Laatst bijgewerkt op 13 mrt. 2024 19:41:43.
Categorie:
E-mail
| Alles over domeinnamen
SPF staat voor “Sender Policy Framework”. Het is een speciale TXT record die in de domeinnaam zone geplaatst wordt en alle servers bevat die mail “mogen” sturen voor die domeinnaam. TXT records kunnen gebruikt worden om belangrijke informatie mee te geven in een domeinnaam zone, één ervan is de SPF waarde, anderen zijn de DMARC waarden, verificatie strings (voor SSL certificaten, onboarding van M365) enzovoort.
SPF is een vorm van email authenticatie.
Bekijk de werking als volgt: als een mail wordt verzonden via uw domeinnaam naar bijvoorbeeld een gmail.com adres, dan zal de ontvangende mailserver via de SPF record nagaan of de server die de mail verzonden heeft (!) deze mail wel mocht verzenden.
Staat de server in de lijst van “servers” in de SPF record, dan zal de mail toegelaten worden, staat de server niet in deze lijst, dan zal de mail geweigerd worden door gmail.com of geflagged worden als een SPAM bericht.
SPF records werken alleen op het originele verzendadres. Ze helpen dus niet tegen e-mail spoofing waarbij het originele from adres nog in de mailheaders zal staan maar het from: adres in de e-mail client een ander adres weergeeft.
Een DMARC (Domain-based Message Authentication, Reporting and Conformance) record pakt dit probleem aan.
U kan meer lezen over een DMARC record in volgend artikel.
Een eenvoudige DNS record kan er als volgt uitzien:
nslookup -type=TXT domeinnaam.be
Dit kan volgende waarde teruggeven:
domeinnaam.be. IN TXT “v=spf1 a mx ip4:192.168.1.1 include:spf.provider.be -all”
De verschillende onderdelen van een SPF-record zijn als volgt:
v: de versie van het SPF-protocol, spf1 in dit geval.
a: dit geeft mee dat de server die ingesteld is als origin mail mag verzenden voor de domeinnaam, dit kan uitgebreid worden met a:<hostnaam> waarbij de server met hostnaam mail mag verzenden voor dit domein.
mx: dit geeft mee dat de servers die inkomende mail behandelen ook mail mogen verzenden voor de domeinnaam.
ip4: dit is bijvoorbeeld een IPv4 adres van een server die mail mag verzenden voor de domeinnaam. Er bestaat ook een ip6 variant, dit is voor IPv6 adressen.
include: dit geeft aan de SPF-record mee dat een andere record mee in de SPF record is opgenomen, in ons voorbeeld wil dit zeggen dat spf.provider.be zélf een SPF record bevat met servers die mail mogen verzenden voor dit domein.
all: de “all” waarde moet steeds achteraan in de SPF-record staan en geeft de standaard waarde door over hoe de record moet “matchen” als er geen van voorgaande waarden overeenstemt.
-all wil zeggen dat berichten die van een server komen die niet in voorgaande lijst van de SPF-record staat steeds als foutieve verzender zal bestempeld worden (spam).
+all wil zeggen dat eender welke server kan verzenden voor deze domeinnaam, dit wordt dus ten sterkste afgeraden!
~all is een zogenaamde “softfail” en zal aan de controlerende mailserver doorgeven dat de server die de mail verzonden heeft mogelijk geen autorisatie heeft om het bericht te verzenden. Het bericht kan mogelijk als spam bestempeld worden
?all is een neutrale instelling van de SPF-record, deze geeft niet door of de server mail mag verzenden of niet.
Wie zich wil verdiepen in SPF, de volledige SPF-specificatie is te vinden op https://datatracker.ietf.org/d...
Als de mail wordt verzonden via een Kinamo mailserver (mail, webmail), moet het SPF-record ten minste de volgende waarden bevatten:
@ IN TXT "v=spf1 include:spf.kinamo.be ~all"
Door include:spf.kinamo.be toe te voegen, geef je aan ontvangende mailservers aan dat Kinamo's mailserver infrastructuur geautoriseerd is om mail te versturen voor jouw domeinnaam.
Het instellen van een SPF-record kan zowel eenvoudig als complex zijn. Vooral als je meerdere servers, mailingsystemen en cloud services gebruikt, kan een SPF record snel een onoverzichtelijke lijst worden met servers die er niet thuishoren.
Als je niet zeker bent over de juiste configuratie van je SPF record, vraag dan een van de Kinamo specialisten om hulp.Werden niet al uw vragen beantwoord?
Geen nood, via een support aanvraag helpen wij u graag verder!
