Het leren en implementeren van de concepten van SPF is belangrijk voor technologiegedreven bedrijven. Het kan ze beschermen tegen potentiële risico's van phishing, spamming, BEC-aanvallenenz. SPF of Sender Policy Framework werkt met een SPF record dat SPF Syntax bevat.
Deze blog gaat in grote lijnen over de SPF syntax tabel, SPF mechanismen, SPF qualifiers en SPF modifiers - allemaal zaken die nodig zijn om grip te krijgen op het concept van e-mail authenticatie met behulp van technische protocollen.
Belangrijkste opmerkingen
- Inzicht in SPF is essentieel voor technologiegedreven bedrijven om zich te beschermen tegen phishing en e-mail spoofing.
- Een SPF-record is een cruciaal DNS-record dat specificeert welke IP-adressen geautoriseerd zijn om e-mails te versturen namens je domein.
- Het aanmaken en regelmatig controleren van SPF-records is van vitaal belang om je te verdedigen tegen ongeautoriseerd gebruik van je domein in e-mailaanvallen.
- SPF-mechanismen, kwalificeerders en modificeerders zijn belangrijke onderdelen die bepalen hoe ontvangende servers SPF-records interpreteren.
- Het bijhouden van een enkel, correct geformatteerd SPF-record is noodzakelijk om e-mail optimaal te beveiligen en af te leveren.
SPF-syntaxis voor Benginners
Een SPF-record is een DNS-record met een lijst van alle IP-adressen die e-mails mogen versturen met je officiële domeinnaam. Wanneer een server buiten de lijst een e-mail verstuurt met het domein, wordt deze behandeld als onbevoegd. De invoer wordt dan geweigerd door de mailbox van de ontvanger. Dit beschermt de naam van uw bedrijf tegen schadelijke activiteiten van hackers.
Bedrijven moeten SPF-records aanmaken en SPF-records controleren om phishing-aanvallen met hun eigen domeinnamen te voorkomen. Meer dan 255 miljoen phishing-aanvallen zijn geregistreerd in de eerste helft van 2022! Stel je voor hoe cruciaal het is geworden om SPF te implementeren en de SPF-syntaxis te leren kennen.
Een SPF-record bevat instructies voor de server van de ontvanger om e-mails die van jouw domein zijn ontvangen te controleren en te valideren. Het vertelt ook wat er moet gebeuren met de e-mails die de verificatie niet doorstaan. Een specifiek onderdeel vertegenwoordigt alle instructies.
Laten we elk element uitsplitsen aan de hand van een voorbeeld van een SPF-record. Zo ziet een SPF syntax eruit.
v=spf1 ip4:123.1.5.0 ip4:100.5.2.1 include:exampledomain.com ~all
De functie van elk element is als volgt:
- v=spf1 specificeert aan de ontvangende server over een SPF record. Alle SPF-records moeten zo beginnen.
- De volgende sectie van deze SPF syntaxis vertelt de IP-adressen die e-mails mogen versturen via jouw domein. In het bovenstaande voorbeeld hebben we ip4:123.1.5.0 en ip4:100.5.2.1
- De 'include:exampledomain.com' sectie van het bovenstaande voorbeeld specificeert de derde partijen die e-mails mogen versturen met het domein. De tag 'include' geeft ontvangende servers aan om het SPF-record van het opgenomen domein (exampledomain.com) te controleren op IP-adressen die ook zijn toegestaan. Je kunt meerdere domeinen toevoegen aan een SPF-record, maar ze moeten wel geldig zijn.
- Het -all zorgt ervoor dat ontvangende servers e-mails markeren als NOT PASS voor SPF als ze zijn verstuurd van een domein of IP-adres buiten de lijst die is gespecificeerd in het SPF-record.
Syntaxis vereenvoudigen met PowerDMARC!
Geavanceerde SPF-syntaxis
Een SPF syntax tabel wordt gedefinieerd met behulp van een DNS TXT record met een enkele tekststring. Het begint altijd met het 'v=' element dat de gebruikte SPF versie specificeert, en er is op dit moment maar één versie.
Alle SPF-records hebben hun specifieke voorwaarden die fungeren als regels voor welke hosts berichten mogen uitwisselen via het officiële domein en kunnen ook wat extra informatie weergeven.
In geavanceerde SPF syntaxis zullen we de drie componenten uitsplitsen; SPF Mechanisms, SPF Qualifiers en SPF Modifiers.
SPF-mechanismen
- ALLE: Dit komt altijd overeen en is het laatste mechanisme dat aan het einde van een SPF record wordt toegevoegd. Het toont standaard resultaten zoals '-all' voor niet-matchende IP's.
- A: Het geeft een domeinnaam aan met een AAAA of A record als een overeenkomst omdat het het adres van de afzender sorteert. Het huidige domein wordt gebruikt als deze DNS SPF record syntaxis niet gespecificeerd is.
- ip4: Een overeenkomst is positief als een afzender verbonden is met het gegeven ipv4 adresbereik in het SPF record. Je voegt dit toe met een prefix die de lengte van een bereik specificeert. /32 wordt gebruikt als er geen prefix is.
- ip6: Een overeenkomst is positief als de afzender verbonden is met het opgegeven ipv6-adresbereik. Het wordt toegevoegd met de ip4-richtlijn en een prefix die de lengte van het bereik aangeeft. /128 wordt gebruikt als er geen prefix is.
- MX: Het staat afzenders toe met een IP-adres dat hetzelfde is als het adres in het opgegeven MX-record. MX records bestaan uit een IP-adres en een prioriteitswaarde voor elke server die berichten accepteert.
- PTR: Het specificeert het geautoriseerde domein om IP-adressen om te zetten naar subdomeinen of domeinen. Voor alle exact overeenkomende domeinen of subdomeinen wordt een forward lookup uitgevoerd om het IP-adres te krijgen.
Dit mechanisme wordt als tijdrovend en onbetrouwbaar beschouwd omdat er meerdere zoekacties nodig zijn. Het wordt niet aanbevolen volgens de RFC 7208 richtlijnen.
- BESTAAT: Hiermee wordt een DNS A-record gezocht voor het opgegeven domein. Een overeenkomst is succesvol als een geldige A-record wordt gevonden, ongeacht het feitelijke opzoekresultaat.
- INCLUSIEF: Het machtigt e-mailafzenders van derden door hun domeinen te vermelden. Een afzender is alleen geautoriseerd als zijn IP-adres overeenkomt met de IP-adressen of domeinen in het SPF-record van het vermelde domein.
SPF-kwalificeerders
Als een mechanisme geen qualifier heeft en er toch een succesvolle overeenkomst is, is de SPF-authenticatie geslaagd. Elk van de 8 mechanismen is gekoppeld aan een van de vier hieronder genoemde kwalifiers.
Kwalificatie | Resultaat | Actie ondernomen door ontvangende server |
+ | Pas | E-mail slaagt met succes voor SPF-verificatie en de server kan e-mails uitwisselen. E-mails worden als echt gemarkeerd. Dit is de standaardactie die wordt toegepast als er geen kwalificatie is. |
- | Storing | De authenticatie van de e-mail mislukt omdat de verzendende server niet op de lijst staat. De e-mail kan worden geweigerd door de mailbox van de ontvanger. |
~ | SoftFail | De mailbox van de ontvanger accepteert het bericht, maar het wordt gemarkeerd als verdacht en belandt in de spammap. |
? | Neutraal | E-mailbericht komt niet door de verificatie, maar ook niet erdoor. De ondernomen actie is niet gespecificeerd en de e-mail wordt geaccepteerd door de ontvanger. |
SPF-aanpassers
SPD modifiers zijn verantwoordelijk voor het bepalen van de werkparameters van een SPF syntaxis. Het bevat naam- of waardeparen gescheiden door het '=' symbool, die extra details en uitzonderingen op regels delen, indien aanwezig.
Modifiers verschijnen maar één keer en alleen in de laatste sectie van een SPF-record. Alle niet-geïdentificeerde modifiers worden genegeerd in het proces. De 'redirect' modifier wordt gebruikt om andere SPF records te sturen voor authenticatie. Het wordt gebruikt wanneer je wilt dat meer dan één domein dezelfde SPF record inhoud hebben.
Het 'include' mechanisme wordt gebruikt voor domeinen van derden die namens u of onder uw bedrijfsnaam e-mails mogen versturen. De 'exp' modifier specificeert waarom de ontvangende server een Fail SPF Qualifier terugstuurde wanneer een mechanisme overeenkomt.
Richtlijnen voor SPF-records
Houd het volgende in gedachten bij het maken van een SPF record met behulp van de SPF syntax tabel.
- Je kunt niet meerdere SPF-records uitlijnen voor één domein.
- Een SPF-record mag geen hoofdletters bevatten, anders krijg je fouten te zien.
- Er mogen niet meer dan 255 tekens zijn. Elke tekenreeks die dit aantal overschrijdt zal resulteren in een mislukte authenticatie.
- Verwijder als er SPF-mechanismen zijn die naar hetzelfde domein verwijzen.
- Verwijder alle ip4 en ip6 SPF-mechanismen die niet in gebruik zijn. Controleer ook of u adresbereiken kunt samenvoegen.
- Je kunt subdomeinen maken om SPF-informatie op te slaan. Dit kun je doen met '_spf.domain.com'. Dit wordt aanbevolen voor grote IT-bedrijven, omdat zij meerdere IP-adressen hebben om toe te voegen aan één SPF-record.
- SPF Neutraal Mechanisme uitgelegd: Wanneer en hoe te gebruiken - 23 juni 2025
- DKIM domein uitlijning mislukt - RFC 5322 oplossingen - 5 juni 2025
- DMARCbis uitgelegd - wat verandert er en hoe bereid je je voor? - 19 mei 2025