SPF-record: wat is het en wat doet het?

Volgen

Dit artikel legt uit wat SPF is en hoe je het gebruikt om Procurios te authoriseren om emails te versturen via jouw domein en te voorkomen dat je domein wordt misbruikt door spammers.

Wat is een SPF-record?

Het SPF of Sender Policy Framework record is een systeem dat helpt om te valideren of een e-mail die namens een bepaalde domeinnaam verzonden is, geautoriseerd is door de eigenaar/beheerder van die domeinnaam. Het systeem is ontworpen om spam te beperken.

In een SPF-record omschrijf je welke servers namens het domein e-mail mogen verzenden. Een ontvangende server kan onder andere op basis van het SPF-record besluiten om een e-mail door te laten, te markeren als onveilig of helemaal te weigeren.

SPF record aanmaken

Als er nog geen SPF-record aanwezig is op jouw domein dan adviseren wij je om een nieuw SPF-record aan te maken. Heb je al een bestaand SPF-record op uw domein? Dan adviseren wij je om het SPF record te controleren. Beide situaties staan hieronder beschreven.

Tip: Beheert Procurios jouw domein? Neem dan contact met ons op zodat wij in overleg het SPF record kunnen controleren.

1. Nieuw SPF-record aanmaken
  1. Maak een nieuw DNS-record aan van het type TXT
  2. Neem deze tekst op in het record: v=spf1 include:procurios.net ~all

Tip: neem ook je uitgaande mailserver op in het SPF-record. Verstuur je e-mail via Google Apps? Dan ziet je SPF-record er zo uit: v=spf1 include:_spf.google.com include:procurios.net ~all.

2. Bestaand SPF-record

Heb je reeds een bestaand SPF record? Staan alle verzendende mailservers in het SPF record? Zo niet, pas het SPF record dan aan volgens de hierboven beschreven instructies.

Wat betekenen de onderdelen van het SPF-record?

Een SPF-record bestaat uit verschillende onderdelen. Ieder onderdeel heeft een eigen functie:

  • v=spf1
    Hiermee wordt de versie van het SPF-record aangeduid. Het is altijd het begin van een SPF-record

Controle mechanismen

Dit zijn de voornaamste mechanismen die gebruikt worden om de verzender te controleren

  1. all
    Matcht altijd
  2. a
    Matcht als het domein een A of AAAA record heeft  dat resolved naar het IP van de verzender
  3. ip4
    Matcht als het opgegeven IPv4 adres of range overeen komt met het IP van de verzender
  4. ip6
    Matcht als het opgegeven IPv6 adres of range overeen komt met het IP van de verzender
  5. mx
    Matcht als het domein een MX record heeft dat resolved naar het IP van de verzender. Bijvoorbeeld als de mail afkomstig is van een inkomende mail server van het domein
  6. include
    Dit is een reference naar de policy van een ander domein. Als de policy van dat domein matcht, matcht dit mechanisme ook

Qualifiers

Elk controle mechanisme kan worden gecombineerd met één van de vier qualifiers:

  1. +
    Voor een PASS resultaat. Dit is eigenlijk overbodig omdat +mx identiek is aan mx
  2. ?
    Voor een NEUTRAAL resultaat. Dit wordt geïnterpreteerd alsof er geen policy aanwezig is
  3. ~ (tilde)
    Voor een SOFTFAIL resultaat. Berichten die een SOFTFAIL meekrijgen worden meestal getagged maar niet geweigerd
  4. - (min)
    Voor een FAIL resultaat. Het bericht moet worden geweigerd
Hebt u meer vragen? Een aanvraag indienen

Opmerkingen

Mogelijk gemaakt door Zendesk