SPF staat voor Sender Policy Framework. Het is een e-mailverificatieprotocol dat is ontworpen om e-mailspoofing te detecteren en te voorkomen dat onbevoegde afzenders berichten verzenden namens een bepaald domein. Elke 39 seconden vindt er wereldwijd een cyberaanval plaatswaarvan de meeste worden gepleegd via e-mail. SPF helpt bij het autoriseren van uw afzenders, zodat uw domein niet kan worden gemanipuleerd door een onbevoegde derde partij e-mail afzender. SPF of Sender Policy Framework is een e-mailverificatieprotocol dat alleen specifieke IP-adressen toestaat om e-mails te verzenden met een domeinnaam. Elk IP-adres dat buiten de lijst valt, zal de mailbox van de ontvanger niet bereiken omdat dit leidt tot een SPF-fout. Het SPF-beleid, gedefinieerd in het DNS-record, bevat een lijst met mailservers die namens uw domein berichten mogen verzenden.
SPF e-mailrecords helpen bij het onderhouden van een lijst met geverifieerde afzenders voor uw domein die publiekelijk kan worden opgezocht en opgehaald door ontvangende servers om e-mails te verifiëren en worden vermeld onder RFC 7208. Het beschermt uw e-maildomeinen tegen hackers om phishing-, spamming- en spoofing-aanvallen te voorkomen. E-mailverificatietechnieken zoals SPF zijn ideaal om je e-maildomein te beschermen.
Belangrijkste opmerkingen
- SPF is een cruciaal e-mailverificatieprotocol dat spoofing voorkomt door verzendservers te verifiëren via DNS-records.
- Een juiste SPF-configuratie, inclusief alle geautoriseerde afzenders en het naleven van opzoek-/karakterbeperkingen, verbetert de bezorgbaarheid van e-mail en de reputatie van de afzender aanzienlijk.
- SPF werkt het beste in combinatie met DKIM en DMARC voor uitgebreide e-mailbeveiliging, rapportage en beleidshandhaving.
- SPF alleen heeft beperkingen, zoals problemen met het doorsturen van e-mail en complexiteit bij het beheren van veel afzenders van derden of het overschrijden van DNS-opzoeklimieten.
- Het regelmatig bekijken, bijwerken en valideren van je SPF-record met behulp van tools is essentieel om veelgemaakte fouten te vermijden en bescherming tegen phishing en spam te behouden.
Hoe werkt SPF?
SPF stelt domeineigenaren in staat om een lijst van geautoriseerde e-mailservers (IP-adressen of hostnamen) te publiceren die namens hen e-mails mogen versturen. Hier wordt stap voor stap uitgelegd hoe SPF werkt:
1. Uw record publiceren voor SPF
De domeineigenaar publiceert een SPF-record in het DNS (Domain Name System) van zijn domein. DNS is een systeem dat door mensen leesbare hostnamen vertaalt naar door machines leesbare IP-adressen. Het SPF record is een DNS TXT record met een lijst van servers die geautoriseerd zijn om e-mails te versturen voor dat domein.
2. Uw e-mail is ontvangen
Wanneer een e-mail wordt verzonden, bevat deze informatie over het domein van de afzender, vaak te vinden in het Return-Path adres (ook bekend als het afzender- of MAIL FROM adres), dat aangeeft waar bounced e-mails naartoe moeten.
3. Het domein van de afzender extraheren
De e-mailserver van de ontvanger haalt het domein uit het Return-Path e-mailadres in de e-mailheader.
4. DNS lookup wordt uitgevoerd
De e-mailserver van de ontvanger voert een DNS-opzoeking uit om het SPF TXT-record op te halen van het domein van de afzender dat in de vorige stap is geïdentificeerd.
5. SPF-authenticatie wordt uitgevoerd
Het SPF-record bevat een beleid dat bepaalt welke servers e-mails voor het domein mogen versturen. De e-mailserver van de ontvanger vergelijkt het IP-adres van de server die de e-mail heeft verzonden met de lijst van geautoriseerde servers die in het SPF-record staat. Het e-mailadres van het retourpad wordt aan de kant van de ontvanger gecontroleerd om te verifiëren of het verzendende IP-adres wel of niet voorkomt in de SPF-records.
6. Het uiteindelijke authenticatieresultaat wordt bepaald
Op basis van de SPF-controle bepaalt de e-mailserver van de ontvanger of de e-mail afkomstig is van een geautoriseerde server of niet (Pass, Fail, SoftFail, Neutral, etc.).
7. Er wordt actie ondernomen op basis van de resultaten
De e-mailserver van de ontvanger onderneemt actie op basis van het resultaat van de SPF-controle en het DMARC-beleid van het domein (als dat bestaat). Hij kan de e-mail accepteren, als spam markeren of helemaal weigeren. Als de goedkeuring positief is, worden de e-mails meestal naar de inbox gestuurd; anders kan het leiden tot een SPF-fout.
SPF instellen met PowerDMARC!
Hoe gebruik je SPF met je e-mail?
Om de SPF e-mailstandaard te gebruiken, moet je ervoor zorgen dat je goed begrijpt hoe het werkt en controleren of je domein en e-mailprovider SPF ondersteunen. Hierna kun je een record aanmaken voor SPF, het record publiceren in je DNS en idealiter je SPF DNS implementatie combineren met DKIM en DMARC om spoofing te voorkomen. SPF verifieert de verzendende server en valideert niet noodzakelijkerwijs de identiteit van de afzender of de inhoud van het bericht. Het gebruik van SPF met DKIM, DMARC en mogelijk BIMI voor een grondigere e-mailverificatie kan de beveiliging van je e-mail aanzienlijk verbeteren.
SPF inschakelen voor uw e-mail
Om een SPF-record aan te maken, moet je de volgende algemene stappen volgen:
Bepaal de geautoriseerde e-mailservers
Identificeer de IP-adressen of hostnamen van alle e-mailservers die gemachtigd zijn om e-mails te verzenden namens uw domein. Dit omvat de e-mailservers van uw eigen organisatie, e-mailserviceproviders van derden (zoals Google Workspace, Microsoft 365, SendGrid, Mailchimp, enz.) en alle andere services die e-mail verzenden met uw domeinnaam. Verzamel een uitgebreide lijst van al deze IP-adressen en verzendende domeinen.
Definieer uw SPF-beleid
Bepaal het beleid voor SPF. Dit houdt in dat je moet specificeren welke servers e-mails voor je domein mogen versturen met SPF-mechanismen. Je moet ook beslissen hoe strikt ontvangende servers het beleid moeten afdwingen met behulp van kwalificaties (bijvoorbeeld `-all` voor Fail, `~all` voor SoftFail).
SPF-formaat bepalen
SPF records worden gepubliceerd als een TXT record in de DNS van je domein. Het record moet een specifiek formaat hebben, beginnend met `v=spf1` gevolgd door mechanismen, modifiers en een laatste `all` mechanisme met een qualifier.
Het SPF-record publiceren
Maak eerst je SPF record aan. U kunt onze gratis SPF-generator gebruiken of het record handmatig aanmaken op basis van uw geautoriseerde afzenders en beleid. Ga vervolgens naar het DNS-beheersysteem van uw domein, dat meestal wordt geleverd door uw domeinregistrar of hostingprovider. Zoek de DNS-instellingen voor uw domein en voeg een nieuw TXT-record toe. Geef de hostnaam op (meestal "@" of leeg voor het hoofddomein zelf) en plak de volledige SPF-recordstring in het veld waarde/gegevens.
Voorbeeld SPF Record
Een SPF record TXT in je DNS ziet er ongeveer zo uit:
Deze record definieert een set hosts als geldige afzenders. Bijvoorbeeld, `v=spf1 ip4:192.168.0.0/16 include:spf.example.com -all` betekent:
- `v=spf1`: Specificeert de SPF-versie die wordt gebruikt.
- `ip4:192.168.0.0/16`: Hiermee worden e-mails toegestaan die vanaf elk IP-adres binnen dit bereik worden verzonden.
- `include:spf.example.com`: Sluit het SPF record van `spf.example.com` in, en autoriseert effectief alle afzenders die daar vermeld staan. Dit telt als één DNS lookup.
- `-all`: Geeft aan dat elke afzender die niet overeenkomt met de voorgaande mechanismen de SPF-controle moet weigeren.
De structuur bevat meestal mechanismen, modifiers en qualifiers:
Mechanismen:
Deze definiëren de servers die e-mail mogen versturen. Veel voorkomende mechanismen zijn: `a`, `mx`, `ip4`, `ip6`, `include`, `exists` en `all`.
- `ALL`: Komt altijd overeen. Wordt gebruikt voor het einde van de record (bijvoorbeeld `-all`).
- `A`: Komt overeen als het IP van de afzender overeenkomt met het A of AAAA record van het domein.
- `IP4`: Komt overeen als het IP-adres van de afzender binnen het opgegeven IPv4-bereik ligt.
- `IP6`: Komt overeen als het IP-adres van de afzender binnen het opgegeven IPv6-bereik ligt.
- `MX`: Komt overeen als het IP-adres van de afzender overeenkomt met een van de IP-adressen van de MX-records van het domein.
- `PTR`: Komt overeen als het PTR record voor het IP van de afzender verwijst naar een domein dat terugverwijst naar het IP van de afzender. (Gebruik wordt afgeraden vanwege inefficiëntie en onbetrouwbaarheid).
- `EXISTS`: Komt overeen als de opgegeven domeinnaam is opgelost.
- INCLUDE`: Omvat het beleid van een ander domein. Recursieve verwerking vindt plaats.
Wijzigingen:
Deze geven extra informatie of veranderen hoe het record werkt. De belangrijkste modifiers zijn `redirect` (verwijst naar het SPF record van een ander domein, ter vervanging van het huidige record) en `exp` (geeft een verklaring voor SPF fouten). Modifiers verschijnen aan het einde, na mechanismen.
Kwalificatiewedstrijden:
Voorafgegaan door mechanismen om aan te geven hoe een overeenkomst behandeld moet worden:
- `+`: Pas (standaard)
- `-`: Mislukt (E-mail moet worden geweigerd)
- `~`: SoftFail (E-mail moet worden geaccepteerd, maar gemarkeerd/onderzocht)
- `?`: Neutraal (Geen beleid opgegeven; behandelen als Geen)
Hoe SPF controleren en verifiëren?
Zodra je je SPF-record hebt ingesteld, kan het enige tijd duren (tot 48 uur, maar vaak veel minder) voordat de DNS-wijzigingen zich verspreiden over het internet. Gebruik onze SPF record controle om je record te valideren en te testen. Dit helpt bij het controleren van de juistheid van de syntaxis en zorgt ervoor dat het wordt herkend door DNS-servers.
Het is belangrijk op te merken dat SPF-records complex kunnen zijn, afhankelijk van de specifieke vereisten van je e-mailinfrastructuur. Als je niet zeker bent van de syntaxis of meer geavanceerde configuraties nodig hebt, is het raadzaam om je systeembeheerder, IT-ondersteuning of een e-mailverificatie-expert te raadplegen voor hulp bij het correct aanmaken van het SPF-record.
SPF voor externe leveranciers
Wat is SPF voor uw externe leveranciers? Om derde partijen (zoals marketingplatforms, CRM's, helpdesks) toestemming te geven om namens jou e-mail te versturen, moet je hun specifieke IP-adressen of hun aangewezen SPF-behandelende domeinen (met behulp van het `include:`-mechanisme) opnemen in het enkele SPF-record van jouw domein. Maar let op, maak niet meerdere SPF-records voor hetzelfde domein, omdat dit SPF volledig ongeldig maakt! Alle geautoriseerde afzenders moeten in één geconsolideerd record staan.
Als je bijvoorbeeld SuperEmails.net gebruikt als je e-mailverzender en hun SPF-afhandelende domein is spf.superemails.net, dan zou je SPF-record er zo uit kunnen zien:
v=spf1 include:spf.superemails.net -all
Als je ook AnotherSender.com gebruikt wiens IP's 1.2.3.4 en 5.6.7.8 zijn, zou je ze combineren:
v=spf1 ip4:1.2.3.4 ip4:5.6.7.8 include:spf.superemails.net -all
Waarom is het Sender Policy Framework belangrijk voor e-mail?
SPF is belangrijk om er zeker van te zijn dat e-mails die vanaf uw domein worden verzonden echt zijn en geen valse lokkertjes die door cyberaanvallers zijn gemaakt om uw klanten, werknemers of partners te misleiden. Met miljarden spam e-mails die dagelijks worden verzonden, is SPF een belangrijke stap in de bescherming van je domein. Hier zijn enkele belangrijke voordelen van SPF:
Minder e-mailspoofing en minder cyberaanvallen
SPF helpt spoofing van e-mail tegen te gaan door de authenticiteit van de verzendende server te verifiëren. Kwaadwillenden gebruiken vaak gespoofde adressen voor phishing, spamming en andere cyberaanvallen. Een correct geconfigureerd SPF-record maakt het aanzienlijk moeilijker voor hen om zich met succes voor te doen als uw domein.
Verbeterde bezorgbaarheid van e-mails en lager bouncepercentage
Het implementeren van SPF kan de deliverability van e-mail verbeteren. Als ontvangende servers een SPF-controle uitvoeren en zien dat de verzendende server geautoriseerd is, zullen ze de e-mail eerder accepteren dan als spam markeren of weigeren. Domeinen zonder de juiste SPF-records kunnen hogere bouncepercentages zien of e-mails kunnen in spammappen belanden.
Minder fout-positieven
Door nauwkeurig geautoriseerde e-mailservers te identificeren, verkleint SPF de kans dat legitieme e-mails door ontvangende systemen ten onrechte als spam worden gemarkeerd. Dit helpt valse positieven te voorkomen en zorgt ervoor dat belangrijke communicatie de inbox van de beoogde ontvangers bereikt.
Verbeterde afzenderreputatie
SPF speelt een rol bij het opbouwen en onderhouden van een positieve afzenderreputatie bij postbusproviders. Door SPF te implementeren, tonen domeineigenaars hun toewijding aan e-mailbeveiliging en best practices voor authenticatie, wat ISP's waarderen.
Beperking van phishing en spam
SPF helpt bij het verminderen van de effectiviteit van phishingpogingen en spamcampagnes die vertrouwen op domeinvervalsing. SPF maakt het voor kwaadwillende actoren moeilijker om frauduleuze e-mails te versturen die zogenaamd afkomstig zijn van gerenommeerde domeinen.
Voldoen aan e-mailstandaarden en DMARC
Veel e-mailserviceproviders en organisaties stimuleren of vereisen het gebruik van SPF als onderdeel van hun e-mailbeleid. Bovendien is SPF een fundamenteel onderdeel van DMARC (Domain-based Message Authentication, Reporting, and Conformance). DMARC vertrouwt op SPF (en/of DKIM) afstemming om te bepalen hoe ontvangende servers ongeauthenticeerde mail moeten behandelen, waardoor SPF essentieel is voor DMARC compliance.
Wat zijn de beperkingen van SPF?
Hoewel SPF een waardevol hulpmiddel is, heeft het zijn beperkingen:
- **Email forwarding problemen:** SPF kan problemen ondervinden bij het doorsturen van e-mail. Wanneer een e-mail wordt doorgestuurd van de ene server naar de andere, kan de oorspronkelijke SPF-verificatie mislukken omdat het IP-adres van de doorsturende server niet voorkomt in het SPF-record van het domein van de oorspronkelijke afzender. DMARC helpt dit te beperken, maar het blijft een kernbeperking van SPF.
- **Complexiteit en beheer:** Naarmate het aantal geautoriseerde e-mailservers en services van derden toeneemt, neemt de complexiteit van het beheren en onderhouden van het enkele SPF-record toe.
- **10 DNS Lookup Limiet:** SPF records zijn gelimiteerd tot een maximum van 10 DNS lookups (mechanismen zoals `include`, `a`, `mx`, `ptr`, `exists` en `redirect` tellen mee voor deze limiet). Het overschrijden van deze limiet veroorzaakt een permanente fout (PermError), waardoor het SPF record ineffectief wordt. Organisaties die veel leveranciers van derden gebruiken, komen vaak tegen deze limiet aan. Tools zoals SPF flattening kunnen helpen dit te beperken door lookups te vervangen door statische IP adressen, maar vereisen zorgvuldig beheer.
- **255 Karakter String Limiet:** Een enkele TXT record string in DNS heeft een limiet van 255 karakters. Hoewel SPF-records meerdere strings binnen een enkele TXT-record kunnen bevatten, kunnen te complexe records moeilijk te beheren worden en mogelijk de algemene DNS-recordlimieten overschrijden. Het overschrijden van de SPF tekenlimiet binnen een enkele string zal ook het record ongeldig maken.
- **Verkent de verzendende server, niet de inhoud of de "Van" header:** SPF richt zich alleen op het verifiëren van de authenticiteit van de verzendende server op basis van het Return-Path domein. Het biedt geen versleuteling, controleert de integriteit van de inhoud van het bericht niet (zoals DKIM doet) en verifieert niet direct het door de gebruiker zichtbare "Van" adres dat de ontvangers zien. Aanvallers kunnen SPF soms omzeilen door een geautoriseerde server te gebruiken maar het "Van" adres te vervalsen.
- **Geen rapportage:** SPF zelf biedt geen zichtbaarheid of feedback aan de domeineigenaar over verificatieresultaten of mogelijk misbruik. Dit is waar DMARC cruciaal wordt, omdat het SPF-resultaten gebruikt en rapporteert.
Veelvoorkomende SPF-configuratiefouten vermijden
Verkeerde configuraties kunnen je SPF beleid ineffectief maken of zelfs legitieme e-mail blokkeren. Vermijd deze veelvoorkomende valkuilen:
- **Meerdere SPF-records gebruiken:** Een domein MOET slechts één SPF TXT-record hebben. Meerdere records veroorzaken validatiefouten. Voeg alle geautoriseerde afzenders samen in één record.
- **Incorrecte syntax:** SPF records hebben strikte syntax eisen. Typefouten, onjuist gebruik van het mechanisme (bijvoorbeeld het gebruik van `TXT` in plaats van `ip4` of `include`), of verkeerd geplaatste elementen kunnen het record ongeldig maken. Valideer je record altijd voordat je het publiceert.
- **Niet alle geautoriseerde afzenders opnemen:** Als u vergeet een legitieme service van derden of een interne mailserver op te nemen, worden e-mails die vanuit deze bronnen worden verzonden, niet gecontroleerd op SPF, wat gevolgen heeft voor de deliverability. Houd een volledige inventaris bij.
- **Het overschrijden van de 10 DNS Lookup Limiet:** Zoals vermeld in beperkingen, zal het toevoegen van te veel `include`, `a`, `mx`, etc. mechanismen SPF breken. Controleer uw lookups zorgvuldig, vooral wanneer u nieuwe leveranciers toevoegt.
- **Tekenlimieten overschrijden:** Zorg ervoor dat uw record zich houdt aan de limiet van 255 tekens per tekenreeks en de totale limiet voor DNS-records.
- **Het verkeerde recordtype gebruiken:** SPF-records moeten worden gepubliceerd als TXT-records in DNS. Sommige oudere systemen gebruikten een speciaal SPF-recordtype, maar dit is deprecated en moet niet worden gebruikt.
- **Niet bijwerken:** Als u van e-mailprovider verandert, nieuwe services toevoegt of oude servers buiten gebruik stelt, MOET u uw SPF-record dienovereenkomstig bijwerken. Verouderde records kunnen legitieme mail blokkeren of gaten laten voor misbruik.
Maak SPF nog beter met PowerDMARC
SPF is op zichzelf effectief, maar heeft beperkingen. Cybercriminelen hebben manieren gevonden om eenvoudige IP-adrescontroles te omzeilen, vooral door zich te richten op het door de gebruiker zichtbare 'Van'-adres, dat door SPF niet direct wordt beschermd. SPF-technologie wordt aanzienlijk krachtiger en relevanter wanneer deze wordt opgenomen in DMARC.
We koppelen SPF met DKIM en DMARC
DMARC vereist afstemming - wat betekent dat het domein dat wordt gebruikt voor SPF (in het Return-Path) en/of het domein dat wordt gebruikt voor DKIM-ondertekening moet overeenkomen met het domein in de zichtbare 'Van'-header. PowerDMARC helpt u DMARC correct te configureren, waarbij zowel SPF- als DKIM-resultaten worden gebruikt voor robuuste verificatie. We gaan nog een stap verder met AI-gebaseerde bedreigingsinformatie die helpt bij het identificeren van spoofing-aanvallen, zelfs wanneer de basiscontroles slagen.
Rapportage en feedback
SPF noch DKIM alleen geeft de domeineigenaar feedback over e-mails die de authenticatie niet doorstaan of over mogelijke misbruikpatronen. DMARC stelt ontvangende mailservers in staat om gedetailleerde geaggregeerde (RUA) en forensische (RUF) DMARC-rapporten terug te sturen naar de domeineigenaar. Het PowerDMARC-platform verwerkt deze complexe XML-rapporten tot eenvoudig te lezen grafieken, tabellen en waarschuwingen en biedt zo cruciaal inzicht in uw e-mailecosysteem, de naleving van afzenders en bedreigingen. Met behulp van deze analysegegevens kunt u uw SPF/DKIM-configuraties verfijnen en uw e-mailstrategie aanpassen.
Bepaal wat er gebeurt met niet-geverifieerde e-mail
Met DMARC kun je als domeineigenaar een beleid opgeven voor hoe ontvangers moeten omgaan met e-mails die niet voldoen aan zowel SPF- als DKIM-controles (of die niet op elkaar zijn afgestemd). Je kunt kiezen voor `p=none` (alleen controleren), `p=quarantine` (naar spam sturen) of `p=reject` (de e-mail volledig blokkeren). Met PowerDMARC wordt het beheren en uitvoeren van je DMARC-beleid veel eenvoudiger, vaak haalbaar met duidelijke richtlijnen en een eenvoudige interface.
- Een DMARC record maken en publiceren - 3 maart 2025
- Hoe "Geen SPF-record gevonden" repareren in 2025 - 21 januari 2025
- Een DMARC-rapport lezen - 19 januari 2025