SPF-record aanpassen
Wat is een SPF-record en hoe pas je deze aan?
Wat is een SPF-record?
De term 'SPF' staat voor Sender Policy Framework. SPF-records zorgen ervoor dat kwaadwillenden je domeinnaam niet kunnen vervalsen. Ontvangende servers kunnen het SPF-record die je in je DNS publiceert, gebruiken om te bepalen of een ontvangen e-mail afkomstig is van een geautoriseerde server. Op basis hiervan wordt dan besloten hoe de betreffende e-mail verwerkt moet worden.
Waar bestaat een SPF-record uit?
- ip4: Komt overeen met een enkel IPv4-adres of IPv4-netwerkbereik.
- ip6: Komt overeen met een enkel IPv6-adres uit het IPv6-netwerkbereik.
- a: Komt overeen met een hostnaam of domeinnaam. De IP-adressen waarnaar de naam in DNS wordt herleid, worden vergeleken met het IP-adres van de afzender. Dit mechanisme is handig voor het vergelijken met het IP-adres van een webserver op basis van de domeinnaam.
- mx: Komt overeen met de MX-records voor het domein. Dit mechanisme is handig wanneer de uitgaande e-mail wordt afgehandeld door dezelfde servers waarnaar de MX-records verwijzen voor inkomende e-mail.
- include: Vergelijkt de afzender-IP met de SPF-record van een ander domein. Dit wordt vaak gebruikt wanneer uw uitgaande e-mail wordt gerouteerd via een cloudservice zoals Exchange.
- all: Komt overeen met elke host, en wordt aan het einde van het SPF-record geplaatst als een "catch all" voor alle afzenders die niet overeenkwamen met andere mechanismen die ervoor staan.
Het is zeer belangrijk dat je SPF-record eindigt met een ~all
of -all
. Dit geeft namelijk aan welke policy de ISP server moet toepassen op de mail.
De volgende syntaxen kun je voor all
zetten, echter adviseren wij om alleen ~all
of -all
te gebruiken.
- -all: Fail - servers die niet in het SPF-record staan, zijn niet geautoriseerd om e-mail te verzenden. e-mails die niet aan de eisen voldoen, worden geweigerd.
- ~all: Softfail - De e-mail die wordt ontvangen van een server die niet in de lijst staat, wordt de e-mail gemarkeerd als een soft fail. De e-mails worden geaccepteerd maar gemarkeerd.
- +all: Wij raden sterk af om deze optie te gebruiken, dit zorgt er namelijk voor dat elke server mail mag verzenden vanaf je domein.
- ?all: Neutral - zorgt ervoor dat alle mails worden doorgelaten, dit kan ervoor zorgen dat de ontvanger onbetrouwbaare mails ontvangt.
Hoe ziet het SPF-record er uit?
Over het algemeen bevat een SPF-record het ipv4 en ipv6 record van de server waarop ze staan.
Wanneer je via SSH op een Hipex server inlogt zie je deze IP's bovenaan staan. Deze ipv4 en ipv6 IP's voeg je toe aan het SPF-record.
Voorbeeld SPF-record
v=spf1 a mx ip4:(serveripv4) ip6:(serveripv6) -all
SPF-record lookup limiet
In het SPF-record mogen er maar slechts 10 lookups toegevoegd worden om de belasting van de e-mail ontvanger te beperken. De volgende mechanismen worden gezien als lookup:
- a
- mx
- include
- require
- ptr
Indien dit limiet overschreden is worden de lookups welke volgen na de 10e niet meer als geldig beschouwt. Mocht dit limiet overschreven worden dient het SPF-record opgeschoond te worden. Verwijder hierbij de lookups welke niet meer gebruikt worden. Let op! Indien een lookup verwijderd word welke wel gebruikt word kan dit problemen geven
Je kunt hier jouw SPF-record testen.