SPF2018-02-03T00:04:40+00:00

iedereen aan het werk

SPF staat voor Sender Policy Framework en is een protocol waarmee spam zoveel mogelijk wordt tegengegaan. Het systeem zorgt er voor dat er een controle wordt uitgevoerd op de servers die mails versturen. Hierdoor kunnen alleen toegestane systemen mails versturen namens de afzender.

Hieronder leggen we uit wat SPF precies doet en hoe wij ze gebruiken.

Hoe werkt een SPF record?

SPF controleert of de mailserver die een e-mail wil versturen namens het e-maildomein deze e-mail mag verzenden. SPF specificeert een technische methode om afzenderadres-vervalsing detecteerbaar te maken. SPF biedt de mogelijkheid te controleren of een bericht aangeleverd wordt vanaf een server die daartoe gerechtigd is. Dit doet SPF door de authenticiteit van de domeinnaam in het afzenderadres van de ontvangen mail herleidbaar te maken via de in DNS gepubliceerde IP-adressen van de verzendende mailserver(s). Indien een mailserver niet in de lijst met gepubliceerde IP-adressen staat (de zogeheten SPF-records) maar toch mail verstuurt met het betreffende domein als afzender, dan wordt de mail als niet geauthenticeerd beschouwd.

De opbouw van een SPF record

Een SPF record begint altijd met een “v=” gedeelte. Hiermee wordt aangegeven dat de content in het TXT record een SPF record is en geeft het ook aan welke versie van het SPF protocol (bijvoorbeeld v=spf1) je gebruikt. Dit gedeelte is essentieel voor de werking van het SPF record, want anders wordt het gehele record genegeerd door de SPF-clients.

Daarna wordt er aan de hand van mechanismes en qualifiers aangegeven wanneer een domein überhaupt e-mail mag versturen. In de mechanismes geef je aan welke uitgaande mailservers als betrouwbaar worden beschouwd. De qualifiers geven aan wat er met de betreffende e-mails gebeurt (wel of niet doorlaten). Hieronder worden deze verder uitgelegd:

Mechanismes

allHiermee geef je alle uitgaande mailservers aan
aAls het IP adres waar de verzender vandaan mailt gelijk is aan het IP adres (A record) van het domein, dan wordt de mail toegelaten.
ip4Als de verzender zich in de IP4 IP range bevindt, wordt de mail toegelaten. Voeg het IP adres toe na ‘’ip4’’ om het IP adres te whitelisten.
ip6Als de verzender zich in de IP6 IP range bevindt, wordt de mail toegelaten. Voeg het IP adres toe na ‘’ip6’’ om het IP adres te whitelisten.
mxWanneer de mail verstuurd wordt vanuit het MX record van het domein, dan wordt de mail toegelaten.
existsWanneer het domein gekoppeld staat aan een IP adres, dan wordt de mail toegelaten.
includeAls aan de voorwaarden in het record (dat geïnclude wordt) voldaan is, dan wordt de mail toegelaten.

Qualifiers

Elk mechanisme kan je combineren met een van de vier onderstaande qualifiers:

  • + geeft een PASS resultaat. De mail wordt altijd doorgelaten.
  • ? geeft een NEUTRAL resultaat. Mail wordt doorgelaten, omdat er geen mening gegeven wordt over de e-mail (no policy).
  • ~ voor een SOFTFAIL resultaat. Mail wordt dan wel toegelaten maar kan als spam beschouwd worden en in de spamfolder terecht komen.
  • voor een FAIL resultaat. De mail wordt dan NIET geaccepteerd door de ontvangende mailserver.

SPF records bij ROMA

Wij hebben momenteel voor alle door ons gehoste domeinnamen SPF records toegevoegd. Omdat wij niet direct na kunnen gaan of iemand ook nog gebruik maakt van andere mailsystemen hebben wij standaard een “softfail” mechanisme. Mails die verstuurd worden door servers die niet in het SPF record staan worden als neutraal beoordeeld, maar kunnen door sommige systemen wel als “spam” gemarkeerd worden. Office365, Hotmail en Gmail zijn hier een voorbeeld van.

Hoe voeg je een eigen mailserver toe aan je SPF record?

Gebruik je een eigen mailserver en wil je dat deze mailserver ook e-mail mag versturen vanaf jouw domein? Whitelist dan jouw mailserver door het IP adres van deze server toe te voegen aan het SPF record. Je kunt dan behalve met onze mailservers ook met je eigen mailserver mailen vanaf jouw domein.

Extra beveiliging

Voor steeds meer klanten zetten we de SPF records op FAIL i.p.v. SOFTFAIL. Hiermee is gegarandeerd dat niemand anders mails kan versturen met jouw domeinnaam.

In de komende periode zullen we dit verder uitbreiden om uiteindelijk iedereen te voorzien van maximale beveiliging. Fraude met e-mail komt steeds vaker voor en kan zorgen voor veel verwarring, kosten en ergernis. Denk aan valse facturen, virussen en cryptolockers.