Wat is SPF Permerror?

SPF=Permerror geeft aan dat er een fundamenteel probleem is met het SPF record, waardoor het onmogelijk is om te bepalen of de verzendende server geautoriseerd is of niet.

Wat is de 10 DNS lookup limiet?

Tijdens de SPF-controle voert de e-mailserver van uw ontvanger, telkens wanneer een e-mail wordt verzonden vanaf uw domein, DNS-opvragingsverzoeken uit, ook bekend als DNS-lookups, om de aanwezigheid van geautoriseerde IP-adressen in uw DNS te controleren en deze te matchen met de adressen in de return-path-header van de ontvangen e-mail. De RFC beperkt het aantal DNS lookups echter tot 10. Dit staat bekend als de 10 DNS lookup limiet.

Overschrijd ik de SPF-limiet voor te veel DNS-opzoekingen?

Als je je zorgen maakt over het overschrijden van de opzoeklimiet voor SPF, kun je je record direct controleren met onze SPF record checker tool.

Hoe kan SPF Permerror opgelost worden?

Een effectievere manier om SPF-fouten te voorkomen is het inzetten van een SPF-afvlakkingstool die automatisch en probleemloos werkt - zoals PowerSPF!

Hoe DMARC, SPF en DKIM instellen voor Salesforce?

Voor Salesforce-gebruikers die hun e-mailbeveiliging naar een hoger niveau willen tillen, hun e-mail deliverability in de loop der tijd willen verbeteren en Google en Yahoo inboxen willen bereiken zonder geblokkeerd te worden, is dit het artikel voor u! Om de beveiliging van e-mailcommunicatie verder te verbeteren, ondersteunt Salesforce e-mailverificatieprotocollen zoals DMARC, SPF en DKIM. Als u uw domein wilt beschermen tegen aanvallen via e-mail en het aantal klachten over spam op uw e-mails wilt verminderen, is het essentieel om deze verificatieprotocollen te implementeren. Door ze in te stellen met uw Salesforce-account kunt u controleren of uw e-mails echt en betrouwbaar zijn.

Sender Policy Framework (SPF) zorgt ervoor dat alleen geautoriseerde servers e-mails kunnen versturen namens uw domein, terwijl DomainKeys Identified Mail (DKIM) cryptografische sleutels gebruikt om te controleren of er met uw e-mail is geknoeid. SPF en DKIM kunnen worden gecombineerd met DMARC (Domain-based Message Authentication, Reporting, and Conformance) om spoofing en phishing-aanvallen te voorkomen.

In dit artikel wordt uitgelegd hoe u SPF-, DKIM- en DMARC-records toevoegt aan uw Salesforce-account. Laten we er meteen in duiken!

Een SPF-record toevoegen voor Salesforce

Een SPF Het is essentieel dat u een SPF-record instelt voor uw Salesforce-account. Salesforce biedt namelijk een speciaal SPF-record dat garandeert dat e-mails die vanuit uw account worden verzonden, de beveiligingscontroles doorstaan.

Hieronder vindt u de instructies voor het toevoegen van Salesforce aan uw SPF-record.

1. SPF-invoer van Salesforce opnemen

Neem de specifieke SPF-vermelding op in het SPF-record van uw domein om e-mails te verzenden vanuit Salesforce:

_spf.salesforce.com

Voorbeeld SPF Record voor Salesforce

Een voorbeeld van een SPF-record voor Salesforce zou er als volgt uit kunnen zien:

v=spf1 mx include:_spf.salesforce.com ~all

Dit is het eenvoudigste SPF-record. Het specificeert dat uw domein e-mails mag verzenden via Salesforce. U kunt ook meerdere "include"-mechanismen configureren om andere domeinen van derden te autoriseren om namens u e-mails te verzenden. Het is belangrijk om deze bronnen in hetzelfde SPF-record te autoriseren in plaats van een nieuw record aan te maken voor hetzelfde domein.

2. Uw SPF Record aanmaken

Om een foutloos SPF-record te maken, raden we aan een SPF Record Generator te gebruiken.

3. Uw SPF Record testen en valideren

Je moet je SPF record testen nadat je het hebt ingesteld om er zeker van te zijn dat het goed werkt. Een SPF-controleprogramma kan gebruikt worden om het record te valideren.

Zo gebruik je de tool:

Open eerst de SPF Query Tool.
Voer uw domeinnaam in.
Klik op de knop "Lookup".

Je krijgt de status "Valid" als je SPF-record correct is.

Aanvullende bronnen

Raadpleeg voor meer informatie De SPF-instellingshandleiding van Salesforce.

Een DKIM-record toevoegen voor Salesforce

Hier volgen de instructies voor het maken van DKIM-sleutels in Salesforce.

1. Navigeer naar DKIM-instellingen

Zoek in de Salesforce-instellingen naar het vak Snelzoeken. Voer "DKIM Keys" in en selecteer deze optie.

2. Een nieuwe DKIM-sleutel maken

Nadat u "DKIM Keys" hebt geselecteerd, klikt u op "Create New Keys". Hierdoor wordt het DKIM-sleutelpaar standaard inactief gemaakt.

Selecteer RSA-sleutelgrootte

Selecteer de grootte van de RSA-sleutel volgens de vereisten van uw organisatie. Houd rekening met de beperkingen van uw e-mailontvangers voordat u een sleutel selecteert. Houd ook rekening met de beveiligingsvoorschriften.

3. Voer een selectienaam in

Uw DKIM-selector is een unieke identificatie die uw DKIM-sleutel herkent. Voer een unieke naam in om deze sleutel te onderscheiden van andere.

4. Een alternatieve selector instellen

Met de Alternatieve selector kan Salesforce uw DKIM-sleutels automatisch roteren voor een betere beveiliging.

5. Voer de domeinnaam in

Daarna moet u een domeinnaam opgeven. Deze naam wordt gebruikt om e-mails te versturen vanuit uw Salesforce-account. De domeinnaam kan niet worden gewijzigd als deze eenmaal is ingesteld.

6. Domein overeenkomend patroon definiëren

Je kunt ook bepalen wanneer Salesforce een e-mail ondertekent met een DKIM-sleutel. Dit kan worden gedaan met een domein match patroon. U moet een door komma's gescheiden lijst met patronen gebruiken.

7. Wijzigingen opslaan

Sla uw wijzigingen op nadat u alle bovenstaande stappen hebt uitgevoerd. Uw TXT-record voor de DKIM-sleutel wordt dan door Salesforce gepubliceerd op uw DNS.

8. CNAME-records toevoegen aan uw DNS

Voeg de CNAME- en alternatieve CNAME-records toe aan de DNS van je domein voordat je de DKIM-sleutel activeert op je domein.

9. Wachten op DNS-publicatie

Het publiceren van DNS-records duurt enkele dagen. CNAME- en alternatieve CNAME-records verschijnen op de pagina DKIM-sleutelgegevens nadat de DNS-propagatietijd is voltooid.

10. De DKIM-sleutel activeren

Ga terug naar de DKIM-sleutel detailpagina na het publiceren van het record. Activeer de DKIM-sleutel.

Opmerking: Salesforce roteert sleutels na 30 dagen. Daarom wordt uw secundaire, inactieve sleutel automatisch gegenereerd zodra u de sleutel activeert.

DMARC instellen voor Salesforce

DMARC instrueert ontvangende servers hoe om te gaan met e-mails die de verificatiecontroles van SPF en DKIM niet doorstaan. Salesforce kan geen DMARC-verificatie leveren en raadt daarom aan om met een externe leverancier zoals PowerDMARC te werken om het protocol te configureren.

De juiste DMARC-implementatie is noodzakelijk om configuratieproblemen te voorkomen. Hier volgen de instructies voor het toevoegen van een DMARC-record voor Salesforce.

1. Selecteer een DMARC-versie

De standaardversie van DMARC is versie 1, die er als volgt uitziet:v=DMARC1

2. Kies een DMARC-beleid

Er zijn drie DMARC-beleidsregels die voorschrijven hoe ontvangerservers moeten omgaan met e-mails die de verificatiecontroles niet doorstaan.

p=niets

Dit is het eerste beleid dat wordt geactiveerd. Met dit beleid worden e-mails door de DMARC-authenticatie gehaald, zelfs als ze niet door de SPF- en DKIM-controles komen. Dit beleid moet worden gebruikt wanneer DMARC voor het eerst wordt ingesteld.

p=quarantine

Het beleid plaatst de e-mails die niet voldoen aan de SPF- en DKIM-verificatie in quarantaine. Het markeert de e-mails als spam om de gebruiker te waarschuwen voor verdachte e-mails.

p=afwijzen

Zoals de naam al aangeeft, weigert dit beleid e-mails die de authenticatie niet doorstaan. Het is meestal het laatste doel dat moet worden bereikt na het implementeren van DMARC.

3. Kies SPF en DKIM uitlijningsmodi (optioneel)

Hier wordt uitgelegd hoe SPF-beleid werkt met DMARC:

aspf=s

De strikte SPF afstemmingsmodus vereist een exacte overeenkomst tussen het domein in het "Return-Path" (afzender van de envelop) en het domein in de "From" header.

aspf=r

De SPF relaxte uitlijningsmodus staat een pass toe, zelfs als het "Return-Path" domein (afzender envelop) en het "From" header domein een organisatorische match zijn, en geen exacte match.

adkim=s

Het domein in de DKIM handtekening (de d= tag in de DKIM header) moet exact overeenkomen met het domein in het "Van" adres.

adkim=r

In de ontspannen modus kan het domein in de DKIM handtekening hetzelfde zijn of hetzelfde topleveldomein hebben als het domein in het "Van" adres.

4. Percentagetag opgeven (optioneel)

Dit specificeert het percentage e-mails dat moet voldoen aan het DMARC-beleid. Een pct=100 betekent dat het gedefinieerde beleid wordt toegepast op 100% van de e-mails. Begin met een lager percentage bij het instellen van DMARC. Na regelmatige controle kun je dit percentage verhogen.

5. DMARC-rapportage inschakelen (optioneel maar aanbevolen)

Geaggregeerde rapportage

Het verzamelrapport DMARC biedt waardevolle gegevens over de resultaten van je e-mailverificatie. Om een geaggregeerd rapport te ontvangen, moet je de RUA-tag instellen. Geaggregeerde rapporten worden dagelijks of wekelijks ontvangen, worden geleverd in XML-indeling en bevatten geen PII (persoonlijk identificeerbare informatie).

Het rapport geeft informatie zoals het verzendende IP-adres, het aantal e-mails, SPF/DKIM identificaties en resultaten, enz. Het DMARC-record verwijst de rua-tag naar het e-mailadres dat is opgegeven door de domeineigenaar om samengestelde rapporten te ontvangen. Hier is een voorbeeld:

rua=mailto:[email protected].

Forensische rapportage

Het forensisch DMARC-rapport bevat informatie over afzonderlijke e-mails. Hiervoor moet je de tag RUF instellen in je DMARC-record. In tegenstelling tot de geaggregeerde DMARC-rapporten die elke 24 uur worden ontvangen, wordt een DMARC forensisch rapport verkregen telkens wanneer de e-mail niet voldoet aan de DMARC-verificatie. Forensische rapporten worden in platte tekst geleverd en kunnen gevoelige informatie bevatten.

ruf=mailto:[email protected].

Het is ook belangrijk op te merken dat niet alle DMARC-compliant mailbox providers het genereren van DMARC forensische rapporten ondersteunen.

De Time to Live (TTL) definiëren

Bij de eerste configuratie van DMARC kun je de Time to Live (TTL) instellen op 600 seconden. Dit is handig voor een snellere propagatie. Je kunt de TTL later aanpassen naar 3600 seconden om de frequentie van DNS-query's te verlagen, waardoor de DNS-server minder wordt belast.

DMARC generatoren en tools

Je kunt PowerDMARC's geautomatiseerde DMARC record generator gebruiken om het DMARC-recordgeneratieproces te vereenvoudigen. PowerDMARC biedt verschillende beheerde DMARC-oplossingen, samen met granulaire monitoring en rapportageopties. De combinatie van deze geavanceerde opties helpt u bij het configureren van technische protocollen zoals DMARC, zonder gedoe of extra complexiteit.

Laatste woorden

Het implementeren van e-mailverificatie is van vitaal belang voor het versterken van de beveiliging van uw Salesforce e-mails. Het is aan u om uw domeinen te beschermen tegen op e-mail gebaseerde bedreigingen.

Het instellen van deze e-mailverificatieprotocollen kan ook worden vereenvoudigd met PowerDMARC. Voor meer details over de implementatie kunt u contact met ons opnemen of start uw gratis proefversie nu!

Over
Laatste berichten

Ayan Bhuiya

Shift Lead, Infrastructuur- en e-mailbeveiligingsdeskundige bij PowerDMARC

Ayan Bhuiya heeft meer dan 13 jaar ervaring in cyberbeveiliging en is gespecialiseerd in infrastructuur, bedrijfscontinuïteit, risicomanagement en e-mailbeveiliging. Momenteel is hij Shift Lead bij PowerDMARC. Hij heeft een Postgraduate Diploma in Netwerken en Beveiliging en heeft een bewezen staat van dienst in het leiden van strategische beveiligingsinitiatieven om bedreigingen te beperken en de veerkracht van het bedrijf te garanderen.

Laatste berichten van Ayan Bhuiya (Bekijk alle berichten)

Gelaagde beveiliging: Een uitgebreide gids voor bedrijven - 29 januari 2025
Top 10 DMARC-aanbieders op de markt - 2 januari 2025
Wat is beveiligingstesten? Een beginnershandleiding - 20 december 2024

Handleiding voor het instellen van DMARC, SPF en DKIM voor Salesforce