• Hoe een SPF-record instellen? - Handleiding voor het instellen van SPF

Hoe een SPF-record instellen? - Handleiding voor het instellen van SPF

Blog

Stel het SPF-record in en voeg het toe aan uw domein. Leer meer over fouten in SPF-instellingen en bewaak ze met PowerDMARC voor robuuste e-mailverificatie en -beveiliging.

door Ahona Rudra

Leestijd: 11 min
Hoe een SPF-record instellen? - Handleiding voor het instellen van SPF
Inhoudsopgave-

Een e-mail is een essentieel hulpmiddel voor bedrijven en de meesten van ons vertrouwen er dagelijks op voor communicatie. Met de groei van het aantal e-mailgebruikers is echter ook het probleem van spam, e-mailspoofing, phishing, whaling en e-mailfraude toegenomen. Dit soort aanvallen kan aanzienlijke schade veroorzaken, waaronder reputatieverlies, financieel verlies en gegevenslekken. Om dergelijke aanvallen te voorkomen, moeten bedrijven proactieve stappen ondernemen om hun e-mailsystemen te beveiligen. Een van de manieren om dat te doen is door een SPF-instelling te configureren.

Grote e-mailproviders zoals Yahoo Mail en Google Workspace bevelen e-mailverificatieprotocollen aan zoals Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) en Domain-based Message Authentication, Reporting, and Conformance (DMARC) om e-mailontvangers te beschermen tegen mogelijke fraude.

Belangrijkste punten

  1. E-mailverificatieprotocollen zoals SPF zijn essentiële hulpmiddelen om e-mailspoofing, phishing en fraude te voorkomen.
  2. Het instellen van een geldig SPF-record houdt in dat alle geautoriseerde e-mailservers (inclusief derden) worden opgegeven via een enkel DNS TXT-record per domein.
  3. Het regelmatig bijwerken van SPF records en het naleven van de 10 DNS lookup limiet (het vermijden van ontmoedigde mechanismen zoals 'ptr') zijn cruciaal voor onderhoud en deliverability.
  4. Het testen van uw SPF-record helpt bij het controleren van de juiste configuratie en functionaliteit.
  5. SPF biedt fundamentele bescherming, maar werkt het beste met DKIM en DMARC voor uitgebreide e-mailbeveiliging en compliance.

SPF in e-mailbeveiliging - Uitleg 

Wat is SPF? SPF staat voor Sender Policy Framework. Een e-mailverificatieprotocol waarmee u kunt opgeven welke servers e-mails naar uw domein mogen verzenden. SPF werkt door het toevoegen van een DNS TXT record aan het DNS zone bestand van je domein, waarin de IP adressen of hostnamen staan die e-mails mogen versturen vanaf die specifieke domeinnaam. Dit record wordt opgezocht door ontvangende mailservers om de authenticiteit van een e-mail te verifiëren; het vertelt andere mailservers dat alle e-mails die vanaf uw domein worden verzonden en niet afkomstig zijn van geautoriseerde IP-adressen, moeten worden behandeld volgens uw opgegeven beleid (bijv. geweigerd of gemarkeerd als verdacht).

Het instellen van een geldig SPF-record is essentieel om te voorkomen dat onbevoegde gebruikers e-mails verzenden via uw domeinnaam. Spammers of aanvallers kunnen uw domeinnaam bijvoorbeeld gebruiken om spam of phishing e-mailsDit kan de reputatie van uw merk schaden, ertoe leiden dat uw legitieme e-mails worden geblokkeerd of geweigerd door andere servers en de veiligheid van uw klanten en medewerkers in gevaar brengen.

Vereenvoudig SPF-instellingen met PowerDMARC!

15 dagen op proefBoek een demo

SPF-componenten 

De belangrijkste onderdelen van een SPF-record in DNS zijn als volgt:

  1. Versie (v=spf1):
    Specificeert de SPF versie, altijd beginnend met v=spf1.
  2. IP4 en IP6 (ip4: / ip6:):
    Lijst met geautoriseerde IPv4- en IPv6-adressen die e-mails voor het domein mogen verzenden.
  3. A- en MX-mechanismen (a: / mx:):
    • a: staat e-mails toe van servers waarvan de IP's overeenkomen met het A-record van het domein (of een specifieke hostnaam indien opgegeven, bijvoorbeeld `a:mail.example.com`).
    • mx: laat e-mails toe van servers die vermeld staan in de MX (Mail Exchange) records van het domein. Dit moet het domein specificeren (`mx:example.com`), niet een specifieke hostnaam van een mailserver.
  4. Inclusief mechanisme (include:):
    Staat SPF-records van andere domeinen toe om afzenders te autoriseren, handig wanneer services van derden e-mails verzenden namens uw domein. Raadpleeg de organisatie van de derde partij om de juiste domeinwaarde voor de include-verklaring te bevestigen.
  5. PTR-mechanisme (ptr:):
    Voert een omgekeerde DNS-opzoeking uit. RFC7208 raadt het gebruik van het 'ptr' mechanisme echter af vanwege betrouwbaarheidsproblemen en prestatiebelasting. Het wordt over het algemeen aangeraden om in plaats daarvan 'a'-, 'mx'- of 'ip4'/'ip6'-mechanismen te gebruiken.
  6. Alle mechanismen (alle):
    Stelt een standaardregel in voor afzenders die niet door eerdere mechanismen zijn gematcht. Deze moet altijd helemaal aan het einde van het SPF-record worden geplaatst. De opties zijn:

    • -alle: Hard fail (niet-geautoriseerde IP's weigeren). Aanbevolen voor handhaving.
    • ~all: Soft fail (markeer niet-geautoriseerde IP's als verdacht). Vaak gebruikt tijdens de eerste installatie of het testen.
    • allemaal: Neutraal (geen specifieke actie tegen niet-geautoriseerde IP's). Biedt weinig bescherming.
    • +all: Pass (staat alle IP's toe, sterk afgeraden omdat het het doel van SPF teniet doet).
  7. omleiden (redirect=):
    Wijst naar het SPF-record van een ander domein als je het beleid daarvan wilt gebruiken in plaats van mechanismen te definiëren in het huidige record. Vervangt de noodzaak voor een 'all' mechanisme.
  8. Wijzigingen:
    Optionele regels voor fine-tuning, zoals `exp=` voor uitleg over mislukkingen, maar minder gebruikelijk.

Voorbeeld SPF

v=spf1 ip4:192.168.1.1 include:_spf.thirdparty.com -all

Dit voorbeeld staat e-mails toe van 192.168.1.1 en bevat een SPF-record van een derde partij, waardoor e-mails van andere IP's worden geweigerd met -.

SPF-instellingen beheersen

Een SPF setup verwijst naar de SPF e-mailverificatieprotocolconfiguratie in het DNS van een domeineigenaar. Met een SPF-instelling kunt u uw legitieme verzendbronnen autoriseren, zodat ontvangende servers gemakkelijk onderscheid kunnen maken tussen een echte e-mailafzender en een afzender die zich alleen voordoet als een legitieme domeinnaam. Het is een noodzakelijke stap in e-mailvalidatie om te helpen bij de bescherming tegen cyberaanvallen via e-mail. 

SPF-records instellen en toevoegen

Een SPF-instelling is niet alleen essentieel voor je actieve bronnen, maar ook voor alle domeinen die je bezit, inclusief niet-verzendbare of "geparkeerde" domeinen, om te garanderen dat ze veilig zijn tegen kwaadwillig gebruik. Het instellen van een SPF-record is een eenvoudig proces en bestaat uit de volgende stappen:

Stap 1: Bepaal uw e-mailservers en verzendbronnen

De eerste stap is het samenstellen van een uitgebreide lijst van alle servers en services die e-mails voor uw domein mogen verzenden. Deze bronnen kunnen uw eigen mailservers zijn (bijv. Microsoft Exchange, webgebaseerde zoals Gmail), eventuele externe e-mail service providers (ESP's) die u gebruikt voor marketing- of transactie-e-mails en andere services zoals betalingsverwerkers, e-commerce platforms, CRM's, helpdesks of support-/ticketing-systemen die namens u e-mails verzenden.

Stap 2: Een SPF Record aanmaken

Als je al je geautoriseerde verzendbronnen hebt geïdentificeerd, kun je een SPF-record maken met een SPF record generator of door de syntax handmatig te maken. Een SPF record is een TXT (tekst) record in de DNS configuratie van je domein. Zorg ervoor dat je slechts één SPF-record per domein aanmaakt. Een eenvoudige syntaxis kan er als volgt uitzien

v=spf1 ip4:<IP address> include:<third-party domain> -all

In this example, “v=spf1” indicates the SPF version, “ip4:<IP address>” lists an authorized IP, “include:<third-party domain>” incorporates a third-party sender’s policy, and “-all” at the end indicates that emails from sources not listed should be rejected. Double-check for typos, as even small errors like ‘inlcude’ instead of ‘include’ can invalidate the record.

Stap 3: Publiceer uw SPF Record

Nadat u uw SPF-record hebt gemaakt, moet u het publiceren in de DNS van uw domein. Domeinbeheerders kunnen de vereiste DNS-updates eenvoudig uitvoeren. Je kunt dit doen door in te loggen op de website van je DNS-provider en een nieuw TXT-record toe te voegen met de inhoud van je SPF-record. De eigenlijke inhoud moet beginnen met `v=spf1` en mag niet tussen dubbele aanhalingstekens staan in het DNS-record zelf (hoewel sommige DNS-interfaces het tussen aanhalingstekens kunnen weergeven). U kunt ook uw IT-team of hostingprovider vragen om dit voor u te doen. Houd er rekening mee dat het enige tijd kan duren (tot 72 uur, maar vaak veel sneller) voordat DNS-wijzigingen zich verspreiden over het internet.

Stap 4: Test uw SPF Record

Zodra je je SPF record hebt gepubliceerd en tijd hebt gegeven voor propagatie, is het essentieel om het te testen om er zeker van te zijn dat het correct werkt en de 10 DNS lookup limiet niet overschrijdt (mechanismen zoals `include`, `a`, `mx`, `ptr`, `exists` en `redirect` tellen mee voor deze limiet, inclusief lookups binnen geneste `include` statements). Je kunt online SPF record checkerszoals die van PowerDMARC of MXToolbox gebruiken om je SPF-record te testen. Deze tools vertellen je of je SPF record geldig is, correct geformatteerd is, binnen de lookup limiet valt en werkt zoals bedoeld.

5 misvattingen over SPF-records 

Er doen bepaalde mythes over SPF-records de ronde op het internet die ertoe kunnen leiden dat mensen verkeerde beslissingen nemen. Laten we ze een voor een ontkrachten: 

1. SPF alleen kan spoofing voorkomen 

Dit is niet waar. Alleen SPF instellen kan niet alle soorten spoofing of imitatie voorkomen, vooral niet als het gaat om de 'Van' header die gebruikers te zien krijgen. Om een sterkere bescherming te bieden en ontvangers te instrueren hoe om te gaan met fouten, moet SPF worden gecombineerd met DKIM en DMARC (Domain-based Message Authentication, Reporting, and Conformance). DMARC stelt domeineigenaren in staat om een beleid op te stellen (zoals weigeren of in quarantaine plaatsen) voor e-mails die de SPF- of DKIM-controles niet doorstaan.

2. U kunt +all gebruiken in uw SPF Record

Door +all te gebruiken, kan elke server op het internet e-mails versturen namens jouw domein. Dit doet het beveiligingsdoel van het SPF protocol volledig teniet. In plaats daarvan zijn ~all (soft fail) of bij voorkeur -all (hard fail) aanbevolen mechanismen om aan het einde van je record te gebruiken om SPF effectief in te zetten.

3. SPF werkt voor doorgestuurde e-mails 

We zouden allemaal willen dat dat waar was. Helaas breekt SPF in veel scenario's voor het doorsturen van mail. Dit gebeurt omdat het IP-adres van de doorsturende server vaak niet overeenkomt met de geautoriseerde IP's die staan vermeld in het SPF-record van de oorspronkelijke afzender, en de headerinformatie kan veranderen. In zulke gevallen kunnen protocollen zoals DKIM (dat meestal het doorsturen overleeft) of bij voorkeur ARC(Authenticated Received Chain) helpen om authenticatieresultaten te behouden over de hops van het doorsturen.

4. SPF Records hebben onbeperkte DNS opzoekingen 

De SPF specificatie (RFC) dwingt een maximum af van 10 DNS lookups per SPF check. Mechanismen zoals `include`, `a`, `mx`, `ptr`, `exists` en `redirect` voeren DNS lookups uit. Het overschrijden van deze limiet resulteert in een SPF PermError (permanente fout), waardoor legitieme e-mails niet geverifieerd kunnen worden. Het is essentieel om je record beknopt te houden en mogelijk SPF optimalisatiemethoden te gebruiken zoals afvlakking of dynamische SPF macro's om binnen de limiet te blijven, vooral als je veel afzenders van derden gebruikt.

5. Met SPF kun je "instellen en vergeten! 

Maak deze SPF-fout niet! Je infrastructuur voor het verzenden van e-mails kan na verloop van tijd veranderen - je kunt nieuwe services van derden toevoegen, van ESP veranderen of oude servers buiten gebruik stellen. Je moet je SPF-records regelmatig bijwerken om deze veranderingen te weerspiegelen. Als u dit niet doet, worden nieuwe legitieme verzendbronnen mogelijk niet geautoriseerd, waardoor hun e-mails mogelijk worden geblokkeerd of door ontvangende servers als spam worden gemarkeerd.

Hoe werkt een SPF Record?

  • De domeineigenaar maakt handmatig of met behulp van een online tool een SPF-record (een TXT-record in DNS) dat verzendbronnen specificeert (IP-adressen, domeinen via includes, etc.) die e-mails mogen verzenden namens het domein. 
  • Wanneer een e-mail wordt ontvangen, haalt de mailserver van de ontvanger het domein uit het Return-Path-adres van de e-mail (ook bekend als afzender van de envelop of Mail From-adres).
  • De ontvangende server voert een DNS-query uit om het SPF TXT-record voor dat afzenderdomein op te zoeken.
  • De ontvangende server controleert of het IP-adres van de verbindende server die de e-mail heeft verzonden overeenkomt met een van de geautoriseerde bronnen die in het SPF-record staan.
  • Als er een overeenkomst is (Pass), komt de e-mail door de SPF-controle. Als er geen overeenkomst is, hangt het resultaat af van het 'all'-mechanisme dat in het record is gedefinieerd (bijv. -all voor Fail, ~all voor SoftFail, ?all voor Neutral). Dit resultaat kan beïnvloeden of de e-mail in de inbox, spamfolder of wordt geweigerd, vooral in combinatie met DMARC.

Tips voor een nauwkeurige SPF-instelling

Hier volgen enkele tips voor het maken van een sterk en effectief SPF-record:

  • Vermeld alle geautoriseerde verzendbronnen: Zorg ervoor dat u elke server en service van derden die e-mails voor uw domein mag verzenden, nauwkeurig vermeldt. Het ontbreken van een bron kan leiden tot bezorgbaarheidsproblemen voor legitieme e-mail.
  • Pas SPF toe op al uw domeinen: Bescherm zelfs niet-verzendbare (geparkeerde) domeinen door een SPF record te publiceren zoals `v=spf1 -all` om expliciet aan te geven dat er geen e-mails van hen afkomstig mogen zijn.
  • Gebruik het juiste `all` mechanisme: Gebruik `~all` (SoftFail) tijdens de eerste test- of overgangsfasen. Gebruik `-all` (Fail) voor strengere handhaving, die ontvangende servers duidelijk vertelt om ongeautoriseerde e-mails te weigeren. Vermijd `?all` (Neutral) en gebruik nooit `+all` (Pass).
  • Plaats `all` op de juiste manier: Het `all` mechanisme moet altijd de allerlaatste component zijn in je SPF record string.
  • Gebruik het "include" mechanisme correct: Het "include" mechanisme is essentieel voor het autoriseren van afzenders van derden. Zorg ervoor dat je het juiste domein gebruikt dat door de derde partij is opgegeven voor hun SPF-beleid.
  • Gebruik `mx` en `a` zorgvuldig: Gebruik `mx` om servers te autoriseren die in de MX records van je domein staan (`mx:yourdomain.com`). Gebruik `a` om de IP-adressen te autoriseren die zijn gekoppeld aan het A-record van uw domein (`a`) of een specifieke hostnaam (`a:mail.uwdomein.com`). Gebruik geen `mx` met een specifieke mailserver hostnaam.
  • Vermijd afgeraden mechanismen: Gebruik het `ptr` mechanisme niet omdat het deprecated en onbetrouwbaar is.
  • Blijf binnen de limiet van 10 DNS lookups: Denk aan mechanismen (`include`, `a`, `mx`, `exists`, `redirect`) die DNS lookups vereisen. Geneste lookups tellen mee. Het overschrijden van de limiet leidt tot een PermError.
  • Controleer op typefouten: Controleer uw SPF record zorgvuldig op syntaxisfouten of typefouten voordat u het publiceert.
  • Publiceer correct in DNS: Zorg ervoor dat het record wordt gepubliceerd als een TXT-type en dat de inhoud begint met `v=spf1` zonder tussen aanhalingstekens te staan in het eigenlijke DNS-gegevensveld.
  • Houd uw SPF-record up-to-date: Als uw e-mailinfrastructuur of lijst van externe afzenders verandert, moet u uw SPF-record onmiddellijk bijwerken om deze wijzigingen weer te geven. Controleer en onderhoud uw record regelmatig.

Voordelen van het optimaliseren van uw SPF-instellingen met PowerDMARC

De DNS-opzoeklimiet is een belangrijke beperking die wordt opgelegd door de SPF-standaard. Het beperkt het aantal DNS-opzoekingen dat kan worden uitgevoerd wanneer een ontvangende server het SPF-record van een e-mail verifieert. Deze limiet is ingesteld op 10 DNS lookups. Als voor het evalueren van het SPF record meer dan 10 lookups nodig zijn (inclusief geneste lookups van `include` mechanismen), resulteert dit in een SPF PermError, waardoor legitieme e-mails mogelijk niet geverifieerd kunnen worden en afleverproblemen kunnen krijgen.

SPF afvlakking is een techniek die wordt gebruikt om het aantal DNS-opzoekingen te verminderen die nodig zijn om het SPF-record van een e-mail te verifiëren. Het werkt door mechanismen zoals `include` te vervangen door de werkelijke IP-adressen die uit die lookups zijn opgelost, en ze direct in het SPF-record te consolideren. Dit kan het aantal DNS-query's dat nodig is om een e-mail te verifiëren aanzienlijk verminderen. PowerDMARC biedt geautomatiseerde SPF-afvlakking of dynamische macro-gebaseerde oplossingen om complexe SPF-records te beheren en onder de limiet te blijven.

Hier is een voorbeeld van hoe SPF-afvlakking kan helpen:

Stel dat uw bedrijf verschillende services van derden gebruikt om e-mails te versturen. Dit kan marketingautomatiseringssoftware zijn (bijv. `include:spf.marketing.com`), een helpdesksysteem (bijv. `include:spf.support.com`) en een CRM-tool voor kleine bedrijven (bijvoorbeeld `include:spf.crm.com`). Elk van deze `include` verklaringen vereist een DNS opzoeking, en de opgenomen records kunnen zelf nog meer opzoekingen bevatten. Als het totale aantal meer dan 10 is, zal je SPF record breken.

Door SPF-afvlakking (of een macro-oplossing) te gebruiken, kunnen de IP-adressen die zijn geautoriseerd door deze third-party includes efficiënter worden opgelost en weergegeven, waardoor vaak het totale aantal vereiste lookups wordt verminderd om binnen de limiet te blijven. Dit zorgt ervoor dat wanneer een e-mailserver een DNS-opzoeking uitvoert om je SPF-record te verifiëren, het de evaluatie met succes kan voltooien zonder de PermError-drempel te raken.

Samengevat 

Een SPF instelling is een cruciale stap in het beveiligen van uw e-mailsysteem en het voorkomen van e-mailfraude. Door een nauwkeurig SPF-record aan te maken, dit correct te publiceren in de DNS-configuratie van uw domein en het na verloop van tijd te onderhouden, kunt u ervoor zorgen dat legitieme e-mails die vanaf uw domein worden verzonden, worden geverifieerd en helpt u voorkomen dat onbevoegde gebruikers misbruik maken van uw domeinnaam. Als u de bovenstaande best practices en tips volgt, kunt u een sterk SPF-record maken en uw algehele e-mailbeveiligingshouding verbeteren, vooral wanneer dit wordt gebruikt in combinatie met DKIM en DMARC.

Veelgestelde vragen over het instellen van een SPF Record

Kan ik meerdere SPF-records hebben voor één domein?

Nee. Een domein moet precies één SPF-record hebben. Het publiceren van meerdere SPF-records voor hetzelfde domein is een veelgemaakte fout die ervoor zorgt dat SPF-validatie mislukt of onvoorspelbare resultaten oplevert (vaak Geen of PermError). Als je meerdere verzendbronnen moet autoriseren, moeten ze allemaal worden opgenomen in een enkele SPF TXT record string.

Kan ik een groot SPF Record splitsen?

Het opsplitsen van een logisch groot SPF beleid over meerdere TXT records voor hetzelfde domein is niet toegestaan vanwege de één-record regel. Bovendien hebben individuele DNS TXT-records tekenreekslimieten (hoewel moderne DNS-systemen vaak meerdere tekenreeksen binnen een enkel record ondersteunen om oudere 255-karakterlimieten te omzeilen). Als je record te complex wordt of de 10 DNS lookup limiet overschrijdt, kun je het niet simpelweg splitsen. Probeer in plaats daarvan deze tactieken: 

  1. Vereenvoudig je dossier: Verwijder overbodige of onnodige vermeldingen. Voeg waar mogelijk IP-bereiken samen met behulp van CIDR-notatie.
  2. Beperk het aantal lookup-genererende mechanismen: Verminder het aantal `include`, `a`, `mx`, `exists` en `redirect` mechanismen.
  3. Gebruik SPF beheeroplossingen: Maak gebruik van services van derden die SPF-afvlakking of dynamische SPF-oplossingen (op basis van macro's) bieden om complexe records te beheren en binnen de grenzen te blijven.

Waarom wordt een SPF Record gebruikt?

Een SPF-record wordt gebruikt om e-mailspoofing te voorkomen door domeineigenaren in staat te stellen publiekelijk aan te geven welke mailservers gemachtigd zijn om e-mail te versturen namens hun domein. Ontvangende servers controleren dit record om de legitimiteit van de verzendende server te verifiëren, waardoor de kans kleiner wordt dat phishing, spam en andere frauduleuze e-mails die zijn verzonden met de naam van het domein in de inbox van ontvangers terechtkomen.

Wanneer heb je SPF nodig?

Je hebt SPF nodig voor elk domein dat je bezit, vooral voor domeinen die je gebruikt om e-mail te versturen. Het is een fundamenteel e-mailverificatieprotocol dat nodig is om de deliverability van e-mail te verbeteren, de reputatie van uw merk te beschermen, de authenticiteit te verifiëren en te voldoen aan het ontvangende serverbeleid en de best practices in de branche, waaronder recente mandaten van grote providers zoals Google en Yahoo. Meer informatie over het belang van SPF-configuratie. Zelfs domeinen die geen e-mail verzenden moeten een beperkend SPF-record hebben (bijvoorbeeld `v=spf1 -all`) om misbruik te voorkomen.

Hoe SPF Record optimaliseren?

Je kunt je SPF-record handmatig optimaliseren door geautoriseerde afzenders zorgvuldig te beoordelen en te consolideren, ongebruikte bronnen te verwijderen, efficiënte IP-bereiknotatie (CIDR) te gebruiken en mechanismen die DNS-opzoekingen veroorzaken te minimaliseren. Voor complexe scenario's of om er zeker van te zijn dat je onder de limiet van 10 lookups blijft, is een meer probleemloze optie het gebruik van SPF optimalisatie services van derden die geautomatiseerde afvlakking of dynamische SPF macro oplossingen bieden voor doorlopend recordbeheer.

Hoe weet ik dat mijn SPF Record correct is ingesteld?

U kunt uw SPF-record controleren met een online SPF record opzoeken. Deze tools valideren de syntaxis, controleren of het record bestaat in je DNS, controleren of je binnen de 10 DNS lookup limiet valt en bevestigen of het in het algemeen correct is geconfigureerd.


"`

Laatste berichten van Ahona Rudra (Bekijk alle berichten)
Hoe "Het DNS-recordtype 99 (SPF) is gedeprecated" repareren?Het DNS-recordtype 99 SPF is vervallenE-mail spoofing als serviceE-mail spoofing-as-a-service