U kunt e-mails versturen zonder SPF te gebruiken of op de hoogte te zijn van SPF-formaat, maar dat zal niet veilig zijn. SPF voegt een extra vertrouwensindicatie toe aan de mailboxproviders van de ontvangers, en alle authentieke e-mails die via uw domein worden verzonden komen in de inbox van de box terecht in plaats van als spam te worden gemarkeerd.
SPF is geen fool-proof methode; daarom moet u het combineren met andere e-mailverificatie protocollen zoals DKIM, DMARCen BIMI om de bezorgbaarheid van e-mail te verbeteren.
Omdat deze protocollen cruciaal zijn voor het authenticatieproces van e-mail en alle bedrijven die met e-mail werken ze moeten kennen, richten we ons in deze blog op het SPF-recordformaat in deze blog.
Wat is SPF?
SPF staat voor Sender Policy Framework - een van de meest gebruikte e-mailverificatieprotocollen. Het werkt met een lijst van IP-adressen die gemachtigd zijn om e-mails te versturen via uw domeinnaam. De lijst bevat doorgaans IP-adressen van uw werknemers, aandeelhouders en derden die uw domein rechtstreeks gebruiken om e-mails te versturen.
Als u SPF hebt geïmplementeerd, wordt elke e-mail die wordt verzonden vanaf een IP-adres buiten de lijst door de mailbox van de ontvanger als onbevoegd beschouwd.
Hoe wordt e-mail geverifieerd met SPF?
U moet een geldig SPF-record (in TXT-formaat ) op uw DNS publiceren om dit protocol te implementeren. Wanneer een e-mail vanaf uw domein wordt verzonden, controleert de mailserver van de ontvanger het IP-adres van de afzender met de SPF-records op uw DNS. Als het op de lijst staat, is de validatie geslaagd en belandt de e-mail in de inbox. Staat het echter niet op de lijst, dan mislukt de verificatie en bereiken de e-mails hun bestemming niet.
Na implementatie moet u regelmatig uw domeinactiviteit controleren met een SPF checker om ervoor te zorgen dat het niet op de radar van een hacker staat. Dit kan voorkomen dat spear phishing, scamming en ransomware-aanvallen die de naam van uw bedrijf gebruiken.
SPF-formaat
SPF record is ingewikkeld en heeft een typisch formaat dat moeilijk te begrijpen is. Hier bespreken we SPF record syntax en SPF record structuur - het hoofd en hart van SPF record formaat..
SPF Record: Basissyntaxis
Een SPF-record is een DNS-record waarin alle IP-adressen zijn opgenomen die e-mails mogen versturen via uw e-maildomein. Zo ziet de syntaxis van een SPF record eruit:
v=spf1 ip4=193.0.1.0 ip4=193.0.1.1 include:samplesender.net -all
Laten we eens kijken welke elementen hierin zijn opgenomen.
- v=spf1- Het vertelt de server dat dit een SPF record bevat. Elk SPF-record moet met deze string beginnen.
- ip4=193.0.1.0 ip4=193.0.1.1- Het geeft de IP-adressen aan die e-mails mogen versturen met een specifiek domein.
- Include:examplesender.net: Het vertelt derden die bevoegd zijn om e-mails te versturen. De 'include' tag stuurt de ontvangende servers om het SPF record van het opgenomen domein (hier- voorbeeldenender.net) te verifiëren. Je kunt verschillende domeinen toevoegen in een SPF record.
- -all: vertelt de ontvangersservers om e-mails te weigeren die afkomstig zijn van niet-geautoriseerde IP-adressen, in principe degenen die niet in de lijst zijn opgenomen.
SPF Record: Geavanceerde syntaxis
Volgens het SPF-recordformaat voor syntaxen, begint het altijd met het 'v=' element. Het vertelt de SPF versie; momenteel is er maar één versie, dus alle SPF record formaten beginnen zo.
SPF record syntax heeft drie primaire elementen; SPF Mechanism, SPF Qualifiers, en SPF Modifiers. Laten we eens kijken wat dat zijn.
Mechanismen
Hier zijn de acht mechanismen
- ALL: Dit betekent dat er altijd een overeenkomst is. U ziet standaardresultaten zoals '-all' voor niet-matchende IP's.
- A: Domeinnaam met A of AAAA adresrecord komt overeen omdat deze kunnen worden omgezet naar het adres van de afzender.
- IP4: De overeenkomst is geldig wanneer de afzender gekoppeld is aan het opgegeven IPv4-adresbereik.
- IP6: De overeenkomst is geldig wanneer de afzender gekoppeld is aan het opgegeven IPv6-adresbereik.
- MX: Het e-mailadres van de afzender wordt alleen gevalideerd als zijn domeinnaam een MX-record voor resolutie bevat.
- PTR: De overeenkomst is toegestaan als het PTR record behoort tot een bepaald domein dat naar het adres van de klant verwijst. Experts raden het gebruik ervan af, omdat het alle e-mails kan blokkeren die via uw domein worden verzonden.
- EXISTS: Het werkt als de gegeven domeinnaam gevalideerd is. Dit SPF-mechanisme werkt met alle opgeloste adressen.
- INCLUDE: Het verwijst naar ander domeinbeleid. Dus als dat slaagt, slaagt het automatisch. Als het opgenomen beleid echter faalt, gaat de verwerking door.
Modifiers
Modifiers bepalen het functionele kader van een SPF-record. Ze bestaan uit naam- of waardeparen, gescheiden door het '='-symbool, die wijzen op extra informatie. U'' ziet ze vaak aan het einde van het SPF-record, en alle niet-herkende modifiers worden daarbij genegeerd.
De "redirect" modifier verwijst naar andere SPF-records die verantwoordelijk zijn voor een efficiënte werking. Experts gebruiken deze wanneer meer dan één domein aan hetzelfde SPF-record is gekoppeld. Deze modifier moet worden gebruikt indien één enkele entiteit alle domeinen controleert; anders wordt de "include"-modifier gebruikt.
Kwalificatie
Elk mechanisme kan worden gecombineerd met een van de vier kwalificeerders.
+' voor het PASS resultaat
'?' voor een NEUTRAAL resultaat geïnterpreteerd als GEEN beleid.
~' voor SOFTFAIL. Gewoonlijk worden berichten die een SOFTFAIL terugsturen, aanvaard maar gelabeld.
'-' voor FAIL, wordt de e-mail geweigerd.
Conclusie
SPF voorkomt dat cyberaanvallen de naam en reputatie van uw merk gebruiken. U kunt voorkomen dat e-mails van hackers die uw domein gebruiken hun doelgroep bereiken. Dit werkt door alleen vertrouwde entiteiten aan te melden en toe te staan e-mails te versturen via uw domein.
Nadat u de structuur en de onderdelen van het SPF-recordformaat hebt begrepen, kunt u het programma SPF record generator als je het protocol nog niet hebt geïmplementeerd. 
