SPF-records: alles wat je erover moet weten

Geplaatst op

E-mailbeveiliging en SPF-records

E-mailbeveiliging is essentieel voor het beheren van een domein en het beschermen van je online reputatie. Een belangrijk hulpmiddel hiervoor is het SPF-record. In deze blog bespreken we wat een SPF-record is, waarom het belangrijk is en hoe je het instelt en beheert.

Wat is een SPF-record?

SPF staat voor Sender Policy Framework en is een e-mailverificatieprotocol dat voorkomt dat spammers e-mails verzenden namens jouw domein. Dit gebeurt door een DNS-record toe te voegen waarin wordt vastgelegd welke mailservers bevoegd zijn om e-mails te verzenden namens jouw domein.

Wanneer een e-mailserver een bericht ontvangt, controleert deze het SPF-record van het verzendende domein. Als de server in het record voorkomt, wordt de e-mail geaccepteerd. Zo niet, dan kan het bericht als spam worden gemarkeerd of geweigerd.

SPF werkt op basis van een whitelist van geautoriseerde servers. Hierdoor kan de ontvangende mailserver bepalen of een e-mail legitiem is of niet. Dit helpt niet alleen bij het beveiligen van inkomende e-mails, maar ook bij het beschermen van je domein tegen misbruik.

Hoe voorkomt het SPF-record misbruik van je e-mailadres?

E-mailspoofing en phishing zijn vormen van misbruik waarbij aanvallers valse e-mails versturen die lijken op legitieme berichten. Dit kan leiden tot vertrouwensverlies en financiële schade. Een SPF-record helpt dit te voorkomen door te verifiëren of de verzendende server gemachtigd is om e-mails namens jouw domein te verzenden. Ongeautoriseerde e-mails kunnen als verdacht worden gemarkeerd of geweigerd.

Daarnaast helpt SPF bij het verbeteren van de deliverability van e-mails. E-mailproviders zoals Gmail, Yahoo en Outlook gebruiken SPF als een van de criteria om te bepalen of een e-mail als legitiem wordt beschouwd. Door SPF correct in te stellen, verklein je de kans dat jouw e-mails in de spamfolder belanden.

De opbouw van het SPF-record

Een SPF-record is een TXT-record in het DNS van je domein. Het bevat een lijst van geautoriseerde mailservers. Belangrijke onderdelen zijn:

  • v=spf1: Geeft aan dat het om een SPF-record gaat.
  • a: Staat toe dat de A-records van het domein e-mails verzenden.
  • mx: Staat de MX-records van het domein toe.
  • include: Voegt andere domeinen toe die e-mails mogen verzenden.
  • all: Bepaalt hoe e-mails buiten de SPF-regels worden behandeld (-all voor weigeren, ~all voor markeren als verdacht).

Voorbeeld SPF-record:

v=spf1 a mx include:_spf.google.com -all

Dit record geeft aan dat de A- en MX-records van het domein, evenals de servers van Google, e-mails mogen verzenden, terwijl andere servers worden geweigerd.

Het is belangrijk om je SPF-record niet te lang te maken. SPF-records hebben een limiet van 10 DNS-lookups. Als je meer dan 10 “include”-verklaringen gebruikt, kan dit leiden tot fouten in de SPF-verificatie, waardoor legitieme e-mails alsnog geweigerd worden.

Hoe wijzig of voeg ik een SPF-record toe?

Het toevoegen of wijzigen van een SPF-record verloopt als volgt:

  1. Log in op het controlepaneel van je DNS-provider.
  2. Voeg een nieuw TXT-record toe.
  3. Laat de domeinnaam leeg voor het hoofddomein.
  4. Voer de SPF-recordwaarde in, bijvoorbeeld: v=spf1 a mx include:_spf.google.com -all.
  5. Sla de wijzigingen op en wacht op de DNS-updates (meestal enkele uren).

Na het instellen van een SPF-record is het verstandig om de configuratie te testen. Dit kan met online tools zoals “MXToolbox SPF Lookup” of “Google Admin Toolbox”. Zo kun je controleren of je SPF-record correct werkt en geen fouten bevat.

Waarom heb je SPF-records nodig?

SPF-records verbeteren de e-mailreputatie, verminderen de kans op spam en phishing en zorgen voor een betere leverbaarheid van e-mails. Vooral bedrijven en organisaties die gevoelige informatie versturen, zoals financiële instellingen en e-commercebedrijven, hebben baat bij SPF-records.

Daarnaast dragen SPF-records bij aan de algehele beveiliging van e-mailinfrastructuur door te helpen bij de implementatie van aanvullende beveiligingsmaatregelen zoals DKIM (DomainKeys Identified Mail) en DMARC (Domain-based Message Authentication, Reporting & Conformance). DKIM voegt een digitale handtekening toe aan uitgaande e-mails, terwijl DMARC helpt bij het afdwingen van SPF- en DKIM-beleidsregels.

Wie heeft een SPF-record nodig?

Iedereen die een domein bezit en e-mails verzendt namens dat domein, kan baat hebben bij het gebruik van een SPF-record. Dit omvat bedrijven, organisaties en individuen die hun e-mailbeveiliging willen verbeteren en de kans op e-mailmisbruik willen verminderen.

Voorbeelden van organisaties die SPF-records zouden moeten gebruiken, zijn onder andere bedrijven die gevoelige informatie via e-mail verzenden, zoals financiële instellingen, gezondheidszorgorganisaties en e-commercebedrijven. Zelfs kleine bedrijven en freelancers die zakelijke e-mails verzenden, kunnen profiteren van SPF-records om hun communicatie betrouwbaarder te maken.

Hoe stel ik SPF in?

Het instellen van een SPF-record is een relatief eenvoudig proces. Volg deze stapsgewijze handleiding om een SPF-record in te stellen:

  1. Log in op het controlepaneel van je DNS-provider.
  2. Zoek de optie om een nieuw TXT-record toe te voegen.
  3. Voer de naam van je domein in (meestal wordt dit veld leeg gelaten voor het hoofddomein).
  4. Voer de waarde van het SPF-record in, bijvoorbeeld: v=spf1 a mx include:_spf.google.com -all.
  5. Sla de wijzigingen op en wacht tot de DNS-instellingen zijn bijgewerkt (dit kan enkele uren duren).

Veelvoorkomende fouten bij SPF-records

  1. Overly Permissive SPF Records: Het gebruik van te brede IP-reeksen of het eindigen van je SPF-record met “+all” kan leiden tot misbruik door spammers. Dit geeft namelijk de hele wereld toestemming om e-mails te verzenden namens jouw domein.
  2. Duplicate SPF TXT Records: Een domein mag slechts één SPF-record hebben. Meerdere records kunnen leiden tot fouten. Als je meerdere diensten gebruikt, moet je hun SPF-records samenvoegen in één enkele verklaring.
  3. SPF Character Limits: SPF-records hebben een limiet van 255 tekens per string. Als je meer tekens nodig hebt, kun je meerdere strings in één DNS-record gebruiken.
  4. DNS Lookup Limiet: SPF-records mogen niet meer dan 10 DNS-lookups bevatten. Het overschrijden van deze limiet kan leiden tot fouten in de SPF-verificatie.

Best practices voor SPF-records

  • Houd het record beknopt: Zorg ervoor dat je SPF-record onder de 255 tekens blijft voor elke DNS TXT-invoer en vermijd het overschrijden van de 10 DNS-lookups limiet.
  • Update regelmatig: Werk je SPF-record bij wanneer je nieuwe IP’s of diensten toevoegt om leveringsproblemen te voorkomen.
  • Gebruik SoftFail (~all) bij testen: Gebruik de ~all (SoftFail) mechanisme bij het instellen of testen van een nieuw SPF-record om e-mailleveringsonderbrekingen te minimaliseren voordat je overschakelt naar -all (HardFail).
  • Voeg derde partijen toe: Als je e-mailwerk hebt uitbesteed aan externe diensten, voeg hun verzendbronnen toe aan je SPF-record met behulp van het ‘include’ mechanisme.

Door deze best practices te volgen, kun je ervoor zorgen dat je SPF-record effectief is in het beschermen van je domein tegen e-mailmisbruik en het verbeteren van de leverbaarheid van je e-mails.