SPF, ofwel Sender Policy Framework, wordt gebruikt om de afzender van een e-mail te verifiëren. Met een SPF-record kunnen Internet Service Providers controleren of een mailserver geautoriseerd is om e-mails te versturen voor een specifiek domein. Een SPF-record is een DNS TXT-record dat een lijst van de IP-adressen bevat die namens uw domein e-mails mogen versturen.

Visualisation: how does sender policy framework (SPF) work

Hoe werkt SPF?

Om gebruik te maken van SPF publiceert u een SPF-record in het DNS. Dit record is een lijst met alle IP-adressen die namens het domein e-mails mogen versturen.

Het SPF-mechanisme gebruikt het domein in het retouradres om het SPF-record te identificeren. Wanneer een afzender een e-mail bij een “ontvangende” e-mailserver voor aflevering probeert af te geven, controleert de server of die afzender op de lijst met toegestane afzenders van het domein staat. Als dat het geval is, dan wordt er een koppeling tot stand gebracht tussen de e-mail en het e-maildomein. Zo niet, dan gaat de server gewoon door met het verwerken van de e-mail zonder deze koppeling, want er kan van alles aan de hand zijn.

Het kan zijn dat de e-mail echt is, maar dat de lijst met afzenders niet accuraat is. De echte e-mail kan zijn doorgestuurd, wat betekent dat de e-mail overal vandaan kan komen en dan is de lijst van toegestane afzenders van niet al te grote hulp meer. Of, de e-mail is nep en ongewenst. Te veel mogelijke uitkomsten maken het moeilijk om de afwezigheid van de link die SPF kan bieden te kunnen duiden. DKIM vult het gat in het technische kader van DMARC als extra manier om te proberen een e-mail terug te linken naar een domein.

SPF en DMARC voor e-mail

Op zich kan SPF een e-mail koppelen aan een domein. Zijn de DNS-records aanwezig, dan kan DMARC de resultaten van SPF aan de inhoud van e-mail koppelen, met name aan het domein in het retouradres of in de From: header van een e-mail. Om SPF correct te laten werken in de context van DMARC, moet het retouradres relevant zijn voor het domein van de From: header, die de DMARC Alignment mogelijk maakt.

Lees meer over hoe u een SPF-record kunt aanmaken en toevoegen

Voordelen van SPF-implementatie

SPF is uiterst belangrijk geworden om te helpen bij het controleren van de infrastructuur voor het verzenden van e-mail namens uw domein. Het implementeren van SPF voor e-mail biedt grote voordelen:

  • Het verhoogt de algehele afleverbaarheid van u e-mails
  • Het verbetert uw merkreputatie
  • Het helpt in de bestrijding van domeinimitatie en e-mail spoofing

Controleer de SPF-instellingen van uw domein – De SPF Surveyor van dmarcian is een diagnostisch SPF-hulpmiddel dat een grafische weergave van SPF-records biedt. Hiermee kunt u snel identificeren welke servers geautoriseerd zijn om namens een domein te verzenden.

Waarom SPF alleen niet veilig genoeg is …

Hoewel SPF een bewezen e-mailauthenticatiestap is die al sinds het einde van de jaren negentig van de vorige eeuw bestaat, heeft het wel degelijk tekortkomingen. Anders gezegd, het doorsturen van e-mails gebeurt op het internet en het SPF-mechanisme overleeft het doorstuurproces niet. Doorsturen gebeurt meestal wanneer u iemand e-mails stuurt, maar die persoon heeft ingesteld dat zijn e-mails worden doorgestuurd naar een ander adres. Dan lijkt het alsof uw e-mails uit een infrastructuur komen die op het eerste gezicht niets met u te maken heeft.

DKIM-ondertekeningen overleven het doorstuurproces wel. Als uw domein met DKIM is beveiligd, neemt het vermogen van dmarcian om het doorsturen te detecteren toe. SPF werkt niet in een context van doorsturen, omdat het gewoon een lijst is van servers die gemachtigd zijn om namens uw domein te verzenden, en voor een domeineigenaar is het niet mogelijk om een forwarders-lijst bij te houden.

Misvattingen over SPF

Bedrijven begrijpen vaak niet goed hoe SPF werkt en instrueren hun klanten om het SPF-record van het bedrijf mee te geven. Het heeft echter geen nut dat het bedrijf zijn eigen domein in het bounce-adres gebruikt. Bij het verwerken van een e-mail, zal de e-mailontvanger naar het SPF-record van het bedrijf kijken en niet naar het SPF-record van de klant.

Door deze misvatting gebeuren er twee ongewenste dingen:

  1. Er worden onnodige “includes” toegevoegd aan de SPF-records waardoor de SPF-records enorm groot worden, met als gevolg managementuitdagingen.
  2. Er ontstaat verwarring omdat mensen gewoon SPF willen instellen om hun DMARC-implementatie af te ronden. Het resultaat is dat SPF slaagt, maar DMARC faalt.

Om SPF correct te laten werken in de context van DMARC, moet het bounce-adres relevant zijn voor het domein van de From: header. Helaas staan veel bedrijven die namens anderen e-mails versturen op dit moment niet toe dat hun klanten het bounce-adres wijzigen in het domein van de klant. Dit begint langzaam te veranderen, maar eerst moeten bedrijven de basisprincipes van de werking van SPF begrijpen, en we hebben middelen beschikbaar om bedrijven te helpen DMARC-compatibele e-mail namens anderen te versturen.