SPF Formaat : SPF Basis- & Geavanceerde formaten uitgelegd

Blog

SPF-indeling bevat IP-adressen die e-mails mogen versturen met 3 primaire elementen; SPF Mechanism, SPF Qualifiers en SPF Modifiers.

door Ahona Rudra

Laatst bijgewerkt:
4 leestijd: 4 minuten
SPF Formaat : SPF Basis- & Geavanceerde formaten uitgelegd
Inhoudsopgave-

Je kunt e-mails versturen zonder SPF te gebruiken of op de hoogte te zijn van SPF-indeling, maar dat is niet veilig. SPF voegt een extra vertrouwensindicatie toe aan de mailboxproviders van ontvangers en alle authentieke e-mails die via jouw domein zijn verzonden, komen in de inbox van de box terecht in plaats van als spam te worden gemarkeerd.

SPF is geen fool-proof methode; daarom moet je het combineren met andere e-mailverificatie protocollen zoals DKIM, DMARCen BIMI om de bezorgbaarheid van e-mail te verbeteren.

Omdat deze protocollen cruciaal zijn voor het verificatieproces van e-mail en alle bedrijven die e-mail gebruiken ze moeten kennen, richten we ons in deze blog op het SPF-recordformaat in deze blog.

Belangrijkste Conclusies

  1. Het implementeren van SPF biedt een extra vertrouwenslaag voor je e-mails, waardoor de kans kleiner wordt dat ze als spam worden gemarkeerd.
  2. Het combineren van SPF met andere protocollen zoals DKIM en DMARC verbetert je algehele e-mailverificatiestrategie.
  3. Een geldig SPF-record gepubliceerd in DNS helpt e-mailservers bij het verifiëren van de legitimiteit van inkomende berichten van uw domein.
  4. Het regelmatig controleren van de SPF-records van je domein kan helpen bij de bescherming tegen cyberbedreigingen zoals spear phishing en ransomware.
  5. Het begrijpen van de syntaxis en onderdelen van SPF-records is cruciaal voor het succesvol implementeren en onderhouden van e-mailverificatie.

Wat is SPF?

SPF Afkorting voor Sender Policy Framework- een van de meest gebruikte e-mailverificatieprotocollen. Het werkt met een lijst van IP-adressen die geautoriseerd zijn om e-mails te versturen via jouw domeinnaam. De lijst bevat meestal IP-adressen van je werknemers, aandeelhouders en derde partijen die je domein direct gebruiken om e-mails te versturen.

Als je SPF hebt geïmplementeerd, wordt elke e-mail die vanaf een IP-adres buiten de lijst wordt verzonden, door de mailbox van de ontvanger als onbevoegd beschouwd.

Vereenvoudig SPF met PowerDMARC!

Vijftien dagen op proefBoek een demo

Hoe wordt e-mail geverifieerd met SPF?

Je moet een geldig SPF-record (in TXT-indeling ) op je DNS publiceren om dit protocol te implementeren. Wanneer een e-mail wordt verzonden vanaf jouw domein, controleert de mailserver van de ontvanger het IP-adres van de afzender met de SPF-records op jouw DNS. Als het op de lijst staat, is de validatie geslaagd en belandt de e-mail in de inbox. Als het echter niet op de lijst staat, mislukt de verificatie en bereiken de e-mails hun bestemming niet.

Nadat je het hebt geïmplementeerd, moet je regelmatig je domeinactiviteit controleren met een SPF-checker om er zeker van te zijn dat het niet op de radar van een hacker staat. Dit kan spear phishingscamming en ransomware-aanvallen voorkomen waarbij de naam van uw bedrijf wordt gebruikt.

SPF-formaat

SPF record is ingewikkeld en heeft een typische indeling die moeilijk te begrijpen is. Hier bespreken we SPF record syntaxis en SPF record structuur - het hoofd en hart van SPF record formaat.

SPF-bestand: Basis Syntax

Een SPF-record is een DNS-record met alle IP-adressen die e-mails mogen versturen via jouw e-maildomein. Zo ziet de syntaxis van een SPF-record eruit:

v=spf1 ip4=193.0.1.0 ip4=193.0.1.1 include:samplesender.net -all

Laten we eens kijken naar de elementen die hierin zijn opgenomen.

  • v=spf1- Het vertelt de server dat dit een SPF record bevat. Elk SPF-record moet met deze string beginnen.
  • ip4=193.0.1.0 ip4=193.0.1.1- Dit geeft de IP-adressen aan die e-mails mogen verzenden met een specifiek domein.
  • Inclusief:examplesender.net: Het vertelt derden dat ze geautoriseerd zijn om e-mails te versturen. De 'include' tag stuurt de ontvangende servers om het SPF record van het opgenomen domein (hier- voorbeeldenender.net) te verifiëren. Je kunt meerdere domeinen toevoegen in één SPF-record.
  • -all: vertelt ontvangersservers om e-mails te weigeren die afkomstig zijn van onbevoegde IP-adressen, in principe degenen die niet in de lijst staan. 

SPF-bestand: Geavanceerde syntaxis

Volgens het SPF-recordformaat voor syntaxen, begint het altijd met het 'v=' element. Het vertelt de SPF versie; momenteel is er maar één versie, dus alle SPF recordformaten beginnen als volgt.

SPF record syntaxis heeft drie primaire elementen; SPF Mechanism, SPF Qualifiers en SPF Modifiers. Laten we eens kijken wat ze zijn.

Mechanismen

Dit zijn de acht mechanismen

  1. ALL: Dit betekent dat er altijd een overeenkomst is. Je ziet standaardresultaten zoals '-all' voor niet-matchende IP's.
  2. A: Domeinnaam met A of AAAA adresrecord komt overeen omdat deze kunnen worden omgezet naar het adres van de afzender.
  3. IP4: De overeenkomst is geldig als de afzender is gekoppeld aan het opgegeven IPv4-adresbereik.
  4. IP6: De overeenkomst is geldig als de afzender is gekoppeld aan het opgegeven IPv6-adresbereik.
  5. MX: Het e-mailadres van de afzender wordt alleen gevalideerd als hun domeinnaam een MX-record voor resolutie bevat.
  6. PTR: De overeenkomst is geautoriseerd als het PTR-record behoort tot een bepaald domein dat naar het adres van de klant verwijst. Experts raden het gebruik hiervan af, omdat het alle e-mails kan blokkeren die via uw domein worden verzonden.
  7. EXISTS: Het werkt als de opgegeven domeinnaam gevalideerd is. Dit SPF-mechanisme werkt met alle opgeloste adressen. 
  8. INCLUDE: Het verwijst naar ander domeinbeleid. Dus als dat slaagt, slaagt het automatisch. Als het inbegrepen beleid echter faalt, gaat de verwerking door. 

Aanpassingen

Modifiers bepalen het functionele kader van een SPF record. Het bestaat uit naam- of waardeparen, gescheiden door het '=' symbool, die aanvullende informatie aangeven. Je'' ziet ze vaak aan het einde van het SPF record, en alle niet-herkende modifiers worden daarbij genegeerd.

De 'redirect' modifier verwijst naar andere SPF-records die verantwoordelijk zijn voor een efficiënte werking. Experts gebruiken deze wanneer meer dan één domein is gekoppeld aan hetzelfde SPF record. Deze modifier moet gebruikt worden als een enkele entiteit alle domeinen controleert; anders wordt de 'include' modifier gebruikt.

Kwalificatiewedstrijden

Elk mechanisme kan gecombineerd worden met een van de vier kwalificeerders.

+' voor het PASS-resultaat

'?' voor een NEUTRAL resultaat geïnterpreteerd als NONE beleid.

~' voor SOFTFAIL. Gewoonlijk worden berichten die een SOFTFAIL teruggeven geaccepteerd, maar gelabeld. 

'-' voor FAIL, wordt de e-mail geweigerd.

Conclusie

SPF voorkomt dat cyberaanvallen de naam en reputatie van uw merk gebruiken. U kunt voorkomen dat e-mails die worden verzonden door hackers die uw domein gebruiken, hun doelgroep bereiken. Dit werkt door alleen vertrouwde entiteiten aan te melden en toe te staan e-mails te verzenden via uw domein. 

Nadat je de structuur en onderdelen van de SPF record-indeling hebt begrepen, kun je de SPF record generator als je het protocol nog niet geïmplementeerd hebt.

Laatste berichten van Ahona Rudra (Bekijk alle berichten)
Laatst bijgewerkt:
Wat is Data Loss Prevention (DLP): DLP voor beginnersWat is Data Loss Prevention DLPHoe DNS-records voor een domein1 01 bekijkenHoe DNS-records voor een domein bekijken?