SPF record van kpnxchange.com verwijst naar spf.ews.kpnxchange.com, welke vervolgens resolved naar TXT record met dit als waarde: "v=spf1 ip4:213.75.39.15/32 ip4:213.75.39.4/32 ip4:213.75.39.5/32 ip4:213.75.39.6/32 ip4:213.75.39.7/32 ip4:213.75.39.8/32 ip4:213.75.39.9/32 ip4:213.75.39.10/32 ip4:213.75.39.13/32 ip4:213.75.39.14/32 ?all”

Nu zie ik op inkomende connecties op de mailserver van bedrijf waar ik voor werk steeds vaker connecties van KPN servers in de ip range 213.75.38.84 t/m 213.75.38.89 worden opgezet, maar deze zijn dus helemaal niet opgenomen in bovenstaande SPF record.

213.75.38.84    HELO/EHLO:    cpdelvb-safe01.kpnxchange.com
213.75.38.85    HELO/EHLO:    cpdelvb-safe02.kpnxchange.com
213.75.38.86    HELO/EHLO:    cpdelvb-safe03.kpnxchange.com
213.75.38.88    HELO/EHLO:    cpdelvb-safe04.kpnxchange.com
213.75.38.89    HELO/EHLO:    cpdelvb-safe05.kpnxchange.com

?all: het SPF-record voert geen extra validatie uit. E-mails vanaf ongeautoriseerde servers worden dus toegelaten. 

Dat laatste is natuurlijk ronduit slecht, je mag van een bedrijf als KPN toch verwachten dat ze het SPF records op orde hebben!