy AWS SES például 3-4 korábbi szolgáltatót is ersetzen kann. Egy include: helyett több helyett.

3. Használj alias redirectet

Sok nagyobb szolgáltató már egy egyetlen consolidated include:-ot kínál, aki ihren összes IP-infrastruktúráját alatt. A dokumentációban keresd meg ezt.

4. Változtass mechanizmuson

Az a: és ptr: mechanizmusok nem mindig ugyanolyan lekérdezési költséggel működnek. Auditáld ezeket,并 checke meg,是否 冗余 van bennük.

5. Modernizálj ARC-re

Az ARC és Authentication-Results a jövőbeni megoldások. Ezek nem teljesen az SPF-törlő, hanem a lekérdezési korlátokból kiheverő. Ma már sok szolgáltató támogatja őket.

A NameOcean álláspontja

A NameOceannál DNS és webtárhely szolgáltatásokat is kínálunk. Sarokkövetünk: először audit, majd konszolidáció. A legtöbb szervezet egyszerű cleaninggel és consolidationel tartja magát alatt der 10-limit.

A flatteninget csak akkor használjuk, ha monitorálással együtt. IP-változásokat szorosan figyeljük és alert-eket küldünk amikor szükség van.

New domains esetén architektúrát építünk hitelesítéssel együtt. Kérd el von von Service, who light SPF footprint hat hat.

Összefoglaló

Az email-hitelesítési hibák pénzbe kerülnek. A 10-lookup korlát nem verschwindet, de már nem jelent problémát, ha du dich beschäftigst mit ihm. Audit, consolidation, flattening és modernizáció – ezek alle are mögliche Lösungen.

A jövőbeli önmagadnak és a ügyfeleidnek köszönni fogod.