In dit artikel behandelen we de volgende punten:

  • wat een SPF-record is
  • hoe je een SPF-record toevoegt
  • hoe je een SPF-record aanmaakt

Heeft u al een SPF-record, maar weet u niet zeker of deze correct is ingesteld? Gebruik onze gratis SPF Surveyor om een SPF-check uit te voeren.

Wat is een SPF-record?

An SPF-record or SPF TXT-record is een record dat deel uitmaakt van de DNS van uw domein, vergelijkbaar met een DMARC-record . Het bevat een lijst met alle IP-adressen die namens uw domein e-mails mogen verzenden.

Wanneer een afzender e-mails probeert af te geven aan een e-mail "ontvangende" server voor aflevering, controleert de e-mailserver of de afzender op de lijst van toegestane afzenders van uw domein staat. Als dat het geval is, dan is er een koppeling gemaakt tussen de e-mail en het e-maildomein.

Met een SPF-record beschermt u uw e-maildomein tegen spoofing en phishing-aanvallen door aan te geven welke servers namens u geverifieerde e-mail mogen versturen.

Hoe voeg ik een SPF-record toe?

Om een SPF-record toe te voegen, heeft u toegang nodig tot het DNS-controlepaneel voor uw domein. Als u gebruik maakt van een hostingprovider, is het proces vrij eenvoudig en moet u hun ondersteunende documentatie raadplegen. Als u niet zeker bent, kunt u contact opnemen met uw IT-provider voor ondersteuning.

Opmerking: Het kan tot 48 uur duren voordat uw nieuwe SPF-record in werking treedt.

Hoe maak ik een SPF-record aan?

Begin met het verzamelen van een lijst van al uw domeinen, want elk SPF-record verwijst naar een specifiek domein. Zorg ervoor dat u inactieve (of "geparkeerde') domeinen die geen e-mails versturen, opneemt om ze ook tegen misbruik te beschermen.

U zult ook alles wat e-mails vanaf uw domein(en) verstuurt moeten identificeren, met inbegrip van bronnen (derde partijen) die e-mails versturen namens uw domein. Dit omvat:

  • Mailservers (zowel web-based zoals Gmail of via uw ISP als in-office zoals Microsoft Exchange)
  • ESP's (Email Service Providers - bedrijven die e-mailmarketing/bulk e-maildiensten aanbieden)
  • Diverse diensten (bv. support/ticketing systemen, betalingsverstrekkers, e-commercediensten, etc.)

v = spf1 ip4: 40.113.200.201 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348 include:thirdpartydomain.com ~ all

  • Begin met de SPF-versie v = spf1. Dit geeft aan dat het een SPF-record is. Het zal altijd v = spf1 zijn, aangezien andere SPF-versies niet meer leverbaar zijn.
  • De SPF-versie-tag moet worden gevolgd door alle IP-adressen die namens uw domein e-mails mogen versturen.
    Bijvoorbeeld: v = spf1 ip4: 40.113.200.201 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348
  • Vervolgens komt de "include"-verklaring, die nodig is voor elke derde partij die namens u e-mails stuurt.
    Bijvoorbeeld: v = spf1 ip4: 40.113.200.201 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348 include:thirdpartydomain.com
    U dient deze derde partijen te raadplegen om te zien welk domein u hier als waarde kunt gebruiken. ESP's publiceren doorgaans ook SPF-records voor het verzenden van domeinen in uw naam, dus u zult het ook met hen moeten verifiëren.
  • Het einde van de SPF record is de tag 'alles'. Het is belangrijk omdat het aangeeft welk beleid en hoe strikt het moet worden toegepast wanneer een ontvangende server een server detecteert die niet op de lijst in uw SPF-record staat (dus niet geautoriseerd is).
    De “all” tag heeft de volgende basisopties:
    -all : (fail) niet geautoriseerde e-mails worden geweigerd*.
    ~ all : (softfail) niet geautoriseerde e-mails worden geaccepteerd maar gemarkeerd*.
    +all : met deze tag kan elke server e-mails verzenden vanuit uw domein, dus we raden dit ten zeerste af.
    *Meer informatie vinden over de verschillen tussen fail en softfail vindt u hier.
    Bijvoorbeeld: v = spf1 ip4: 40.113.200.201 ip6:2001:db8:85a3:8d3:1319:8a2e:370:7348 include:thirdpartydomain.com ~ all.

Dit is een basisoverzicht van wat een SPF-record kan bevatten. Een uitgebreidere beschouwing over de SPF-syntaxis vindt u hier.

Het is raadzaam om voor uw domeinen die geen e-mails versturen (inactieve of geparkeerde domeinen) een SPF-beleid te publiceren dat geen IP-adressen bevat om misbruikt te voorkomen. Hier is een voorbeeldrecord voor een niet-verzendend domein: v = spf1 -all

Opmerking: SPF-records kunnen niet langer zijn dan 255 tekens en kunnen niet meer dan tien "include" statements bevatten, ook wel "lookups" genoemd.

Om uw SPF-gegevens te inspecteren en te verifiëren, gaat u naar onze gratis SPF Survey. Als u dat nog niet hebt gedaan, kunt u zich hier aanmelden voor een gratis proefabonnement en ons in staat stellen om u te helpen uw e-maildomeinen te beveiligen.

SPF staat voor Sender Policy Framework en is een gratis e-mailverificatietechnologie die al sinds 2003 bestaat. Het is een manier om te verifiëren dat een mailserver (IP-adres) geautoriseerd is om e-mail te versturen voor een specifiek domein; samen met DKIMis SPF het fundament van DMARCMeer informatie over SPF in het algemeen vindt u hier.

Wilt u het gesprek voortzetten? Ga naar het dmarcian- forum