Svenska English Dansk
  • Meny
  • Välj språk

Sannah Westerlund — 22/04/21

SPF-records med för många DNS-uppslag? Här är två möjliga lösningar.

En fråga vår support ofta får idag, handlar om för ”långa” SPF-records (Sender Policy Framework). Problemet är att DNS-posten innehåller för många DNS-uppslag, det vill säga mer än 10. Av säkerhetsskäl finns det nämligen en begränsning i antal (10 enligt RFC, bl.a. för att förhindra DoS-attacker) – men i realiteten behöver många företag ha fler DNS-uppslag för att täcka allt som behöver inkluderas i sitt SPF-record.

Det naturliga första steget är att kontrollera noga så att allt som finns i ens SPF-record idag verkligen behövs. Av erfarenhet vet vi att det sällan städas bort saker när man slutar att använda en e-posttjänst.

Om man kommer fram till att inget kan rensas bort, finns det summerat i princip två vägar att gå. Lösningarna är inte alltid självklara och här får man göra en avvägning av vad som passar organisationen och situationen bäst.

1. Gå över till att skicka vissa mail från en subdomän

Det första alternativet är att låta vissa mail skickas från en subdomän istället för den ordinarie domänen. På så sätt kan includen lyftas ut från den befintliga posten, och läggas in i ett nytt SPF-record, som sätts upp på subdomänen.

Till exempel. Låt oss säga att vi på Dotkeeper använder (det påhittade..) kundservice-verktyget ClientStarPlus. Då kan man förslagsvis gå över till att mail från dessa skickas från hej@support.dotkeeper.com, istället för ordinarie hej@dotkeeper.com. Därmed kan include:mail.clientstarplus.com lyftas ut från den befintliga posten på dotkeeper.com, och läggas in i ett nytt SPF-record, som sätts upp på subdomänen support.dotkeeper.com.

Observera att detta alternativ kräver att inställningarna hos leverantören (i detta fallet kundservice-verktyget ClientStarPlus) måste justeras, eftersom mailadressen som mailen skickas ifrån ändras.

2. Plocka ut IP-nummer från en ”include”

Rena IP-nummer kostar ingen lookup, så det går att plocka ut IP-nummer från en include, och lägga dem direkt i sitt SPF-record. Nackdelen här är att en leverantör kan ändra på innehållet i sin include. Eftersom det sällan är något de informerar om, kan det i det långa loppet leda till problem.

För att återigen ta exemplet med ClientStarPlus, måste man alltså ha löpande koll på om dem gör några ändringar i mail.clientstarplus.com, eftersom man då måste uppdatera med samma ändringar.

Därtill kan det vara bra att veta att funktionerna A och MX också räknas som uppslag om dessa återfinns i ens SPF-record. Ibland läggs de in ”bara för att”. Har man dem bör man dubbelkolla att de är ett måste att ha. De går också att göra om till rena IP-nummer (även om man såklart tappar bekvämlighet på det).

Hoppas det gav lite råd på vägen! För frågor är du varmt välkommen att kontakta oss på hej@dotkeeper.com!