SPF-records kunnen een geweldig hulpmiddel zijn in het gevecht tegen spam. We zien echter met enige regelmaat misconfiguraties waardoor e-mail onterecht wordt geblokkeerd. Een fout die we nu af en toe zien is dat het SPF-record niet is aangepast op het afleveren van e-mail via IPv6. Omdat nog lang niet alle ISPs IPv6 ondersteunen kan zo’n fout lang onopgemerkt blijven.
Het probleem ontstaat als een mailserver bewust of automatisch voorzien wordt van een IPv6-adres zonder dat enig DNS-record wordt aangepast. E-mail wordt vervolgens keurig via IPv6 bij ons aangeboden – en geweigerd, want het IPv6-adres is niet geautoriseerd om e-mail voor dat domein te versturen. Gevolg: de e-mail gaat retour afzender.
Je kunt dit op verschillende manieren verhelpen, afhankelijk van hoe je het SPF-record hebt opgebouwd:
- Als je IPv4-adressen expliciet autoriseert (met ‘ip4:’) dan voeg je voor de IPv6-adressen een ‘ip6:’-autorisatie toe.
- Als je hostnames gebruikt in je SPF-record (met ‘a’ of indirect met ‘mx’) dan kun je natuurlijk ook simpelweg de benodigde AAAA-records toevoegen aan je DNS-zone.
Als je iets verandert aan je netwerk of als je je SPF-records aanpast dan adviseren we sowieso om dit altijd eerst te testen. Als je record eindigt met ‘-all’ dan wordt e-mail die niet is geautoriseerd direct geweigerd; je kunt dit tijdelijk veranderen in ‘~all’ voor softfail om te kijken of dat waarschuwingen in je logs oplevert.
Kom je er echt niet uit? Dan kun je natuurlijk ook tijdelijk IPv6 uitzetten op je mailserver. Maar dat is niet echt een toekomstbestendige oplossing.