Berichten

elke 39 seconden, vindt er een cyberaanval plaats over de hele wereldwaarvan de meeste via e-mail kunnen worden gepleegd. SPF helpt uw afzenders te autoriseren, zodat uw domein niet kan worden gemanipuleerd door een onbevoegde derde partij e-mail afzender. Om SPF in te stellen in DNS, moet je eerst weten wat een SPF record is in DNS.

SPF of Sender Policy Framework is een e-mail authenticatieprotocol dat alleen specifieke IP's toestaat e-mails te versturen met gebruikmaking van een domeinnaam. Elk IP-adres dat buiten de lijst valt, zal de mailbox van de ontvanger niet bereiken omdat dit leidt tot een SPF-fout.

Het beschermt uw e-maildomeinen tegen hackers om phishing, spamming en e-mail spoofing aanvallen te voorkomen. Email authenticatie technieken zoals SPF zijn ideaal om uw email domein beschermd te houden. De structuur bestaat uit 3 hoofdcomponenten; mechanisme, modifiers, en qualifiers. 

Deze blog zal bespreken wat SPF record in DNS is en meer.

Wat is een SPF record in DNS?

SPF is de afkorting van Sender Policy Framework, een DNS TXT record met een lijst van servers die emails van een bepaald domein mogen versturen. Het werkt wanneer domeineigenaren willekeurige teksten bijwerken in DNS of Domain Name System om de respectievelijke domeinnamen op te sporen en te reguleren. 

Om het DNS SPF record te begrijpen , moeten we snel zien wat DNS is.

Het is een systeem dat de hostnaam van een computer vertaalt in een IP-adres op het internet. Alle op het internet aangesloten apparaten hebben een IP-adres, dat andere apparaten helpt om ze te lokaliseren. 

Laten we nu teruggaan naar de hoofdvraag, 'wat is een SPF record? Stel, als uw bedrijf verschillende verzendende IP's gebruikt, kunt u met PowerDMARC's gratis SPF record generator om een inventaris van geautoriseerde IP's te maken in de vorm van een TXT document genaamd SPF record om echte IP's te authenticeren die uw domeinnaam mogen gebruiken.

Hoe werken SPF Records?

Tot nu toe hebben we besproken wat SPF record in DNS is, nu is het tijd om te begrijpen hoe het werkt. Het verificatieproces begint nadat u een SPF record voor uw domein hebt aangemaakt. Het retourpad e-mailadres wordt kruiselings gecontroleerd aan de kant van de ontvanger. Een retourpad e-mailadres wordt ingesteld in de e-mail header, die bepaalt hoe om te gaan met gebouncede e-mails. Het controleert of het verzendende e-mailadres al dan niet is opgenomen in de SPF-records.

Als de goedkeuring positief is, worden de e-mails naar "inbox" gestuurd; anders kan dit leiden tot SPF mislukking.

SPF Record Structuur en Onderdelen

DNS SPF-record maakt uw domein geloofwaardig, betrouwbaar, en houdt bijgevolg het imago van uw bedrijf hoog. Er is een goede SPF record structuur die helpt bij het gemakkelijk onderhouden ervan. SPF records hebben een TXT record type, wat een enkele string van tekst is.

Een DNS SPF record begint met het 'v=' element, dat de gebruikte versie aangeeft. SPF1' is de meest voorkomende versie die door mail exchanges wordt begrepen. De volgende termen bepalen mechanismen om na te gaan of een domein al dan niet e-mails kan verzenden.

Mechanismen

Hier zijn de acht mechanismen

  1. ALL: Het komt altijd overeen. Dit toont standaard resultaten zoals '-all' voor niet overeenkomende IP's.
  2. A: Domeinnaam met A- of AAAA-adresrecord komt overeen met het adres van de afzender.
  3. IP4: De overeenkomst is succesvol wanneer de afzender gekoppeld is aan het opgegeven IPv4-adresbereik.
  4. IP6: De overeenkomst is geslaagd als de afzender tot het opgegeven IPv6-adresbereik behoort.
  5. MX: Het e-mailadres van de afzender is geautoriseerd wanneer zijn domeinnaam bestaat uit een MX-record voor resolutie.
  6. PTR: De match wordt gevalideerd wanneer het PTR record gelinkt is aan een bepaald domein dat resolved naar het adres van de klant. Dit wordt niet aangeraden omdat het alle e-mails kan blokkeren die via uw domein worden verzonden.
  7. EXISTS: Het werkt als de gegeven domeinnaam gevalideerd is. Dit SPF-mechanisme werkt met alle opgeloste adressen.
  8. INCLUDE: Het verwijst naar andere domein policies. Dus, als dat slaagt, slaagt het automatisch. Maar als het ingesloten beleid faalt, gaat de verwerking door.

Modifiers

Modifiers bepalen de werkparameters van het DNS SPF record. Ze bestaan uit naam of waarde paren gescheiden door het '=' symbool, die bijkomende informatie aanduiden. Ze worden verschillende keren getoetst aan het einde van het SPF record, en alle niet-herkende modifiers worden genegeerd in het proces.

De 'redirect' modifier verwijst naar andere SPF records die verantwoordelijk zijn voor een efficiënte werking. Experts gebruiken deze wanneer meer dan één domein gekoppeld is aan hetzelfde SPF record. Deze modifier moet gebruikt worden als een enkele entiteit alle domeinen controleert, anders wordt de 'include' modifier gebruikt.

Kwalificatie

Elk mechanisme kan worden gecombineerd met een van de vier kwalificeerders.

'+' voor PASS resultaat

'?' voor een NEUTRAAL resultaat geïnterpreteerd als GEEN beleid.

~' voor SOFTFAIL. Gewoonlijk worden berichten die een SOFTFAIL terugsturen, aanvaard maar gelabeld.

'-' voor FAIL, wordt de e-mail geweigerd.

Waarom worden SPF Records gebruikt?

De volgende zijn de belangrijkste redenen om te weten wat SPF record in DNS is en hoe het gebruikt wordt.

Cyberaanvallen afwenden

Kwaadwillenden sturen ongeauthenticeerde en frauduleuze e-mails met uw domeinnaam om het vertrouwen van uw klanten, prospects, belanghebbenden, enz. te winnen. Ze maken zakelijke e-mailadressen aan met uw domeinnaam voor pogingen tot phishing, spamming, e-mail spoofing en andere cyberaanvallen. 

Als u echter het configuratieproces voor het protocol begrijpt en er een voor uw bedrijf maakt, zal het voor bedreigingsactoren relatief moeilijk en tijdrovend zijn om uw domein uit te buiten. Dit zal uiteindelijk de kans verkleinen dat u onder hun radar komt.

Verbetering van de aflevering van e-mail

Domeinen zonder DNS SPF records hebben een grote kans dat hun e-mails worden teruggekaatst of als 'spam' worden bestempeld. Als dit aanhoudt, zal de mogelijkheid om de mailbox te bereiken worden geschaad. Dit betekent dat de meeste e-mails die met uw domeinnaam worden verzonden, de ontvanger niet zullen bereiken, met alle gevolgen van dien voor uw bedrijf.

DMARC Naleving

DMARC staat voor Domain-based Message Authentication, Reporting, and Conformance. Het is een andere e-mailverificatietechniek die spamming, phishing en e-mail spoofing voorkomt.

Het zorgt ervoor dat alleen toegestane entiteiten e-mails kunnen versturen via een specifiek domein. Het is gebaseerd op SPF en DKIM (een ander e-mail authenticatiebeleid) verificatie en stuurt de mailbox van een ontvanger hoe elke ontvangen e-mail van uw domein moet worden behandeld. Op basis hiervan worden ze gemarkeerd als 'spam', 'geweigerd' of 'afgeleverd als normaal'. 

Bovendien kunnen domeinbeheerders rapporten controleren die hun e-mailactiviteit registreren en hun DMARC-beleid dienovereenkomstig aanpassen. PowerDMARC kan het DMARC-beleid voor uw bedrijf probleemloos maken door het regelmatig te controleren en aan te passen aan de vereisten. 

Laatste gedachten

SPF-beveiligde e-maildomeinen schrikken slechte actoren af, omdat het extra tijd en moeite kost om ze te compromitteren om kwaadaardige activiteiten te ondernemen. SPF synchroniseert met DNS om ervoor te zorgen dat alleen geautoriseerde entiteiten e-mails van een bepaald domein kunnen verzenden. 

Anders kunnen cyberactoren uw merknaam uitbuiten door frauduleuze en spammails te versturen, waarin ze ontvangers vragen op een schadelijke link te klikken, een corrupt bestand te downloaden of gevoelige gegevens te delen. In veel gevallen vragen ze zelfs om een directe geldovermaking uit naam van uw bedrijf. 

Zodra u klaar bent met uw DNS record voor SPF, vergeet dan niet om het te controleren met onze gratis SPF checker tool om de geldigheid te testen!

Een veel voorkomend probleem waar SPF gebruikers dagelijks mee te maken hebben is het risico van het genereren van te veel DNS lookups waardoor de SPF hard limit gemakkelijk overschreden wordt. Dit geeft een SPF PermError resultaat wanneer DMARC monitoring is ingeschakeld en veroorzaakt email deliverability problemen. Met industrie-experts die met oplossingen komen zoals SPF flattening services om dit probleem te verminderen, maakt PowerSPF zijn claims waar en overtreft het de verwachtingen. Lees verder om te leren hoe!

Te veel DNS Lookups: Waarom gebeurt dit?

Het eerste wat u moet begrijpen is waarom u uiteindelijk te veel DNS lookups genereert. Dit komt omdat, ongeacht welke email exchanger oplossing u gebruikt, uw service provider meer mechanismen toevoegt aan uw record wat resulteert in meer lookups.

Bijvoorbeeld, als je Google's email exchanger gebruikt, of Gmail, dan genereert een SPF record zoals v=spf1 include:[email protected] -all genereert in feite een totaal van 4 DNS lookups. Geneste inclusies initiëren ook meer lookups en als u verschillende derde partijen gebruikt om emails te versturen met uw domein, kunt u gemakkelijk de 10 DNS lookup limiet overschrijden.

Is SPF afvlakken de oplossing? Nee!

Het antwoord is nee. SPF handmatig flatten kan u helpen onder de SPF 10 lookup limiet te blijven, maar het heeft zijn eigen set van beperkingen en uitdagingen. Als u uw SPF handmatig flatten, vervangt u gewoon de include statements in uw SPF record door hun overeenkomstige IP adressen om de noodzaak voor lookups te elimineren. Dit zorgt ervoor dat u in de eerste plaats niet te veel DNS lookups genereert, waardoor u onder de 10 lookup SPF limiet blijft en permerror vermijdt. Maar problemen met manuele SPF flattening oplossingen zijn:

  • De lengte van het SPF-record kan te lang zijn (meer dan 255 tekens)
  • Uw e-mail service provider kan IP adressen wijzigen of toevoegen zonder u daarvan op de hoogte te stellen
  • Er is geen dashboard om de e-mailstroom te controleren, uw domeinen en mechanismen te wijzigen of bij te werken, en activiteiten te volgen
  • U moet voortdurend wijzigingen aanbrengen in uw DNS om uw SPF-record bij te werken
  • De bezorgbaarheid van uw e-mail kan worden beïnvloed door de frequente IP-wijzigingen

Wat zijn de gevolgen voor u? Nou, als je SPF record niet is bijgewerkt op de nieuwe IP adressen die je email service providers gebruiken, zullen je emails af en toe, wanneer deze IP adressen worden gebruikt, onvermijdelijk SPF falen aan de kant van de ontvanger.

Dynamische SPF afvlakking om te veel DNS Lookups op te lossen

Een slimmere oplossing om vaarwel te zeggen tegen de DNS lookups fout is PowerSPF, uw automatische SPF record flattener. PowerSPF is uw real-time SPF flattening oplossing die u helpt:

  • Eenvoudig SPF configureren voor uw domein met slechts een paar klikken
  • Met één muisklik SPF-records afvlakken met één enkele include-instructie voor automatisch beheer van SPF-records
  • Blijf altijd onder de 10 DNS lookup limiet
  • Automatische update van netblock en constante scan op gewijzigde IP adressen om uw SPF record up-to-date te houden
  • U beschikt over een gebruiksvriendelijk dashboard waarin u eenvoudig wijzigingen in uw beleid kunt bijwerken, domeinen en mechanismen kunt toevoegen en de e-mailstroom kunt bewaken.

Waarom vertrouwen op SPF compressie tools die tijdelijke resultaten kunnen leveren met onderliggende beperkingen? Optimaliseer uw SPF Record en verminder de SPF harde limiet met Automatic SPF vandaag nog! Nu aanmelden voor PowerSPF?

Redenen om SPF afvlakking te vermijden

Sender Policy Framework, of SPF is een alom geprezen e-mail authenticatie protocol dat uw berichten valideert door ze te vergelijken met alle geautoriseerde IP adressen die voor uw domein in uw SPF record zijn geregistreerd. Om emails te valideren, specificeert SPF aan de ontvangende mail server om DNS queries uit te voeren om te controleren op geautoriseerde IP's, wat resulteert in DNS lookups.

Uw SPF record bestaat als een DNS TXT record dat gevormd wordt uit een assemblage van verschillende mechanismen. De meeste van deze mechanismen (zoals include, a, mx, redirect, exists, ptr) genereren DNS lookups. Het maximum aantal DNS-lookups voor SPF-authenticatie is echter beperkt tot 10. Als u verschillende derde partijen gebruikt om emails te versturen met uw domein, kunt u gemakkelijk de harde limiet van SPF overschrijden.

U vraagt zich misschien af wat er gebeurt als u deze limiet overschrijdt? Het overschrijden van de 10 DNS lookup limiet zal leiden tot SPF mislukking en zelfs legitieme berichten verzonden vanaf uw domein ongeldig maken. In zulke gevallen stuurt de ontvangende mail server een SPF PermError rapport terug naar uw domein als u DMARC monitoring heeft ingeschakeld. Dit brengt ons bij het primaire onderwerp van discussie voor deze blog: SPF flattening.

Wat is SPF afvlakking?

SPF record flattening is één van de populaire methodes die gebruikt wordt door industrie experten om uw SPF record te optimaliseren en te vermijden dat de SPF harde limiet overschreden wordt. De procedure voor SPF flattening is vrij eenvoudig. Het flatten van uw SPF record is het proces van het vervangen van alle include mechanismen door hun respectievelijke IP adressen om de noodzaak voor het uitvoeren van DNS lookups te elimineren.

Bijvoorbeeld, als uw SPF record er oorspronkelijk zo uitzag:

v=spf1 include:spf.domain.com -all

Een afgevlakt SPF record ziet er ongeveer zo uit:

v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -all

Dit afgevlakte record genereert slechts één DNS lookup, in plaats van meerdere lookups uit te voeren. Het verminderen van het aantal DNS-queries dat door de ontvangende server wordt uitgevoerd tijdens e-mailauthenticatie helpt om onder de limiet van 10 DNS-lookups te blijven, maar heeft zo zijn eigen problemen.

Het probleem met SPF afvlakking

Afgezien van het feit dat uw handmatig afgevlakte SPF record te lang kan worden om te publiceren op de DNS van uw domein (het overschrijden van de 255 karakter limiet), moet u er rekening mee houden dat uw email service provider zijn IP adressen kan wijzigen of toevoegen zonder u als gebruiker daarvan op de hoogte te stellen. Wanneer uw provider af en toe wijzigingen aanbrengt aan hun infrastructuur, worden deze wijzigingen niet weerspiegeld in uw SPF record. Wanneer deze gewijzigde of nieuwe IP adressen dus door uw mail server worden gebruikt, zal de e-mail SPF aan de kant van de ontvanger falen.

PowerSPF: Uw dynamische SPF Record Generator

Het uiteindelijke doel van PowerDMARC was om met een oplossing te komen die kan voorkomen dat domeineigenaren tegen de 10 DNS lookup limiet aanlopen, alsmede het optimaliseren van uw SPF record om altijd op de hoogte te blijven van de laatste IP adressen die uw email service providers gebruiken. PowerSPF is uw geautomatiseerde SPF flattening oplossing die uw SPF record doorzoekt om een enkele include verklaring te genereren. PowerSPF helpt u:

  • Gemakkelijk IP's en mechanismen toevoegen of verwijderen
  • Automatische update van netblokkades om ervoor te zorgen dat uw geautoriseerde IP's altijd up-to-date zijn
  • Blijf met gemak onder de 10 DNS lookup limiet
  • Verkrijg een geoptimaliseerd SPF-record met een enkele klik
  • Permerror' permanent verslaan
  • Foutloze SPF implementeren

Meld u vandaag nog aan bij PowerDMARC voor een betere bezorgbaarheid en authenticatie van e-mail, terwijl u onder de limiet van 10 DNS SPF-lookups blijft.

In dit artikel zullen we onderzoeken hoe u eenvoudig SPF record kunt optimaliseren voor uw domein. Voor ondernemingen en kleine bedrijven die in het bezit zijn van een email domein voor het verzenden en ontvangen van berichten onder hun klanten, partners en werknemers, is het zeer waarschijnlijk dat er standaard een SPF record bestaat, welke is ingesteld door uw inbox service provider. Het maakt niet uit of u een reeds bestaand SPF record heeft of dat u een nieuwe moet aanmaken, u moet uw SPF record correct optimaliseren voor uw domein om er zeker van te zijn dat het geen e-mail afleveringsproblemen veroorzaakt.

Sommige e-mailontvangers vereisen SPF, wat betekent dat als u geen SPF-record voor uw domein hebt gepubliceerd, uw e-mails als spam kunnen worden gemarkeerd in de inbox van uw ontvanger. Bovendien helpt SPF bij het opsporen van niet-geautoriseerde bronnen die e-mails verzenden uit naam van uw domein.

Laten we eerst eens begrijpen wat SPF is en waarom je het nodig hebt.

Sender Policy Framework (SPF)

SPF is in wezen een standaard e-mailverificatieprotocol dat de IP-adressen specificeert die gemachtigd zijn om e-mails van uw domein te verzenden. Het werkt door afzenderadressen te vergelijken met de lijst van geautoriseerde verzendende hosts en IP-adressen voor een specifiek domein die is gepubliceerd in de DNS voor dat domein.

SPF is samen met DMARC (Domain-based Message Authentication, Reporting and Conformance) ontworpen om vervalste afzenderadressen tijdens de aflevering van e-mail op te sporen en spoofing-aanvallen, phishing en oplichting via e-mail te voorkomen.

Het is belangrijk te weten dat hoewel de standaard SPF die door uw hostingprovider in uw domein is geïntegreerd, ervoor zorgt dat e-mails die vanaf uw domein worden verzonden, worden geverifieerd aan de hand van SPF als u meerdere externe leveranciers hebt om e-mails vanaf uw domein te verzenden, dit reeds bestaande SPF-record moet worden aangepast en gewijzigd om aan uw vereisten te voldoen. Hoe kunt u dat doen? Laten we eens kijken naar twee van de meest voorkomende manieren:

  • Een gloednieuw SPF record aanmaken
  • Optimaliseren van een bestaand SPF record

Instructies over hoe SPF record te optimaliseren

Maak een gloednieuw SPF-record

Het aanmaken van een SPF record is simpelweg het publiceren van een TXT record in de DNS van uw domein om SPF voor uw domein te configureren. Dit is een verplichte stap die komt voordat u begint met hoe u SPF record te optimaliseren. Als u net begint met authenticatie en onzeker bent over de syntax, kunt u onze gratis online SPF record generator gebruiken om een SPF record voor uw domein aan te maken.

Een SPF record entry met een correcte syntax ziet er ongeveer zo uit:

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Specificeert de versie van SPF die wordt gebruikt
ip4/ip6Dit mechanisme specificeert de geldige IP adressen die geauthoriseerd zijn om emails te versturen vanaf uw domein.
omvattenDit mechanisme vertelt de ontvangende servers om de waarden voor het SPF record van het gespecificeerde domein op te nemen.
-alleDit mechanisme specificeert dat emails die niet SPF compliant zijn, geweigerd worden. Dit is de aanbevolen tag die je kunt gebruiken bij het publiceren van je SPF record. Het kan echter vervangen worden door ~ voor SPF Soft Fail (niet-conforme emails worden gemarkeerd als soft fail maar worden nog steeds geaccepteerd) of + wat aangeeft dat elke server toegestaan wordt emails te versturen in naam van je domein, wat sterk afgeraden wordt.

Als u SPF al heeft geconfigureerd voor uw domein, kunt u ook onze gratis SPF record checker gebruiken om uw SPF record op te zoeken, te valideren en problemen op te sporen.

Veel voorkomende uitdagingen en fouten bij het configureren van SPF

1) 10 DNS-opzoeklimiet 

De meest voorkomende uitdaging waar domeineigenaren tegenaan lopen bij het configureren en gebruiken van SPF authenticatie protocol voor hun domein, is dat SPF een limiet heeft op het aantal DNS lookups, dat niet hoger mag zijn dan 10. Voor domeinen die afhankelijk zijn van meerdere leveranciers van derde partijen, wordt de limiet van 10 DNS lookups gemakkelijk overschreden, waardoor SPF wordt verbroken en een SPF PermError wordt geretourneerd. De ontvangende server maakt in zo'n geval automatisch je SPF record ongeldig en blokkeert het.

Mechanismen die DNS-lookups initiëren: MX, A, INCLUDE, REDIRECT modifier

2) SPF Leegte Opzoeken 

Ongeldige lookups verwijzen naar DNS lookups die ofwel een NOERROR antwoord of een NXDOMAIN antwoord (ongeldig antwoord) teruggeven. Bij het implementeren van SPF is het aanbevolen ervoor te zorgen dat DNS lookups in de eerste plaats geen ongeldig antwoord teruggeven.

3) SPF recursieve lus

Deze fout geeft aan dat het SPF-record voor het opgegeven domein recursieve problemen bevat met een of meer van de INCLUDE-mechanismen. Dit gebeurt wanneer een van de domeinen die in de INCLUDE tag zijn gespecificeerd een domein bevat waarvan het SPF record de INCLUDE tag van het oorspronkelijke domein bevat. Dit leidt tot een oneindige lus waardoor e-mailservers voortdurend DNS-lookups moeten uitvoeren voor de SPF-records. Dit leidt uiteindelijk tot het overschrijden van de 10 DNS lookup limiet, wat resulteert in emails die SPF niet halen.

4) Syntaxisfouten 

Een SPF record kan bestaan in de DNS van uw domein, maar het is van geen nut als het syntaxfouten bevat. Als uw SPF TXT record onnodige spaties bevat bij het typen van de domeinnaam of mechanisme naam, zal de string die voorafgaat aan de extra spatie volledig genegeerd worden door de ontvangende server bij het uitvoeren van een lookup, waardoor het SPF record ongeldig wordt.

5) Meerdere SPF records voor hetzelfde domein

Een enkel domein kan slechts één SPF TXT entry in de DNS hebben. Als uw domein meer dan één SPF record bevat, maakt de ontvangende server ze allemaal ongeldig, waardoor e-mails SPF niet halen.

6) Lengte van het SPF-record 

De maximumlengte van een SPF-record in de DNS is beperkt tot 255 tekens. Deze limiet kan echter worden overschreden en een TXT-record voor SPF kan meerdere strings bevatten die aan elkaar zijn gekoppeld, maar niet langer dan 512 tekens, om in het DNS-antwoord op een zoekopdracht te passen (volgens RFC 4408). Hoewel dit later werd herzien, zouden ontvangers die op oudere DNS-versies vertrouwen, niet in staat zijn e-mails te valideren die afkomstig zijn van domeinen die een lang SPF-record bevatten.

Uw SPF-record optimaliseren

Om uw SPF record snel aan te passen kunt u de volgende SPF best practices gebruiken:

  • Probeer uw e-mailbronnen in aflopende volgorde van belangrijkheid van links naar rechts in uw SPF-record te typen
  • Verwijder verouderde e-mailbronnen uit uw DNS
  • Gebruik IP4/IP6-mechanismen in plaats van A en MX
  • Hou het aantal INCLUDE mechanismen zo laag mogelijk en vermijd geneste includes
  • Publiceer niet meer dan één SPF record voor hetzelfde domein in uw DNS
  • Zorg ervoor dat uw SPF-record geen overbodige spaties of syntaxisfouten bevat

Opmerking: SPF flattening wordt niet aangeraden omdat het niet eenmalig is. Als je email service provider zijn infrastructuur wijzigt, zul je elke keer je SPF records overeenkomstig moeten wijzigen.

Uw SPF-record optimaliseren gemakkelijk gemaakt met PowerSPF

U kunt doorgaan en proberen om al die bovengenoemde wijzigingen om uw SPF record te optimaliseren handmatig uit te voeren, of u kunt het gedoe vergeten en vertrouwen op onze dynamische PowerSPF om dat allemaal automatisch voor u te doen! PowerSPF helpt u om uw SPF record met een enkele klik te optimaliseren, waarin u kunt:

  • Eenvoudig verzendende bronnen toevoegen of verwijderen
  • Eenvoudig records bijwerken zonder uw DNS handmatig te moeten wijzigen
  • Krijg een geoptimaliseerd auto SPF record met één klik op de knop
  • Blijf altijd onder de 10 DNS lookup limiet
  • Succesvol verzachten PermError
  • Vergeet syntaxisfouten in SPF-records en configuratieproblemen
  • Wij nemen u de last van het oplossen van SPF-beperkingen uit handen

Meld u vandaag nog aan bij PowerDMARC en zeg voor altijd vaarwel tegen de SPF beperkingen!  

Als DMARC dienstverlener, krijgen we deze vraag vaak gesteld: "Als DMARC gewoon SPF en DKIM authenticatie gebruikt, waarom zouden we ons dan druk maken om DMARC? Is dat niet gewoon overbodig?"

Aan de oppervlakte lijkt het misschien weinig verschil te maken, maar de realiteit is heel anders. DMARC is niet zomaar een combinatie van SPF en DKIM technologieën, het is een geheel nieuw protocol op zich. Het heeft verschillende kenmerken die het tot een van de meest geavanceerde e-mail authenticatie standaarden ter wereld maken, en een absolute noodzaak voor bedrijven.

Maar wacht eens even. We hebben nog geen antwoord gegeven op de vraag waarom je DMARC nodig hebt. Wat heeft het te bieden dat SPF en DKIM niet hebben? Nou, dat is een nogal lang antwoord; te lang voor slechts één blog post. Dus laten we het opsplitsen en het eerst over SPF hebben. Voor het geval u er niet mee bekend bent, hier een korte introductie.

Wat is SPF?

SPF, of Sender Policy Framework, is een e-mail authenticatieprotocol dat de e-mailontvanger beschermt tegen gespoofde e-mails. Het is in wezen een lijst van alle IP-adressen die toestemming hebben om e-mail te verzenden via uw kanalen (de eigenaar van het domein). Wanneer de ontvangende server een bericht van uw domein ziet, controleert hij uw SPF-record dat in uw DNS is gepubliceerd. Als het IP-adres van de afzender in deze 'lijst' staat, wordt de e-mail afgeleverd. Zo niet, dan weigert de server de e-mail.

Zoals u ziet, houdt SPF heel goed een heleboel ongewenste e-mails buiten die uw apparaat zouden kunnen beschadigen of de beveiligingssystemen van uw organisatie in gevaar zouden kunnen brengen. Maar SPF is lang niet zo goed als sommige mensen misschien denken. Dat komt omdat het een aantal zeer grote nadelen heeft. Laten we een paar van deze problemen eens bespreken.

Beperkingen van SPF

SPF records zijn niet van toepassing op het Van adres

E-mails hebben meerdere adressen om hun afzender te identificeren: het Van-adres dat u normaal ziet, en het Return Path-adres dat verborgen is en één of twee klikken vereist om het te zien. Als SPF is ingeschakeld, kijkt de ontvangende e-mailserver naar het Return Path en controleert de SPF records van het domein van dat adres.

Het probleem is dat aanvallers hier misbruik van kunnen maken door een vals domein te gebruiken in hun Return Path adres en een legitiem (of legitiem uitziend) e-mailadres in het From gedeelte. Zelfs als de ontvanger de e-mail-ID van de afzender controleert, ziet hij eerst het Van-adres en neemt hij meestal niet de moeite om het Return Path te controleren. De meeste mensen weten niet eens dat er zoiets bestaat als een Return Path-adres.

SPF kan vrij gemakkelijk worden omzeild door deze eenvoudige truc toe te passen, en zelfs domeinen die met SPF zijn beveiligd, worden hierdoor grotendeels kwetsbaar.

SPF records hebben een DNS lookup limiet

SPF records bevatten een lijst van alle IP-adressen die door de eigenaar van het domein gemachtigd zijn om e-mails te verzenden. Zij hebben echter een belangrijk nadeel. De ontvangende server moet het record controleren om te zien of de afzender gemachtigd is, en om de belasting van de server te verminderen, hebben SPF records een limiet van 10 DNS lookups.

Dit betekent dat als uw organisatie gebruik maakt van meerdere derde partijen die emails versturen via uw domein, het SPF record uiteindelijk die limiet kan overschrijden. Tenzij goed geoptimaliseerd (wat niet eenvoudig is om zelf te doen), zullen SPF records een zeer beperkende limiet hebben. Wanneer u deze limiet overschrijdt, wordt de SPF implementatie als ongeldig beschouwd en zal uw e-mail SPF niet halen. Dit kan schadelijk zijn voor de afleveringspercentages van uw e-mail.

 

SPF werkt niet altijd wanneer de e-mail wordt doorgestuurd

SPF heeft nog een kritisch foutpunt dat de bezorgbaarheid van uw e-mail kan schaden. Wanneer u SPF op uw domein hebt geïmplementeerd en iemand stuurt uw e-mail door, kan de doorgestuurde e-mail worden geweigerd vanwege uw SPF-beleid.

Dat komt omdat het doorgestuurde bericht de ontvanger van de e-mail heeft veranderd, maar het adres van de e-mailafzender blijft hetzelfde. Dit wordt een probleem omdat het bericht het Van-adres van de oorspronkelijke afzender bevat, maar de ontvangende server een ander IP ziet. Het IP-adres van de doorsturende e-mailserver is niet opgenomen in het SPF-record van het domein van de oorspronkelijke afzender. Dit kan ertoe leiden dat de e-mail door de ontvangende server wordt geweigerd.

Hoe lost DMARC deze problemen op?

DMARC gebruikt een combinatie van SPF en DKIM om e-mail te authenticeren. Een e-mail moet of SPF of DKIM passeren om DMARC te passeren en succesvol te worden afgeleverd. En het voegt ook een belangrijke functie toe die het veel effectiever maakt dan SPF of DKIM alleen: Rapportage.

Met DMARC-rapportage krijgt u dagelijks feedback over de status van uw e-mailkanalen. Dit omvat informatie over uw DMARC afstemming, gegevens over e-mails die niet geauthenticeerd zijn, en details over mogelijke spoofing pogingen.

Als u zich afvraagt wat u kunt doen om niet gespooft te worden, bekijk dan onze handige gids met de top 5 manieren om e-mail spoofing te vermijden.