Berichten

Het leren en implementeren van de concepten van SPF is belangrijk voor technologiegedreven bedrijven. Het kan hen beschermen tegen potentiële risico's van phishing, spamming, BEC aanvallenenz. SPF of Sender Policy Framework werkt met een SPF record dat de SPF-syntax omvat.

Deze blog gaat in grote lijnen over de SPF syntax tabel, SPF mechanismen, SPF qualifiers, en SPF modifiers - allemaal noodzakelijk om een sterke greep te krijgen op het concept van e-mail authenticatie met behulp van technische protocollen. 

SPF-syntaxis voor Benginners 

Een SPF record is een DNS record dat een lijst bevat van alle IP adressen die e-mails mogen versturen met uw officiële domeinnaam. Wanneer een server buiten de lijst een e-mail verstuurt met het domein, wordt deze behandeld als ongeoorloofd. De invoer ervan wordt dus geweigerd door de mailbox van de ontvanger. Dit beschermt de naam van uw bedrijf tegen schadelijke activiteiten van hackers. 

Bedrijven moeten SPF-records aanmaken en SPF-records controleren om phishing-aanvallen met hun eigen domeinnamen te voorkomen. Meer dan 255 miljoen phishing-aanvallen zijn geregistreerd in de eerste helft van 2022! Stel je voor hoe cruciaal het is geworden om SPF te implementeren en de SPF-syntaxis te leren kennen.

Een SPF-record bevat instructies voor de server van de ontvanger om de van uw domein ontvangen e-mails te controleren en te valideren. Het vertelt ook wat er moet gebeuren met degenen die de verificatie niet doorstaan. Een specifieke component vertegenwoordigt alle instructies.  

Laten we elk element opsplitsen aan de hand van een voorbeeld van een SPF-record. Zo ziet een SPF syntax eruit.

v=spf1 ip4:123.1.5.0 ip4:100.5.2.1 include:exampledomain.com ~all

De functie van elk element is als volgt:

  • v=spf1 specificeert aan de ontvangende server een SPF record. Alle SPF-records moeten zo beginnen.
  • De volgende sectie van deze SPF syntax vertelt de IP adressen die e-mails mogen versturen met uw domein. In het bovenstaande voorbeeld hebben we ip4:123.1.5.0 en ip4:100.5.2.1
  • De 'include:exampledomain.com' gedeelte van het bovenstaande voorbeeld specificeert de derde partijen die e-mails mogen versturen met het domein. De tag 'include' geeft de ontvangende servers aan om het SPF-record van het opgenomen domein (exampledomain.com) te controleren op IP-adressen die ook geautoriseerd zijn. U kunt meerdere domeinen toevoegen binnen een SPF record; ze moeten echter wel geldig zijn.
  • Het -all zorgt ervoor dat ontvangende servers e-mails markeren als NIET PASS voor SPF als ze zijn verstuurd van een domein of IP-adres buiten de lijst die is gespecificeerd in het SPF-record.

Geavanceerde SPF-syntaxis

Een SPF syntax tabel wordt gedefinieerd met behulp van een DNS TXT record met een enkele tekststring. Het begint altijd met het element "v=" dat de gebruikte SPF-versie specificeert, en er is momenteel slechts één versie.

Alle SPF records hebben hun specifieke termen die zich gedragen als regels voor welke hosts berichten mogen uitwisselen met het officiële domein het kan ook wat extra informatie weergeven. 

In geavanceerde SPF syntax zullen we de volgende drie componenten volgende drie componenten: SPF Mechanismen, SPF Qualifiers en SPF Modifiers.

SPF-mechanismen

  1. ALLE: Komt altijd overeen en is het laatste mechanisme dat aan het einde van een SPF-record wordt toegevoegd. Het toont standaard resultaten zoals '-all' voor niet-matchende IP's.
  2. A: Het geeft een domeinnaam aan met een AAAA of A record als een overeenkomst, aangezien het adres van de afzender wordt gesorteerd. Het huidige domein wordt gebruikt als deze DNS SPF record syntaxis niet gespecificeerd is.
  3. ip4: Een match is positief als een afzender verbonden is met het opgegeven ipv4 adresbereik in het SPF record. U voegt dit toe met een prefix die de lengte van het bereik specificeert. /32 wordt gebruikt als er geen prefix is.
  4. ip6: Een overeenkomst is positief wanneer de afzender verbonden is met het opgegeven ipv6-adresbereik. Het wordt toegevoegd met de ip4-richtlijn en een prefix die de lengte van het bereik aangeeft. /128 wordt gebruikt wanneer er geen prefix is.
  5. MX: Het laat afzenders toe met een IP-adres dat hetzelfde is als dat van het opgegeven MX-record. MX records bestaan uit een IP-adres en een prioriteitswaarde voor elke server om berichten te accepteren.
  6. PTR: Het specificeert het geautoriseerde domein om IP-adressen om te zetten naar subdomeinen of domeinen. Voor alle exact overeenkomende domeinen of subdomeinen wordt een forward lookup gedaan om het IP-adres te verkrijgen.

Dit mechanisme wordt beschouwd als tijdrovend en onbetrouwbaar, omdat er meerdere malen naar moet worden gezocht. Het wordt niet aanbevolen volgens de RFC 7208 richtlijnen.

  1. EXISTS: Er wordt een DNS A-record gezocht voor het ingevoerde domein. Een overeenkomst is succesvol wanneer een geldige A-record wordt gevonden, ongeacht het feitelijke opzoekresultaat.
  2. INCLUSIEF: Het machtigt e-mailafzenders van derden door hun domeinen te vermelden. Een afzender is alleen geautoriseerd als zijn IP-adres overeenkomt met de IP-adressen of domeinen die in het SPF-record van het vermelde domein staan.

SPF-kwalificaties

Wanneer een mechanisme geen qualifier heeft, en er toch een succesvolle match is, slaagt de SPF-authenticatie. Elk van de 8 mechanismen is gekoppeld aan één van de vier hieronder genoemde kwalificeerders.

Kwalificatie Resultaat Actie ondernomen door de ontvangende server 
+ Pass E-mail komt met succes door de SPF-verificatie en de server kan e-mails uitwisselen. E-mails worden als echt gemarkeerd. Dit is de standaardactie die wordt toegepast als er geen kwalificatie is.
- Fail De authenticatie van de e-mail mislukt omdat de verzendende server niet op de lijst staat. De mail kan worden geweigerd door de mailbox van de ontvanger.
~ SoftFail De mailbox van de ontvanger aanvaardt het bericht; het wordt echter als verdacht gemarkeerd en belandt in de spamfolder.
? Neutraal Het e-mailbericht komt niet door de verificatie, maar slaagt ook niet. De ondernomen actie is niet gespecificeerd en de e-mail wordt door de ontvanger aanvaard.

SPF-modificatoren

SPD modifiers zijn verantwoordelijk voor het bepalen van de werkparameters van een SPF syntaxis. Het omvat naam- of waardeparen, gescheiden door het symbool "=", die extra details en eventuele uitzonderingen op regels delen.

Modifiers verschijnen slechts eenmaal en alleen in de laatste sectie van een SPF-record. Alle niet-geïdentificeerde modifiers worden daarbij genegeerd. De "redirect" modifier wordt gebruikt om andere SPF records te sturen voor authenticatie. Hij wordt gebruikt wanneer u wilt dat meer dan één domein dezelfde SPF recordinhoud heeft.

Het 'include' mechanisme wordt gebruikt voor domeinen van derden die namens u of met uw bedrijfsnaam e-mails mogen versturen. De 'exp' modifier specificeert waarom de ontvangende server een Fail SPF Qualifier terugstuurde wanneer een mechanisme overeenkomt.

Richtlijnen voor SPF Records

Houd het volgende in gedachten bij het aanmaken van een SPF-record met behulp van de SPF-syntax-tabel.

  • U kunt niet meerdere SPF-records op één domein afstemmen.
  • Een SPF-record mag geen hoofdletters bevatten, anders zou u fouten zien.
  • Er mogen niet meer dan 255 tekens zijn. Elke string die dit aantal overschrijdt, resulteert in een mislukte authenticatie.
  • Verwijder als er SPF-mechanismen zijn die naar hetzelfde domein verwijzen.
  • Verwijder alle ip4 en ip6 SPF mechanismen die niet in gebruik zijn. Controleer ook of u adresbereiken kunt samenvoegen.
  • U kunt subdomeinen aanmaken om SPF informatie op te slaan. Dit kan met '_spf.domein.com'. Het wordt aanbevolen voor grote IT-bedrijven, omdat zij meerdere IP-adressen hebben om toe te voegen aan één SPF-record.

U kunt e-mails versturen zonder SPF te gebruiken of op de hoogte te zijn van SPF-formaat, maar dat zal niet veilig zijn. SPF voegt een extra vertrouwensindicatie toe aan de mailboxproviders van de ontvangers, en alle authentieke e-mails die via uw domein worden verzonden komen in de inbox van de box terecht in plaats van als spam te worden gemarkeerd.

SPF is geen fool-proof methode; daarom moet u het combineren met andere e-mailverificatie protocollen zoals DKIM, DMARCen BIMI om de bezorgbaarheid van e-mail te verbeteren.

Omdat deze protocollen cruciaal zijn voor het authenticatieproces van e-mail en alle bedrijven die met e-mail werken ze moeten kennen, richten we ons in deze blog op het SPF-recordformaat in deze blog.

Wat is SPF?

SPF staat voor Sender Policy Framework - een van de meest gebruikte e-mailverificatieprotocollen. Het werkt met een lijst van IP-adressen die gemachtigd zijn om e-mails te versturen via uw domeinnaam. De lijst bevat doorgaans IP-adressen van uw werknemers, aandeelhouders en derden die uw domein rechtstreeks gebruiken om e-mails te versturen.

Als u SPF hebt geïmplementeerd, wordt elke e-mail die wordt verzonden vanaf een IP-adres buiten de lijst door de mailbox van de ontvanger als onbevoegd beschouwd.

Hoe wordt e-mail geverifieerd met SPF?

U moet een geldig SPF-record (in TXT-formaat ) op uw DNS publiceren om dit protocol te implementeren. Wanneer een e-mail vanaf uw domein wordt verzonden, controleert de mailserver van de ontvanger het IP-adres van de afzender met de SPF-records op uw DNS. Als het op de lijst staat, is de validatie geslaagd en belandt de e-mail in de inbox. Staat het echter niet op de lijst, dan mislukt de verificatie en bereiken de e-mails hun bestemming niet.

Na implementatie moet u regelmatig uw domeinactiviteit controleren met een SPF checker om ervoor te zorgen dat het niet op de radar van een hacker staat. Dit kan voorkomen dat spear phishing, scamming en ransomware-aanvallen die de naam van uw bedrijf gebruiken.

SPF-formaat

SPF record is ingewikkeld en heeft een typisch formaat dat moeilijk te begrijpen is. Hier bespreken we SPF record syntax en SPF record structuur - het hoofd en hart van SPF record formaat..

SPF Record: Basissyntaxis

Een SPF-record is een DNS-record waarin alle IP-adressen zijn opgenomen die e-mails mogen versturen via uw e-maildomein. Zo ziet de syntaxis van een SPF record eruit:

v=spf1 ip4=193.0.1.0 ip4=193.0.1.1 include:samplesender.net -all

Laten we eens kijken welke elementen hierin zijn opgenomen.

  • v=spf1- Het vertelt de server dat dit een SPF record bevat. Elk SPF-record moet met deze string beginnen.
  • ip4=193.0.1.0 ip4=193.0.1.1- Het geeft de IP-adressen aan die e-mails mogen versturen met een specifiek domein.
  • Include:examplesender.net: Het vertelt derden die bevoegd zijn om e-mails te versturen. De 'include' tag stuurt de ontvangende servers om het SPF record van het opgenomen domein (hier- voorbeeldenender.net) te verifiëren. Je kunt verschillende domeinen toevoegen in een SPF record.
  • -all: vertelt de ontvangersservers om e-mails te weigeren die afkomstig zijn van niet-geautoriseerde IP-adressen, in principe degenen die niet in de lijst zijn opgenomen. 

SPF Record: Geavanceerde syntaxis

Volgens het SPF-recordformaat voor syntaxen, begint het altijd met het 'v=' element. Het vertelt de SPF versie; momenteel is er maar één versie, dus alle SPF record formaten beginnen zo.

SPF record syntax heeft drie primaire elementen; SPF Mechanism, SPF Qualifiers, en SPF Modifiers. Laten we eens kijken wat dat zijn.

Mechanismen

Hier zijn de acht mechanismen

  1. ALL: Dit betekent dat er altijd een overeenkomst is. U ziet standaardresultaten zoals '-all' voor niet-matchende IP's.
  2. A: Domeinnaam met A of AAAA adresrecord komt overeen omdat deze kunnen worden omgezet naar het adres van de afzender.
  3. IP4: De overeenkomst is geldig wanneer de afzender gekoppeld is aan het opgegeven IPv4-adresbereik.
  4. IP6: De overeenkomst is geldig wanneer de afzender gekoppeld is aan het opgegeven IPv6-adresbereik.
  5. MX: Het e-mailadres van de afzender wordt alleen gevalideerd als zijn domeinnaam een MX-record voor resolutie bevat.
  6. PTR: De overeenkomst is toegestaan als het PTR record behoort tot een bepaald domein dat naar het adres van de klant verwijst. Experts raden het gebruik ervan af, omdat het alle e-mails kan blokkeren die via uw domein worden verzonden.
  7. EXISTS: Het werkt als de gegeven domeinnaam gevalideerd is. Dit SPF-mechanisme werkt met alle opgeloste adressen. 
  8. INCLUDE: Het verwijst naar ander domeinbeleid. Dus als dat slaagt, slaagt het automatisch. Als het opgenomen beleid echter faalt, gaat de verwerking door. 

Modifiers

Modifiers bepalen het functionele kader van een SPF-record. Ze bestaan uit naam- of waardeparen, gescheiden door het '='-symbool, die wijzen op extra informatie. U'' ziet ze vaak aan het einde van het SPF-record, en alle niet-herkende modifiers worden daarbij genegeerd.

De "redirect" modifier verwijst naar andere SPF-records die verantwoordelijk zijn voor een efficiënte werking. Experts gebruiken deze wanneer meer dan één domein aan hetzelfde SPF-record is gekoppeld. Deze modifier moet worden gebruikt indien één enkele entiteit alle domeinen controleert; anders wordt de "include"-modifier gebruikt.

Kwalificatie

Elk mechanisme kan worden gecombineerd met een van de vier kwalificeerders.

+' voor het PASS resultaat

'?' voor een NEUTRAAL resultaat geïnterpreteerd als GEEN beleid.

~' voor SOFTFAIL. Gewoonlijk worden berichten die een SOFTFAIL terugsturen, aanvaard maar gelabeld. 

'-' voor FAIL, wordt de e-mail geweigerd.

Conclusie

SPF voorkomt dat cyberaanvallen de naam en reputatie van uw merk gebruiken. U kunt voorkomen dat e-mails van hackers die uw domein gebruiken hun doelgroep bereiken. Dit werkt door alleen vertrouwde entiteiten aan te melden en toe te staan e-mails te versturen via uw domein. 

Nadat u de structuur en de onderdelen van het SPF-recordformaat hebt begrepen, kunt u het programma SPF record generator als je het protocol nog niet hebt geïmplementeerd.

Het Sender Policy Framework(SPF) record is een belangrijk onderdeel van de Domain-based Message Authentication, Reporting and Conformance (DMARC), dat een methode specificeert om vervalsing van afzenderadressen te voorkomen.

SPF records zijn complex om op te zetten en er kunnen implementatieproblemen optreden als ze niet goed geconfigureerd zijn. Bovendien gebruikt de SPF Record Syntax enkele specifieke termen die verwarrend kunnen zijn als je ze voor het eerst tegenkomt. Daarom bekijken we in deze blogpost de syntaxis van SPF-records en waar je rekening mee moet houden als je ze configureert.

Wat is een SPF Record?

Een SPF record is een type DNS record dat aangeeft welke servers een email mogen versturen uit naam van uw domein. Het doet dit door de servers op te sommen die gemachtigd zijn om emails te versturen voor uw domein; als een andere server probeert een email te versturen in naam van uw domein, zal het geweigerd worden als een ongeoorloofde verzender.

Het doel van een SPF record is om te voorkomen dat kwaadwillenden vervalste e-mailberichten versturen met uw domein in het From veld. Dit kan gebeuren als een aanvaller grote hoeveelheden spamberichten vanaf uw server verstuurt door uw domein te spoofen of te vervalsen

Hoe werkt SPF?

1. Creëren van een SPF Record Syntax

U maakt een SPF record syntax in uw DNS server die specificeert welke IP adressen emails van uw domein mogen versturen. Dit betekent dat als iemand probeert gespoofde emails te versturen vanaf uw domein, hun berichten zouden mislukken omdat het IP adres van hun mail server niet vermeld staat als één van de goedgekeurde servers.

Bijvoorbeeld, als je wil dat enkel Gmail accounts mail kunnen versturen vanaf je domeinnaam, maar geen Outlook accounts, dan zou je de volgende lijn toevoegen aan je SPF record:

 v=spf1 a mx include:_spf.google.com ~all

 Dit vertelt servers dat alle berichten die worden verzonden vanaf een host waarvan het IP-adres eindigt op _spf.google.com als geldig moeten worden beschouwd (m), terwijl alle andere berichten moeten worden genegeerd (a). 

U kunt onze SPF record generator tool gebruiken om nu een gratis record aan te maken!

2. DNS Opzoeken

Wanneer een e-mail afzender een bericht probeert te verzenden, voert de ontvangende server een DNS lookup uit op het verzendende domein om te zien of er een SPF record is- dit wordt "authenticatie" genoemd. Er is een limiet van 10 lookups toegestaan per query, overschrijding daarvan leidt tot SPF-fout.

Als er geen SPF record is, dan faalt de authenticatie en wordt het bericht niet afgeleverd. Als er wel een SPF record is, dan controleert de SPF server op IP adressen in het TXT record bij de hostnaam die in het SPF record staat.

 Als er geen IP-adressen zijn gespecificeerd, dan zal de authenticatie mislukken. Anders zal het een A query uitvoeren voor elk gespecificeerd IP adres in de volgorde van voorkomen in het TXT record.

Het IP-adres dat een resultaatcode NXDOMAIN of NOERROR terugstuurt, wordt door de SPF-server als geautoriseerd beschouwd en zijn hostnaam wordt toegevoegd aan een lijst van geautoriseerde verzendende hosts voor dat domein.

3. Authenticatie Resultaat

De mailserver levert het bericht af bij de geadresseerde of markeert het als geweigerd op basis van de in het SPF-record gespecificeerde regels.

De resultaten van de authenticatie kunnen drie vormen aannemen: Pass, Neutral, of Fail.

Pass betekent dat de mailserver het bericht als legitiem aanvaardt en toestaat het af te leveren. Neutraal betekent dat er ofwel helemaal geen record is of een ongeldig record voor dat domein in DNS, zodat er geen manier is om te weten of dit al dan niet een legitiem bericht is van dat domein. Fail betekent dat iets aan dit bericht niet authentiek genoeg was om het te kunnen afleveren.

Bijvoorbeeld, een mailserver met IP-adres '234.2.1.2' verstuurt een e-mail van '[email protected]'. De inkomende server zal de domeinnaamservice(DNS) raadplegen om te bepalen of dit IP-adres gemachtigd is om namens het domein 'apple.com' e-mails te verzenden. Zo ja, dan wordt het bericht afgeleverd; zo niet, dan wordt het verworpen of als spam aangemerkt, d.w.z. gesorteerd volgens het in het SPF-record gespecificeerde mechanisme.

SPF Record Syntax

De SPF-record syntaxis bestaat uit verschillende elementen-Directives, Qualifiers, en Mechanisms.

Directives zijn het eerste deel van de syntax van een SPF record. Ze geven aan hoe de rest van het record geïnterpreteerd moet worden. Drie directives kunnen in een SPF record voorkomen: v=spf1, a, en mx. De v directive geeft aan dat dit record een SPFv1 record is; de a directive geeft aan dat dit record een SPFv2-stijl authenticatie mislukkingsrapport is; de mx directive specificeert een lijst van mail exchange servers voor een domein.

Qualifiers specificeren waar in je DNS zone je je SPF records wilt plaatsen: exim4, enduser, of _spf. Deze kwalificeerders vertellen mail ontvangers waar ze moeten zoeken naar je SPF records wanneer ze die controleren met hun DNS records.

Mechanismen worden gebruikt om aan te geven hoe u e-mailadressen wilt behandelen die uw SPF-controle niet doorstaan. U kunt kiezen uit verschillende mechanismen: alles, geen, softfail, neutraliseren, of afwijzen.

  • alle accepteert het mechanisme alle e-mails van afzenders die uw SPF-controle hebben doorstaan;
  • geen zal alles weigeren van afzenders die uw SPF controle hebben doorstaan;
  • softfail zal e-mails accepteren van afzenders die een SPF controle hebben gefaald, maar ze als verdacht markeren;
  • neutraal geeft aan dat u berichten die vanaf uw domein worden verzonden niet weigert of accepteert - het is in wezen een "geen mening"-standpunt over de vraag of het bericht moet worden geaccepteerd of geweigerd;
  • weigeren zal e-mails weigeren die de SPF controle niet hebben doorstaan.

SPF Record Syntaxis Kwalificeerders

De "qualifiers" in een SPF record syntax helpen om de reikwijdte van het SPF record aan te geven. Deze worden hoofdzakelijk gebruikt om aan te geven of een specifiek IP adres al dan niet gemachtigd is om emails te versturen in naam van uw domein.

Kwalificatie Resultaat Code Uitleg
+ Pass de enige qualifier zonder negatieve connotatie. Het geeft aan dat het beveiligingsrecord van de domeinnaam geen fouten of waarschuwingen bevat en als veilig wordt beschouwd.
- Fail geeft aan dat het beveiligingsrecord van de domeinnaam fouten of waarschuwingen bevat waardoor hij niet als veilig kan worden beschouwd.

 

~ Softfail geeft aan dat het beveiligingsrecord van de domeinnaam fouten of waarschuwingen bevat die niet verhinderen dat de domeinnaam als veilig wordt beschouwd, maar kunnen wijzen op problemen met DNS-resolutie of andere problemen in verband met DNS-trustankers.
? Neutraal Geeft aan dat het domein geen SPF record heeft of dat het record syntactisch correct was maar niet overeenkwam met een verzendende server wanneer het gecontroleerd werd met een (of meer) verzendende servers in uw lijst van vertrouwde IP adressen voor dat domein.

SPF Record Syntaxis Mechanismen 

Mechanismen worden in de SPF-record syntaxis gebruikt om de ontvangende server te vertellen welk soort authenticatiemechanisme moet worden gebruikt. Er zijn twee soorten mechanismen: 

  • kan de verzender een specifieke reeks mechanismen specificeren;
  • Of het kan specificeren dat alle mechanismen zijn toegestaan.
Mechanisme Doel Richtlijn is van toepassing wanneer Uitvoering
a definieert het DNS A record van het domein als geautoriseerd. Als deze directive niet gespecificeerd is, dan wordt het huidige domein gebruikt.

 

 

kan worden toegepast wanneer wordt gezocht naar een A of AAAA record in een domein dat het IP-adres van de afzender bevat. a

a/<prefix-length>

a:<domain>

a:<domain>/<prefix-length>

alle De all richtlijn wordt altijd gematched, en het bepaalt het beleid voor alle andere bronnen. Dit mechanisme moet altijd worden toegepast, en dit mechanisme komt altijd overeen. alle
bestaat Controleert of een A record al dan niet geldig is voor een bepaald domein. Het kijkt naar alle A-records op dat domein en kijkt of er een overeenkomt met de criteria in uw SPF-record. Van toepassing indien er een A record is op dit domein of indien andere criteria, volgens RFC7208, werden toegestaan. exists:<domain>
omvatten Het doel van dit mechanisme is het domein te specificeren en te zoeken naar een overeenkomst, alsook een permanente fout terug te geven indien het domein geen geldig SPF-record heeft. Het "include" mechanisme in SPF records kan gebruikt worden om andere SPF records op te nemen in het record van een domein. Als een domein geen SPF record heeft, maar een ander domein wel en dat andere domein heeft een IP adres dat overeenkomt met het IP adres van de afzender, dan zal het "include" mechanisme ervoor zorgen dat het domein met het overeenkomende IP adres gebruikt zal worden voor authorisatie doeleinden.

 

include:<domain>
ip4 U kunt een IPv4-bereik opgeven met de richtlijn "ip4", samen met een voorvoegsel dat de lengte van het bereik aangeeft. Als er geen prefix wordt opgegeven, wordt /32 aangenomen. Het "ip4"-mechanisme zal worden toegepast als een van deze voorwaarden waar is:

 

- Het opgegeven IPv4-adres komt overeen met dat van een IP-adres in uw SPF-record.

 

- Het opgegeven IPv4-subnet bevat het IP-adres van de afzender.

ip4:<ip4-address>

ip4:<ip4-network>/<prefix-length>

ip6 U kunt een IPv6-bereik opgeven met de richtlijn "ip4", samen met een voorvoegsel dat de lengte van het bereik aangeeft. Als er geen prefix wordt opgegeven, wordt /128 aangenomen. Het "ip6" mechanisme zal van toepassing zijn als een van deze voorwaarden waar is:

 

- Het opgegeven IPv6-adres komt overeen met dat van een IP-adres in uw SPF-record.

 

- Het opgegeven IPv6-subnet bevat het IP-adres van de afzender.

ip6:<ip6-address>

ip6:<ip6-network>/<prefix-length>

mx Het "mx"-mechanisme, zoals gedefinieerd in het SPF-record, definieert het Domain Name System (DNS) Mail Exchanger (MX)-record van een domein als geautoriseerd. Het DNS MX record bepaalt welke server verantwoordelijk is voor het accepteren van e-mailberichten namens het domein. Het DNS MX record bevat een IP adres en een prioriteit waarde voor elke server die gebruikt kan worden om berichten te accepteren.

 

Wanneer een MX record van een domein een IP adres bevat dat overeenkomt met het IP adres van de afzender, dan geeft dit aan dat deze afzender geauthoriseerd is om emails te versturen namens dit domein.

mx

mx/<prefix-length>

mx:<domain>

mx:<domain>/<prefix-length>

ptr Het ptr-mechanisme gebruikt de omgekeerde hostnaam of het subdomein van het verzendende IP-adres om de doeldomeinnaam te definiëren. Alleen van toepassing als er minstens één MX record is voor het opgevraagde of opgegeven domein en dat MX record een PTR record bevat met een FQDN voor het IP adres van de verzender. ptr

ptr:<domain>

SPF Record Syntax Modifiers

In de SPF record syntax kunnen modifiers gebruikt worden om het standaard gedrag van een SPF record te veranderen. Modifiers kunnen gebruikt worden om uitzonderingen op de regels te specificeren, of ze kunnen gebruikt worden om extra informatie aan de ontvanger te geven.

Modifier Doel Uitvoering
exp De "exp" modifier is een waarde die een verklaring geeft voor de reden waarom een bericht werd geweigerd. Hij is bedoeld om verzenders te helpen bepaalde problemen te vermijden, en kan worden gebruikt om hen te informeren over de specifieke reden waarom hun bericht door de ontvangende server niet werd aanvaard. exp=<domain>
doorverwijzen De redirect modifier is een string die de volledige domeinnaam in het SPF record vervangt. Het doel van deze modifier is om alle mail die naar het domein gestuurd wordt naar een andere server door te sturen. Dit kan nuttig zijn voor domeinen met meerdere MX records of voor domeinen die opnieuw zijn toegewezen aan een ander bedrijf, maar nog steeds dezelfde e-mailadressen gebruiken. redirect=<domain>

Afronding

Het SPF-record is een belangrijk onderdeel van de DNS-records van uw domein. Het vertelt andere mailservers hoe ze berichten moeten verifiëren die beweren van u afkomstig te zijn, wat betekent dat het belangrijk voor u is om een goed geconfigureerd SPF-record te hebben. Zorg er echter voor dat u SPF koppelt aan DMARC voor een betere bescherming tegen het compromitteren van e-mail en spoofing. 

De SPF Record Lookup Tool kan u daarbij helpen. De lookup tool geeft u een snel overzicht van hoe uw huidige SPF record eruit ziet, inclusief of het al dan niet verplichte velden mist. De generator laat u een SPF record syntaxis creëren vanaf nul, compleet met alle verplichte velden zodat het onmiddellijk aan uw DNS records kan worden toegevoegd.