SPF uitgelegd

S ender P olicy F ramework (SPF ) wordt gebruikt om de afzender van een e-mail te verifiëren. Met een SPF-record kunnen Internet Service Providers controleren of een mailserver geautoriseerd is om e-mail te versturen voor een specifiek domein. Een SPF-record is een DNS TXT-record dat een lijst van de IP-adressen bevat die namens uw domein e-mails mogen versturen.

Visuele presentatie van hoe SPF werken

Hoe werkt SPF?

Om gebruik te maken van SPF publiceert u een SPF-record in het DNS. Het record is een lijst met alle IP-adressen die namens het domein e-mails mogen versturen.

Het SPF-mechanisme gebruikt het domein in het retouradres om het SPF-record te identificeren. Wanneer een afzender een e-mail bij een "ontvangende" e-mailserver voor aflevering probeert af te geven, controleert de server of de afzender op de lijst met toegestane afzenders van het domein staat. Als dat het geval is, dan wordt er een koppeling tot stand gebracht tussen de e-mail en het e-maildomein. Zo niet, dan gaat de server gewoon door met het verwerken van de e-mail zonder deze koppeling, want er kan van alles aan de hand zijn.

Het kan zijn dat de e-mail echt is, maar dat de lijst met afzenders niet accuraat is. De echte e-mail kan zijn doorgestuurd, wat betekent dat de e-mail overal vandaan kan komen en dan is de lijst van toegestane afzenders van niet al te grote hulp meer. Of, de e-mail is nep en ongewenst. Te veel mogelijke uitkomsten maken het moeilijk om de afwezigheid van de link die SPF kan bieden te kunnen duiden. DKIM vult het gat in het technische kader van DMARC als extra manier om te proberen een e-mail terug te linken naar een domein.

SPF en DMARC voor e-mail

Op zich kan SPF een e-mail koppelen aan een domein. Zijn de DNS-records aanwezig, dan kan DMARC de resultaten van SPF aan de inhoud van e-mail koppelen, met name aan het domein in het retouradres of in de From: header van een e-mail. Om SPF correct te laten werken in de context van DMARC, moet het retouradres relevant zijn voor het domein van de From: header, die de DMARC alignment mogelijk maakt.

De voordelen van de implementatie van SPF

SPF is uiterst belangrijk geworden om te helpen bij het controleren van de infrastructuur voor het verzenden van e-mail namens uw domein. Het implementeren van SPF voor e-mail biedt grote voordelen:

Het verhoogt de algehele afleverbaarheid van uw e-mails

Het verbetert uw merkreputatie

Het helpt in de bestrijding van domeinimitatie en e-mail spoofing

Controleer uw domein SPF settingsdmarcian’s SPF Surveyor is een diagnostisch SPF-hulpmiddel dat een grafische weergave van SPF-records biedt. Hiermee kunt u snel identificeren welke servers geautoriseerd zijn om namens een domein te verzenden.

Waarom SPF alleen niet veilig genoeg is...

Hoewel SPF een laag van bewezen e-mailauthenticatie is die al sinds het einde van de jaren negentig van de vorige eeuw bestaat, heeft het wel degelijk tekortkomingen. Anders gezegd, het doorsturen van e-mail gebeurt op het internet en het SPF-mechanisme overleeft het doorstuurproces niet. Doorsturen gebeurt meestal wanneer u e-mail stuurt naar someone@EXAMPLE.ORG en die persoon heeft ingesteld dat zijn e-mail wordt doorgestuurd naar een ander adres, zoals someone@SAMPLE.NET. In dit voorbeeld lijkt uw e-mail uit een infrastructuur te komen die op het eerste gezicht niets met u te maken heeft.

DKIM-ondertekeningen kunnen het doorsturen overleven. Als uw domein met DKIM is gedekt, neemt het vermogen van dmarcian om het doorsturen te detecteren toe. SPF werkt niet in een context van doorsturen, omdat het gewoon een lijst is van servers die gemachtigd zijn om namens uw domein te verzenden, en het is niet mogelijk voor een domeineigenaar om een lijst van forwarders bij te houden.

Misvattingen over SPF

Bedrijven begrijpen vaak niet goed hoe SPF werkt en geven hun klanten opdracht om het SPF-record van het bedrijf mee te geven. Het heeft echter geen nut dat het bedrijf zijn eigen domein in het bounce-adres gebruikt. Bij het verwerken van een e-mail, zal de e-mailontvanger naar het SPF-record van het bedrijf kijken en niet naar het SPF-record van de klant.

Door deze misvatting gebeuren er twee ongewenste dingen:

  1. Onnodige "includes" worden toegevoegd aan de SPF-records waardoor de SPF-records enorm groot worden, met als gevolg managementuitdagingen.
  2. Er ontstaat verwarring omdat mensen gewoon SPF willen instellen om hun DMARC-implementatie af te ronden. Het resultaat is dat SPF slaagt, maar DMARC faalt.

Om SPF correct te laten werken in de context van DMARC, moet het bounce-adres relevant zijn voor het domein van de From: header. Helaas staan veel bedrijven die namens anderen e-mail versturen op dit moment niet toe dat hun klanten het bounce-adres wijzigen in het domein van de klant. Dit begint langzaam te veranderen, maar eerst moeten bedrijven de basisprincipes van de werking van SPF begrijpen, en we hebben middelen beschikbaar om om bedrijven te helpen DMARC-compatibele e-mail namens anderen te versturen.

Opmerking: Er is verouderde technologie genaamd Zender ID die probeerde SPF-achtige controles uit te voeren, alleen, ze gebruikten het From:header-domein (onder andere) als hetgeen gecontroleerd moest worden. SenderID probeerde ook bestaande SPF-records te hergebruiken, wat nog meer verwarring veroorzaakte.

Bezoek onze SPF Knowledge Base voor meer informatie over implementatie en beheer van SPF.