• Hoe een SPF-record instellen? - Handleiding voor het instellen van SPF

Hoe een SPF-record instellen? - Handleiding voor het instellen van SPF

Blog

Stel het SPF-record in en voeg het toe aan uw domein. Leer meer over fouten in SPF-instellingen en bewaak ze met PowerDMARC voor robuuste e-mailverificatie en -beveiliging.

door Ahona Rudra

Leestijd: 8 min
Hoe een SPF-record instellen? - Handleiding voor het instellen van SPF
Inhoudsopgave-

Een e-mail is een essentieel hulpmiddel voor bedrijven en de meesten van ons vertrouwen er dagelijks op voor communicatie. Met de groei van het aantal e-mailgebruikers is echter ook het probleem van spam, e-mail spoofing, phishing en e-mailfraude gegroeid. Dit soort aanvallen kan aanzienlijke schade veroorzaken, waaronder reputatieverlies, financieel verlies en gegevenslekken. Om dergelijke aanvallen te voorkomen, moeten bedrijven proactief stappen ondernemen om hun e-mailsystemen te beveiligen. Een van de manieren om dat te doen is door een SPF-instelling te configureren.

Grote e-mailproviders zoals Yahoo Mail en Google Workspace bevelen e-mailverificatieprotocollen aan zoals Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) en Domain-based Message Authentication, Reporting, and Conformance (DMARC) om e-mailontvangers te beschermen tegen mogelijke fraude.

Belangrijkste conclusies

  1. E-mailverificatieprotocollen zoals SPF zijn essentiële hulpmiddelen om e-mailspoofing en fraude te voorkomen.
  2. Het instellen van een geldig SPF-record omvat het specificeren van geautoriseerde e-mailservers via DNS-configuratie.
  3. Het regelmatig bijwerken van je SPF-records is cruciaal om ervoor te zorgen dat nieuwe verzendbronnen worden herkend en ongeautoriseerde gebruikers worden geblokkeerd.
  4. Door uw SPF-record te testen, kunt u controleren of het correct is geconfigureerd en werkt zoals bedoeld.
  5. SPF werkt het beste in combinatie met DMARC om een sterkere verdediging te bieden tegen e-mailfraude en aanvallen van imitatie.

SPF in e-mailbeveiliging - Uitleg 

Wat is SPF? SPF staat voor Sender Policy Framework. Een e-mailverificatieprotocol waarmee u kunt opgeven welke servers e-mails naar uw domein mogen verzenden. SPF werkt door het toevoegen van een DNS-record aan de DNS-configuratie van je domein, waarin de IP-adressen van je e-mailservers staan. Dit record vertelt andere e-mailservers dat alle e-mails die vanaf uw domein worden verzonden en niet afkomstig zijn van geautoriseerde IP-adressen, moeten worden geweigerd.

Het instellen van een geldig SPF-record is essentieel om te voorkomen dat onbevoegde gebruikers e-mails verzenden via uw domeinnaam. Spammers of aanvallers kunnen uw domeinnaam bijvoorbeeld gebruiken om spam of phishing e-mailsDit kan uw reputatie schaden, leiden tot blokkering en de veiligheid van uw klanten en medewerkers in gevaar brengen.

Vereenvoudig SPF-instellingen met PowerDMARC!

15 dagen op proefBoek een demo

SPF-componenten 

De belangrijkste onderdelen van een SPF-record in DNS zijn als volgt:

  1. Versie (v=spf1):
    Specificeert de SPF versie, altijd beginnend met v=spf1.
  2. IP4 en IP6 (ip4: / ip6:):
    Lijst met geautoriseerde IPv4- en IPv6-adressen die e-mails voor het domein mogen verzenden.
  3. A- en MX-mechanismen (a: / mx:):
    • a: staat e-mails toe van servers waarvan de IP's overeenkomen met het A-record van het domein.
    • mx: staat e-mails toe van servers die zijn opgenomen in de MX-records (Mail Exchange) van het domein.
  4. Inclusief mechanisme (include:):
    Staat SPF-records van andere domeinen toe om afzenders te autoriseren, handig als services van derden e-mails verzenden namens uw domein.
  5. Alle mechanismen (alle):
    Stelt een standaardregel in aan het einde van het SPF-record. De opties zijn:

    • -alle: Hard fail (niet-geautoriseerde IP's weigeren).
    • ~all: Soft fail (markeer niet-geautoriseerde IP's als verdacht).
    • allemaal: Neutraal (er wordt geen actie ondernomen op niet-geautoriseerde IP's).
    • +all: Pass (staat alle IP's toe, zelden aanbevolen).
  6. omleiden (redirect=):
    Wijst naar het SPF-record van een ander domein als u dit wilt gebruiken in plaats van uw eigen record te maken.
  7. Wijzigingen:
    Optionele regels voor fijnafstemming, maar minder gebruikelijk.

Voorbeeld SPF

v=spf1 ip4:192.168.1.1 include:_spf.thirdparty.com -all

Dit voorbeeld staat e-mails toe van 192.168.1.1 en bevat een SPF-record van een derde partij, waardoor e-mails van andere IP's worden geweigerd met -.

SPF-instellingen beheersen

Een SPF-opstelling verwijst naar de SPF-protocolconfiguratie voor e-mailverificatie in het DNS van een domeineigenaar. Met een SPF-instelling kunt u uw legitieme verzendbronnen autoriseren, zodat ontvangende servers gemakkelijk onderscheid kunnen maken tussen een echte e-mailafzender en een afzender die zich alleen voordoet als een legitieme domeinnaam. Het is een noodzakelijke stap in e-mailvalidatie om te helpen bij de bescherming tegen cyberaanvallen via e-mail. 

SPF-records instellen en toevoegen

Een SPF-instelling is niet alleen essentieel voor je actieve bronnen, maar ook voor je niet-verzenddomeinen om te garanderen dat ze veilig zijn tegen kwaadwillig gebruik. Het instellen van een SPF-record is een eenvoudig proces en bestaat uit de volgende stappen:

Stap 1: Bepaal uw e-mailservers

De eerste stap is bepalen welke servers geautoriseerd zijn om e-mails voor uw domein te versturen. Deze servers kunnen uw eigen mailserver zijn, een externe e-mailserviceprovider die u gebruikt of een andere server die e-mails verzendt onder uw domeinnaam.

Stap 2: Een SPF Record aanmaken

Zodra u uw geautoriseerde e-mailservers hebt geïdentificeerd, kunt u een SPF-record maken met een SPF record generator. Een SPF record is een TXT (tekst) record in de DNS configuratie van je domein, wat essentieel is voor je SPF setup. Je kunt een eenvoudige syntax gebruiken om je SPF record te maken, zoals:

v=spf1 ip4:<IP address> -all

In this example, the “v=spf1” indicates that this is an SPF record, and “ip4:<IP address>” indicates the IP address of the authorized email server. The “-all” at the end indicates that any emails that do not come from authorized IP addresses should be rejected.

Stap 3: Publiceer uw SPF Record

Nadat u uw SPF-record hebt gemaakt, moet u het publiceren in de DNS van uw domein. Domeinbeheerders moeten de vereiste DNS-updates uitvoeren om het protocol eenvoudig te activeren. Je kunt dit doen door in te loggen op de website van je DNS-provider en een nieuw TXT-record toe te voegen met je SPF-record. Je kunt ook je IT-team of hostingprovider vragen dit voor je te doen.

Stap 4: Test uw SPF Record

Zodra je je SPF-record hebt gepubliceerd, is het essentieel om het te testen om er zeker van te zijn dat het correct werkt. U kunt online SPF record checkerszoals die van MXToolbox gebruiken om je SPF record te testen. Deze tools vertellen je of je SPF record geldig is en of het correct is geconfigureerd.

5 misvattingen over SPF-records 

Er doen bepaalde mythes over SPF-records de ronde op het internet die ertoe kunnen leiden dat mensen verkeerde beslissingen nemen. Laten we ze een voor een ontkrachten: 

1. SPF alleen kan spoofing voorkomen 

Dit is niet waar. Alleen SPF instellen kan cyberaanvallen zoals spoofing of impersonatie niet voorkomen. Om ze te voorkomen, moet SPF worden gecombineerd met DMARC (Domain-based Message Authentication, Reporting, and Conformance), waarmee domeineigenaren frauduleuze e-mails kunnen weigeren die vanaf hun eigen domein zijn verzonden. 

2. U kunt +all gebruiken in uw SPF Record

Door +all te gebruiken kan elke server e-mails versturen namens jouw domein. Dit doet het doel van het SPF-protocol teniet. In plaats daarvan wordt aangeraden ~all of -all te gebruiken om SPF effectief in te zetten voor je domein. 

3. SPF werkt voor doorgestuurde e-mails 

We zouden allemaal willen dat dat waar was. Helaas breekt SPF in scenario's voor het doorsturen van e-mail door wijzigingen in de header-informatie door tussenliggende servers. In zulke gevallen kunnen protocollen zoals DKIM of bij voorkeur ARC van pas komen voor effectieve e-mailverificatie. 

4. SPF Records hebben onbeperkte DNS opzoekingen 

RFC specificeert een maximum van 10 DNS lookups voor SPF records, overschrijding hiervan leidt tot een SPF permerror resultaat. Het is essentieel om SPF optimalisatiemethodes te gebruiken zoals flattening, of bij voorkeur SPF macro's, om er zeker van te zijn dat je altijd binnen de SPF limieten blijft.

5. Met SPF kunt u "instellen en vergeten! 

Maak deze SPF-fout niet! Je moet je SPF-records van tijd tot tijd bijwerken, zodat je bijgewerkte lijst met afzenders e-mails kan versturen namens je domein! Dit is een belangrijke stap om ervoor te zorgen dat legitieme e-mails niet worden geblokkeerd door de server van je ontvanger. 

Hoe werkt een SPF Record?

  • De domeineigenaar maakt handmatig of met behulp van een online tool een SPF-record aan dat verzendbronnen specificeert die e-mails namens het domein mogen verzenden. 
  • Wanneer een e-mail wordt verzonden, voert de server van de ontvanger een DNS-query uit op de DNS van de afzender om het SPF-record op te zoeken en te controleren op geautoriseerde bronnen. 
  • Als er een overeenkomst is, belandt de e-mail veilig in de inbox, anders kan de e-mail als verdacht worden gemarkeerd. Dit hangt af van de actiekwalificatie (~all, -all, ?all) die door de domeineigenaar is gedefinieerd in het SPF-record. 

Tips voor een nauwkeurige SPF-instelling

Hier volgen enkele tips voor het maken van een sterk SPF-record:

  • Alle geautoriseerde e-mailservers opnemen: Zorg ervoor dat u alle geautoriseerde e-mailservers voor het verzenden van e-mails voor uw domein opneemt in uw SPF-instellingen. Dit kan uw mailserver zijn, e-mailproviders van derden of elke andere server die e-mails verzendt met uw domeinnaam.
  • Gebruik het "-all" mechanisme: Het "-all" mechanisme aan het einde van uw SPF record vertelt andere e-mail servers om alle e-mails te weigeren die niet afkomstig zijn van geautoriseerde IP adressen. Dit is een cruciale stap om te voorkomen dat onbevoegde gebruikers e-mails versturen via uw domeinnaam.
  • Gebruik het "include" mechanisme: Met het "include" mechanisme kun je SPF records van andere domeinen opnemen. Dit kan handig zijn als je een externe e-mail service provider gebruikt om e-mails voor je domein te versturen. Je kunt hun SPF-record opnemen in je SPF-instellingen om ervoor te zorgen dat e-mails die vanaf hun servers worden verzonden, ook worden geverifieerd.
  • Gebruik het "~all" mechanisme voor testen: Het "~all" mechanisme vertelt andere e-mailservers om alle e-mails die niet van de geautoriseerde IP-adressen komen als "soft failures" te markeren. Dit betekent dat deze e-mails nog steeds worden afgeleverd, maar ze worden gemarkeerd als verdacht. U kunt dit mechanisme tijdens het testen gebruiken om er zeker van te zijn dat uw SPF-record correct werkt zonder dat e-mails onmiddellijk worden geweigerd.
  • Houd uw SPF record up-to-date: Als uw e-mail infrastructuur verandert, zorg er dan voor dat uw SPF record wordt bijgewerkt om deze veranderingen weer te geven. Dit kan betekenen dat u nieuwe e-mailservers toevoegt of oude verwijdert.

Voordelen van het optimaliseren van uw SPF-instellingen met PowerDMARC

De DNS-opzoeklimiet is een beperking die wordt opgelegd door e-mailservers. Het beperkt het aantal DNS-opzoekingen dat kan worden uitgevoerd bij het verifiëren van het SPF-record van een e-mail. Deze limiet is meestal ingesteld op 10 DNS lookups en als de e-mailserver deze limiet overschrijdt, kan SPF breken en problemen met de bezorgbaarheid van e-mail veroorzaken.

SPF afvlakking is een techniek die wordt gebruikt om het aantal DNS-bezoeken te verminderen dat nodig is om het SPF-record van een e-mail te verifiëren. Het werkt door meerdere SPF-records te combineren tot één record, waardoor het aantal DNS-opzoekingen dat nodig is om een e-mail te verifiëren, kan worden verminderd.

Hier is een voorbeeld van hoe SPF-afvlakking kan helpen:

Stel dat je bedrijf verschillende services van derden gebruikt om e-mails te versturen. Dit kan marketingautomatiseringssoftware zijn, een helpdesksysteem en een CRM-tool voor kleine bedrijven. Elk van deze services zal worden toegevoegd aan de lijst met IP-adressen in uw DNS SPF-record of individuele SPF-records voor elk van deze services en als u ze allemaal zou opnemen in het SPF-record van uw domein, zou dit de limiet van 10 DNS-opzoekingen overschrijden.

Door SPF flattening te gebruiken, kunt u al deze overbodige IP's combineren in een enkele opname. Dit betekent dat wanneer een e-mailserver een DNS-opzoeking uitvoert om uw SPF-record te verifiëren, hij slechts één of enkele opzoekingen hoeft uit te voeren, in plaats van meerdere opzoekingen voor elk van de afzonderlijke SPF-records en IP-adressen.

Samengevat 

Een SPF instelling is een cruciale stap in het beveiligen van je e-mailsysteem en het voorkomen van e-mailfraude. Door een SPF-record aan te maken en te publiceren in de DNS-configuratie van uw domein, kunt u ervoor zorgen dat e-mails die vanaf uw domein worden verzonden, worden geverifieerd en voorkomt u dat onbevoegde gebruikers e-mails verzenden via uw domeinnaam. Als u de bovenstaande tips volgt, kunt u een sterk SPF-record maken en uw e-mailsysteem beveiligen.

Veelgestelde vragen over het instellen van een SPF Record

Kan ik een grote SPF splitsen?

Het opsplitsen van een groot SPF-record in kleinere wordt niet aangeraden vanwege SPF karakterbeperkingen en de extra beperkingen tegen het publiceren van meer dan één SPF-record voor hetzelfde domein. Probeer in plaats daarvan deze tactieken: 

  1. Maak je SPF record eenvoudig en beknopt 
  2. Gebruik minder insluitingen en combineer IP-bereiken 
  3. SPF-beheeroplossingen en diensten van derden gebruiken

Waarom wordt een SPF Record gebruikt?

Een SPF-record wordt gebruikt om ervoor te zorgen dat alleen geautoriseerde bronnen e-mails namens uw domein mogen verzenden, waardoor externe blootstelling en pogingen tot imitatie worden beperkt. 

Wanneer heb je SPF nodig?

Als e-mailverificatieprotocol is SPF nodig om ervoor te zorgen dat e-mailcommunicatie kan worden geverifieerd op echtheid en om te voldoen aan de nieuwste mandaten in de sector. Meer informatie over het belang van SPF-configuratie.

Hoe SPF Record Optimaliseren?

Je kunt je SPF-record handmatig optimaliseren door je DNS te openen en de vereiste wijzigingen aan te brengen. Een meer probleemloze en eenvoudigere optie is echter het inzetten van SPF optimalisatie services van derden die flattening of Macro's optimalisatie bieden voor SPF record beheer. 

Hoe weet ik dat mijn SPF Record is ingesteld?

U kunt uw SPF-record controleren met een online SPF record opzoektool om te controleren of je SPF record correct is ingesteld.

Nieuwste berichten van Ahona Rudra (zie alle)
BIMI-bestand: 5 stappen om een BIMI-record aan te maken en te publicerenbimi record publicerenE-mail spoofing als dienstE-mail spoofing-as-a-service