Avanan SPF-record: hoe u uw SPF instelt, corrigeert en optimaliseert voor Check Point Harmony Email
door
Laatst bijgewerkt: 9 leestijd: 9 minuten
Belangrijkste Conclusies
- Avanan (now Check Point Email Security, formerly Harmony Email & Collaboration) requires an SPF include statement in your DNS to authenticate outbound email routed through its infrastructure. There are two valid approaches: the legacy static include:spfa.cpmails.com and the newer macro-based include:{code}.spf.checkpoint-spf.com. You use one or the other but not both.
- Het toevoegen van de SPF-regel van Avanan is de stap die er meestal toe leidt dat organisaties de limiet van 10 DNS-lookups uit RFC 7208 overschrijden, wat een SPF PermError veroorzaakt en de bezorging van alle uitgaande e-mail verstoort.
- Implementaties die uitsluitend via de API werken (Monitor-/Detect-modus) hebben geen invloed op de e-mailstroom en vereisen geen aanpassing van de SPF-instellingen. Alleen bij implementaties in de inline-modus (Prevent) en via de MX-gateway is het opnemen van de SPF-instellingen vereist.
- De inline-implementatiemodus van Avanan kan ook de DKIM-afstemming verstoren als DKIM-ondertekening niet op het niveau van de e-mailprovider (Microsoft 365 of Google Workspace) is geconfigureerd, maar niet binnen Avanan.
- SPF-afvlakking met behulp van een tool zoals PowerSPF of het ingebouwde SPF-macromechanisme van Check Point lost de opzoeklimiet definitief op en houdt uw DMARC-beleid intact.
Als u Check Point Harmony Email & Collaboration (voorheen Avanan) in de inline-modus implementeert, moet u een SPF-include aan uw DNS toevoegen. Anders zal uw uitgaande e-mail de SPF-controles niet doorstaan en bestaat het risico dat deze door Gmail, Yahoo en Microsoft Outlook wordt geweigerd.
Sinds Google eind 2025 is begonnen met het permanent afwijzen van niet-conforme bulkmail en Microsoft vanaf mei 2025 550; 5.7.515-foutmeldingen begon terug te sturen, is SPF-configuratie een harde operationele vereiste.
Deze handleiding behandelt de twee geldige syntaxisvormen voor SPF-inclusies, keuzes tussen inline- en API-modus, het instellen van DKIM, DMARC-afstemming, de limiet van 10 lookups, probleemoplossing en multi-tenant-patronen voor MSP’s.
Of je nu een IT-beheerder bent die Avanan voor het eerst implementeert, een MSP die het systeem voor tientallen klantomgevingen beheert, of een CISO die ervoor zorgt dat je authenticatieproces een audit doorstaat: elk scenario komt hieronder aan bod.
Wat is Avanan (nu Check Point Email Security)?
Avanan werd in augustus 2021 overgenomen door Check Point Software Technologies en kreeg de nieuwe naam Harmony Email & Collaboration. In 2025 heeft Check Point het product opnieuw hernoemd tot Check Point Email Security, in lijn met de bredere, op AI gebaseerde strategie van het bedrijf.
Ondanks twee naamswijzigingen gebruiken de meeste IT-beheerders, beoordelingsplatforms en communityforums nog steeds de naam „Avanan“, en Check Point blijft een portaal onder de merknaam Avanan aanbieden met een migratieoptie naar de nieuwe interface.
De architectuur van het product is API-first. Het maakt via een API verbinding met Microsoft 365 of Google Workspace om inkomende e-mail na ontvangst te scannen. Wanneer beheerders de inline-modus (ook wel „Prevent“ genoemd) inschakelen, onderschept Avanan uitgaande e-mail in de transportpijplijn en scant deze via de cloudinfrastructuur van Check Point voordat deze naar de ontvanger wordt doorgestuurd.
Door deze inline-onderschepping ontstaat de SPF-vereiste: uitgaande e-mail wordt nu verzonden vanaf IP-adressen van Check Point, die in uw SPF-record moeten zijn geautoriseerd.
Voor meer achtergrondinformatie over hoe e-mailbeveiligingsgateways samenwerken met authenticatieprotocollen, zie SPF, DKIM en DMARC: hoe ze samenwerken.
Moet je je SPF-record voor Avanan überhaupt wel aanpassen?
Als u Avanan in de modus ‘Alleen API’ (Monitor of Detect) gebruikt, hoeft u hier niet verder te lezen, want u hoeft niets aan uw SPF-record te wijzigen. E-mail blijft gewoon binnenkomen via de IP-adressen van Microsoft 365 of Google Workspace die al in uw DNS zijn geautoriseerd.
| Modus | E-mailverkeer | SPF aanpassen? | Gevolgen van DKIM | DMARC afstemming |
|---|---|---|---|---|
| API / Monitor / Detecteren | Afzender → M365/GWS → Inbox; Avanan scant via API | Geen. E-mail is afkomstig van M365/GWS-IP-adressen die al in SPF staan | Ongewijzigd | Passen |
| Inline / Voorkomen (uitgaand) | Intern → M365/GWS → Check Point HEC → Extern (tweevoudige hop) | Vereist. Voeg Check Point-include toe | Blijft behouden als M365/GWS tekent vóór de onderschepping | DKIM komt meestal overeen; SPF kan een softfail geven bij het Return-Path-veld |
| Volledige MX inline | MX wordt omgeleid naar de Check Point-cloud | Verplicht. Voeg IP-adressen van Check Point toe | Hangt af van de configuratie van de handtekening | Controleer of zowel SPF als DKIM correct zijn geconfigureerd |
Avanan SPF-pakketten: welke heb je nodig? (Referentie 2026)
Er zijn twee geldige manieren om SPF-bestanden op te nemen in Check Point Harmony Email. Dit zijn:
Oude (statische) include: include:spfa.cpmails.com
Dit is de oorspronkelijke, statische SPF-include die Check Point in juli 2023 heeft geïntroduceerd, waarbij eerdere IP-lijsten per regio zijn samengevoegd tot één enkele vermelding. Wanneer u `include:spfa.cpmails.com` aan uw SPF-record toevoegt, wordt dit omgezet in ongeveer 21 IPv4-vermeldingen die AWS-regio’s in Noord-Amerika, Europa, APAC, het Verenigd Koninkrijk, India, Canada en de Verenigde Arabische Emiraten bestrijken.
Aangezien ip4:-mechanismen niet meetellen voor de limiet van 10 opzoekingen, kost de include zelf precies één DNS-opzoeking van je budget.
Gebruik dit als u geen licentie hebt voor de DMARC Management-add-on van Check Point, of als u de voorkeur geeft aan een transparant, leveranciersonafhankelijk record dat elke auditor rechtstreeks in het DNS kan controleren.
Managed SPF Macro Include: include:{code}.spf.checkpoint-spf.com
Dit is de nieuwere SPF-beheerfunctie van Check Point, die wordt beschreven in de beheerdershandleiding van Harmony Email en via de portal kan worden geactiveerd onder DMARC → SPF-beheer. Deze functie maakt gebruik van SPF-macro-uitvoering (volgens RFC 7208 §5.7) via een unieke code per tenant. De syntaxis is:
v=spf1 include:{your-org-code}.spf.checkpoint-spf.com include:spf.protection.outlook.com -all
Waarbij {your-org-code} een unieke identificatiecode is die te vinden is in het Check Point Email Security Administrator Portal. Dit mechanisme kost één opzoekactie, maar wordt gerouteerd via een dynamische, tenant-specifieke DNS-zone die door Check Point wordt beheerd. Het is bedoeld om de omvang van de SPF-records te verminderen wanneer u gebruikmaakt van meerdere uitgaande diensten van Check Point.
Welke moet je gebruiken?
| Scenario | Aanbevolen aanpak | Waarom |
|---|---|---|
| Je hebt minder dan 7 DNS-opzoekingen in je huidige SPF | Statische opname (spfa.cpmails.com) | Eenvoudig, transparant, gemakkelijk te controleren |
| Je hebt al 8 tot 10 DNS-lookups uitgevoerd | Beheerde SPF-macro of SPF-afvlakking | Je moet het aantal opzoekingen beperken. Macro’s zijn ingebouwd; het afvlakken is leveranciersonafhankelijk |
| Als MSP beheert u meer dan 10 klantdomeinen | SPF-afvlakking met een gecentraliseerde tool zoals PowerSPF | Herhaalbaar, leveranciersonafhankelijk, controleerbaar voor alle klanten |
| Auditors moeten geautoriseerde IP-adressen rechtstreeks controleren | Statische opname of SPF-afvlakking | Macro's blijven ondoorzichtig totdat ze zijn verwerkt; auditors kunnen geautoriseerde IP-adressen niet gemakkelijk zien |
Belangrijk: Gebruik niet beide includes tegelijkertijd. Als u beide toevoegt, ontstaat er dubbele autorisatie, worden DNS-lookups verspild en worden audits bemoeilijkt. Kies één aanpak en pas deze consequent toe.
Afbeeldingsvoorstel: Vergelijkingskaart met de voor- en nadelen van beide opties.
Alternatieve tekst: „Vergelijking tussen de verouderde SPF-include van Avanan (spfa.cpmails.com) en de op macro’s gebaseerde include (checkpoint-spf.com), waarbij de verschillen op het gebied van transparantie, opzoekkosten en controleerbaarheid worden belicht.”
Hoe voeg je het Avanan SPF-record toe aan je domein (stap voor stap)
Controleer eerst je huidige SPF-record en het aantal opzoekingen voordat je DNS-records gaat bewerken. Gebruik een gratis SPF-checker om te zien hoeveel DNS-lookups uw domein momenteel verbruikt. Als dit aantal 8 of meer is, lees dan het gedeelte over probleemoplossing hieronder voordat u nieuwe include-instructies toevoegt.
Stap 1: Controleer uw implementatiemodus
Log in op het Check Point Email Security-beheerdersportaal. Ga naar uw beveiligingsbeleid voor uitgaand verkeer. Als u uitsluitend in de API/Monitor-modus werkt, hoeft u geen wijzigingen aan te brengen in de SPF-instellingen. Als de Prevent (inline)-modus of DLP-scanning voor uitgaand verkeer is ingeschakeld, gaat u verder met stap 2.
Stap 2: Ga naar je DNS-provider
Log in op de DNS-beheerconsole van uw domein (GoDaddy, Cloudflare, AWS Route 53, Azure DNS, Namecheap of de provider die uw domein host). Zoek het bestaande SPF TXT-record voor uw domein. Dit begint met v=spf1. Als er geen SPF-record bestaat, kunt u er een aanmaken.
Stap 3: Voeg de Avanan-include toe aan je SPF-record
Voeg de Avanan-include toe aan uw bestaande record. Maak geen tweede TXT SPF-record aan. DNS staat er slechts één per domein toe. Hier volgt een voorbeeld van de situatie voor en na voor een Microsoft 365-omgeving:
Voorheen:
v=spf1 include:spf.protection.outlook.com include:_spf.salesforce.com ~all
Na:
v=spf1 include:spf.protection.outlook.com include:_spf.salesforce.com include:spfa.cpmails.com ~all
Stap 4: Controleer het bijgewerkte record
Wacht na het opslaan van de DNS-wijziging totdat deze is doorgevoerd (meestal 15 minuten tot 48 uur, afhankelijk van je TTL-instelling). Gebruik vervolgens de SPF-checker van PowerDMARC om te controleren of de syntaxis van het record geldig is, het totale aantal DNS-lookups onder de 10 blijft en er geen PermError wordt gedetecteerd.
Stap 5: Stuur een test-e-mail en houd de DMARC-rapporten in de gaten
Stuur een test-e-mail vanaf een gebruikersaccount dat via de inline-modus van Avanan wordt doorgestuurd. Controleer in de e-mailheaders of spf=pass staat met behulp van een e-mailheader-analysator. Controleer vervolgens uw DMARC-aggregaterapporten gedurende 48–72 uur om te bevestigen dat er nu geen legitieme afzenders meer zijn die niet aan de vereisten voldoen.
De limiet van 10 zoekopdrachten: waarom het toevoegen van Avanan je e-mail verstort
RFC 7208 stelt een strikte limiet vast van 10 DNS-opzoekingen per SPF-evaluatie. Mechanismen die opzoekingen verbruiken zijn onder meer include, a, mx, ptr, exists en redirect. Elke include leidt ook tot recursieve opzoekingen voor eventuele geneste includes daarbinnen. Mechanismen zoals ip4, ip6 en all verbruiken geen opzoekingen.
Als er meer dan 10 opzoekingen worden uitgevoerd, ontstaat er een PermError, en de ontvangende mailserver moet SPF behandelen alsof het volledig is mislukt, niet alleen voor e-mail die via Avanan wordt gerouteerd, maar voor alle uitgaande e-mail vanaf uw domein.
Dit is hoe een typische bedrijfsstack eruitziet: Microsoft 365 verbruikt ongeveer 3 lookups, Salesforce voegt er 3 toe, HubSpot 2, Mailchimp 1, Zendesk 2 en Avanan 1. Dat komt neer op 12 lookups, waarvan er twee boven de limiet liggen. Lees meer over SPF en de opzoeklimiet.
Praktijkvoorbeelden van SPF-opzoekingen met Avanan
| SPF-recordstapel | Geschat aantal zoekopdrachten | Status | Er moet actie worden ondernomen |
|---|---|---|---|
| Alleen M365 + Avanan | 4–5 | Veilig | Geen |
| M365 + Avanan + Salesforce + HubSpot | 9–11 | Op het uiterste | Vlak maken of macro's gebruiken |
| M365 + Avanan + Salesforce + HubSpot + Mailchimp + Zendesk | 14–16 | PermError | Moet worden opgelost; SPF-controle mislukt voor ALLE e-mails |
| Afgevlakt overzicht (via PowerSPF) | 1–2 | Optimaal | Wordt automatisch onderhouden; geen handmatige DNS-configuratie nodig |
| Heb je de limiet van 10 zoekopdrachten al overschreden? PowerDMARC’s PowerSPF vlakken uw SPF-record automatisch af en houden het onder de limiet, zelfs als u nieuwe diensten zoals Avanan toevoegt. Start uw gratis proefperiode van 15 dagen |
Avanan’s SPF Macro versus SPF Flattening: een vergelijking
Het beheren van SPF op grote schaal komt vaak neer op het binnen de opzoeklimieten blijven zonder legitieme afzenders te blokkeren. Naarmate records complexer worden, worden methoden als SPF-flattening en SPF-macro’s ingezet om die complexiteit te beheersen, maar ze pakken het probleem op heel verschillende manieren aan.
Voordat u een keuze maakt, is het belangrijk om te begrijpen hoe elke aanpak werkt, welke voor- en nadelen ze met zich meebrengen en hoe ze zich verhouden tot de praktijk in e-mailomgevingen.
Hoe de SPF-macro van Check Point werkt:
Wanneer u SPF-beheer activeert in het beheerdersportaal, worden uw standaard-includes vervangen door één op macro’s gebaseerde include die geautoriseerde IP-adressen dynamisch omzet op het moment dat er een verzoek wordt gedaan. Check Point beheert de DNS-zone. U hoeft zich nooit meer met de DNS voor het Avanan-gedeelte bezig te houden.
Hoe SPF-flattening werkt:
Door het afvlakken worden alle include-mechanismen omgezet in hardgecodeerde IPv4-/IPv6-adressen, waardoor het aantal opzoekacties tot bijna nul wordt teruggebracht. Handmatig afvlakken werkt niet meer wanneer leveranciers hun IP-adressen wijzigen. Geautomatiseerde diensten zoals PowerSPF verwerken doorlopende IP-wijzigingen automatisch, zodat uw record geldig blijft.
| Factor | Check Point SPF-macro | SPF-afvlakking (bijv. PowerSPF) |
|---|---|---|
| Aantal DNS-opzoekingen | Beperkt de bijdrage van Avanan tot ongeveer 1 opzoekactie | Vermindert het aantal ALL-opnames tot ongeveer één opzoekactie |
| Transparantie / Controleerbaarheid | Onzichtbaar totdat het probleem is opgelost. Auditors kunnen de geautoriseerde IP-adressen niet zien in het DNS | Volledig transparant. Alle IP-adressen zijn direct zichtbaar in DNS |
| Afhankelijkheid van leveranciers | SPF is afhankelijk van de beschikbaarheid van de DNS-servers van checkpoint-spf.com | SPF is afhankelijk van de vereenvoudiging van de infrastructuur van de provider |
| Toepassingsgebied | Dit lost alleen het Avanan-gedeelte van je SPF op | Leest het volledige SPF-record in. Alle leveranciers |
| Schaalbaarheid van MSP | Moet per organisatie worden geconfigureerd via het Check Point-portaal | Kan vanuit één dashboard voor alle klantdomeinen worden gecentraliseerd |
| Draagbaarheid | Als je Avanan verlaat, moet je de SPF volledig opnieuw configureren | Als je de afvlakkingsfunctie verlaat, kun je het afgevlakte record exporteren |
Hoe de inline-modus van Avanan de afstemming van DKIM en DMARC beïnvloedt
Check Point biedt Managed DKIM via NS-recorddelegatie, waarbij beheerders specifieke DKIM-selector-subdomeinen aan Check Point delegeren voor geautomatiseerd sleutelbeheer en -rotatie.
De native DKIM-ondertekening in Microsoft 365 of Google Workspace blijft ook behouden in de inline-modus, mits de ondertekening plaatsvindt voordat Avanan het bericht onderschept.
Het echte risico is subtiel. De inline-modus van Avanan onderschept e-mails in de e-mailstroom en kan headers wijzigen, waardoor DKIM-handtekeningen die afhankelijk zijn van specifieke waarden in de header en de tekst van de e-mail, ongeldig kunnen worden.
In tegenstelling tot oplossingen die uitsluitend via een API werken en e-mails pas na verzending scannen zonder de authenticatieketen te doorlopen, leidt de inline-modus het bericht actief om via de infrastructuur van Check Point.
De valkuil van DMARC-afstemming:
DMARC vereist ofwel SPF of DKIM om overeen te komen met het 'Van'-domein. Als de inline-modus DKIM verstoort, vertrouwt DMARC uitsluitend op SPF-overeenstemming. Als SPF ook verkeerd is geconfigureerd (het hierboven beschreven 'include'-probleem), faalt DMARC volledig.
Het ergste scenario: beheerders verzwakken DMARC van p=reject naar p=none om te voorkomen dat legitieme e-mails worden geblokkeerd, precies het tegenovergestelde van wat de implementatie van een beveiligingstool zou moeten opleveren.
Hoe dit te voorkomen:
Configureer SPF correct voordat u de inline-modus inschakelt. Zorg ervoor dat DKIM-ondertekening plaatsvindt op het niveau van de e-mailprovider (Microsoft 365 of Google Workspace), en niet binnen Avanan. Controleer of DMARC correct is ingesteld met een DMARC-checker voor en na de implementatie. Schakel pas daarna inline-scannen in.
Voor realtime monitoring van alle verzendbronnen, detecteert PowerDMARC’s Hosted DMARC detecteert authenticatiefouten op het moment dat ze zich voordoen.
Volgorde van implementatie: DMARC + Avanan zonder de beveiliging in gevaar te brengen
De meest gemaakte fout is dat de inline-modus van Avanan wordt ingeschakeld voordat de authenticatie-infrastructuur klaar is. Volg in plaats daarvan deze stappen:
- Evalueer uw huidige authenticatiebeveiliging. Controleer de status van SPF, DKIM en DMARC met behulp van een gratis tool voor domeinanalyse.
- Los eventuele SPF-/DKIM-problemen op. Zorg ervoor dat het aantal SPF-lookups onder de 10 blijft en dat DKIM op het niveau van de e-mailprovider correct is ondertekend.
- Voeg de Avanan SPF-include toe (of activeer de beheerde SPF-macro). Volg de stappen in het bovenstaande gedeelte.
- Controleer of de SPF-verificatie klopt. Test dit met de SPF-checker en analyseer de e-mailheaders.
- Schakel de inline-modus van Avanan in. Pas nadat SPF en DKIM zijn gevalideerd.
- Houd de DMARC-rapporten 72 uur lang in de gaten. Let op eventuele nieuwe SPF- of DKIM-validatiefouten.
- Verscharp het DMARC-beleid pas na een succesvolle monitoring (bij een overstap van p=none naar p=quarantine of p=reject).
Problemen met Avanan SPF en authenticatiefouten oplossen
Dit zijn de vijf meest voorkomende problemen na de implementatie, afkomstig uit de CheckMates-community van Check Point, de dmarcian-forums, gebruikersrecensies op G2 en Capterra, en discussies onder IT-beheerders. Voor elk probleem is er een concrete oplossing.
| Fout / Symptoom | Meest waarschijnlijke oorzaak | Fix |
|---|---|---|
| spf=permanente fout | Na het toevoegen van Avanan zijn er meer dan 10 DNS-lookups nodig, naast die voor M365, Salesforce en andere diensten | Vlak de SPF af met PowerSPF of activeer de op macro’s gebaseerde include van Check Point om het aantal opzoekingen te verminderen |
| spf=softfail of spf=fail | Avanan: ontbrekende of onjuiste include-instructie, of een dubbel SPF TXT-record in DNS | Controleer of de `include`-instructie overeenkomt met Sectie 2; zorg ervoor dat er slechts één SPF TXT-record per domein bestaat |
| dkim=fail na het inschakelen van inline | De wijzigingen die Avanan in de inline-header heeft aangebracht, hebben de DKIM-handtekening ongeldig gemaakt | Configureer DKIM-ondertekening op M365-/Google Workspace-niveau (niet in Avanan); controleer de Managed DKIM NS-delegatie |
| dmarc=mislukt (zowel SPF als DKIM) | SPF PermError + DKIM-afwijking van de inline-modus leidt tot een dubbele uitlijningsfout | Stel SPF en DKIM afzonderlijk in en controleer vervolgens opnieuw of alles klopt voordat u de handhaving weer inschakelt |
| cpmails.com of cloud-sec-av.com verschijnen onverwacht in DMARC-rapporten | Inline-uitgaande e-mail is ingeschakeld (zoals verwacht) of een vorige beheerder heeft spfa.cpmails.com toegevoegd en deze instelling blijft behouden | Controleer het SPF-record op verweesde vermeldingen; als inline de bedoeling is, is dit normaal gedrag |
Voor een grondigere analyse op headerniveau kunt u de header van een afgekraakt bericht plakken in de E-mailheader-analysator van PowerDMARC om precies te traceren waar SPF of DKIM in de bezorgketen is mislukt.
Avanan SPF voor MSP’s: het beheer van authenticatie voor meerdere klanten op grote schaal
Hier is de operationele kloof het grootst. 30 of meer klantdomeinen, elk gehost bij een andere DNS-provider, elk met een andere SaaS-stack, elk met een verschillend aantal SPF-lookups. Om Avanan op al deze domeinen te implementeren, moet elk SPF-record worden aangepast, moet elk aantal lookups worden gecontroleerd en moet elk DMARC-rapport worden gemonitord, per klant en per domein.
De drie MSP-specifieke strategieën die chaos bij de implementatie voorkomen:
- Controleer de SPF van elke klant vóór de onboarding: Gebruik een geautomatiseerde opzoektool (geen handmatige nslookup) om het huidige SPF-record van elk domein te controleren, het aantal lookups te tellen en elk domein te markeren dat de limiet van 10 lookups al heeft bereikt of daar dichtbij zit. De API van PowerDMARC ondersteunt bulkcontroles van domeinen in uw gehele klantenbestand.
- Standaardiseer het gebruik van één leverancier voor het afvlakken van SPF-records voor alle tenants: De SPF-macro van Check Point moet per tenant worden geconfigureerd binnen het Check Point-portaal. Met een gecentraliseerde SPF-afvlakkingsoplossing zoals PowerSPF kunt u de records van elke klant beheren vanuit één dashboard, ongeacht welke beveiligingsgateway ze gebruiken.
- White-label DMARC-rapporten genereren voor kwartaalrapportages: Klanten geven om resultaten, niet om ruwe XML. Het MSP/MSSP-partnerprogramma van PowerDMARC biedt multi-tenant dashboards, white-label portals en API-gestuurd SPF-beheer voor elke door Check Point beschermde tenant, waardoor DMARC-monitoring wordt omgezet in terugkerende inkomsten voor uw praktijk.
Houd uw SPF schoon na de implementatie van Avanan
De configuratie van Avanan SPF is niet ingewikkeld, mits je rekening houdt met de opzoeklimiet, de juiste include-aanpak kiest voor je implementatiemodus en controleert of DKIM en DMARC op elkaar zijn afgestemd voordat je live gaat. De echte uitdaging ligt niet bij Avanan zelf. Het probleem is dat de meeste organisaties al bijna tegen de SPF-opzoeklimiet aan zitten voordat ze een nieuwe tool toevoegen.
SPF is geen eenmalige instelling. Elke nieuwe SaaS-tool, elk nieuw marketingplatform of elke nieuwe e-maildienst die uw organisatie in gebruik neemt, vereist een nieuwe controle. Alleen door SPF continu te beheren, kunt u voorkomen dat hetzelfde probleem zich opnieuw voordoet bij de volgende leverancier die u aansluit.
| Houd je SPF voorgoed onder controle. Het platform van PowerDMARC biedt geautomatiseerde SPF-flattening, realtime DMARC-monitoring en volledig inzicht in elk domein, zodat het toevoegen van een nieuwe tool je e-mailverkeer nooit meer verstoort. |
Veelgestelde Vragen
Wat is de huidige SPF-vermelding voor Avanan?
There are two options: the static include:spfa.cpmails.com and the managed SPF macro include:{orgcode}.spf.checkpoint-spf.com. Use one or the other—not both. Your org code is found in the Check Point Email Security Administrator Portal under DMARC → SPF Management.
Ondersteunt Avanan DKIM?
Ja. Check Point biedt nu Managed DKIM aan via NS-recorddelegatie, en de standaard DKIM-handtekening van M365/Google Workspace blijft behouden via de inline-modus. Op oudere referentiepagina’s van derden wordt nog steeds beweerd dat Avanan geen ondersteuning biedt voor DKIM, maar die informatie is verouderd.
Hoeveel DNS-opzoekingen voegt de Avanan SPF-toevoeging toe?
De statische include (spfa.cpmails.com) voegt precies één DNS-opzoeking toe. Deze wordt omgezet in ongeveer 21 IPv4-vermeldingen, die geen extra opzoekingen vereisen. De beheerde SPF-macro voegt eveneens één opzoeking toe.
Kan ik de statische include van Avanan en de macro-include tegelijkertijd gebruiken?
Nee. Als u beide gebruikt, ontstaat er dubbele autorisatie, worden zoekopdrachten verspild en worden audits bemoeilijkt. Kies één aanpak op basis van uw omgeving en licenties.
Moet ik mijn SPF aanpassen als ik Avanan in de modus ‘alleen API’ gebruik?
Nee. In de API-, Monitor- en Detect-modus wordt e-mail doorgestuurd via IP-adressen van Microsoft 365 of Google Workspace die al in uw SPF zijn geautoriseerd. Alleen in de inline-modus (Prevent) en bij volledige MX-implementaties is de include vereist.
Wat is cpmails.com? Wat is checkpoint-spf.com?
cpmails.com is het SPF-domein van Check Point voor de verouderde statische uitgaande e-mailstroom. checkpoint-spf.com is het op macro’s gebaseerde, klantspecifieke domein dat wordt gebruikt door de nieuwere SPF Management-add-on van Check Point. Beide maken deel uit van de legitieme infrastructuur van Check Point.
Moet ik bij Avanan ~all of -all gebruiken?
Check Point raadt aan om -all (hardfail) te gebruiken zodra u er zeker van bent dat alle legitieme afzenders zijn opgenomen. Gebruik voor de zekerheid ~all (softfail) tijdens de eerste implementatie. Gebruik nooit +all.
Expert domein- en e-mailbeveiliging bij PowerDMARC
Ahona is marketingmanager bij PowerDMARC en heeft meer dan vijf jaar ervaring met het schrijven over cybersecurity, gespecialiseerd in domein- en e-mailbeveiliging. Ahona heeft een masterdiploma in journalistiek en communicatie, en heeft sinds 2019 haar carrière in de beveiligingssector verder uitgebouwd.
Laatste berichten van Ahona Rudra (Bekijk alle berichten)
