ROAN Internetbureau Gorzow Wielkopolski LOGO - Websites SEO Hosting
Virtuele particuliere server

SPF voor mailbescherming

SPF(Sender Policy Framework) – Een hulpmiddel om te bepalen welke servers gemachtigd zijn om namens ons domein mail te verzenden. Dat wil zeggen, de invoer voor het domein example.com zal specificeren wat er moet gebeuren met berichten van een persoon op @example.com. Hiermee kunt u een bericht weigeren of alleen markeren en u op de hoogte brengen van een mogelijke poging om zich voor te doen als dat domein.

SPF-controle

Een eenvoudige regel om SPF te controleren is de DNS server te vragen naar het domein txt record van het email adres (bijv. info@roan24.pl is het domein roan24.pl). Dus “dig roan24.pl txt” zal ons terugbrengen: “v=spf1 a mx ip4:178.33.3.224 -all” dat wil zeggen, het domein heeft een spf versie 1 entry (v=spf1), en kan vanaf het gegeven domein alleen mail versturen vanaf ip adressen die in de A (a), MX (mx) entry staan, of heeft een ip versie 4 178.33.3.224 (ip4:178.33.3.224). Hoe a- en mx-gegevens werken, kunt u lezen in ons DNS-basisartikel.
Dan rest alleen nog te controleren wat te doen met het bericht, d.w.z. de “all” entry, meest gebruikt is “~all” wat betekent accepteren maar de mogelijkheid van fraude aanmerken, of “-all” als de verzendende server niet op de SPF lijst staat dan het bericht afwijzen zonder verdere controle.

Hoe SPF in te voeren

Een gedetailleerde beschrijving van de volledige syntaxis is te vinden op de openspf website, maar dan in de Engelse versie. Ik zal hier echter, hopelijk begrijpelijk, beschrijven welke syntaxis we moeten gebruiken om SPF op ons domein in te voeren.
Dus ja, we zullen altijd v=spf1 gebruiken aan het begin, aangezien ik hier versie één van spf beschrijf (er is voorlopig geen versie twee). Dus we hebben een ingang:
v=spf1
Dit item zegt ons nog niets, laten we er een all tag aan toevoegen – het betekent hoe we het bericht moeten behandelen dat we spf controleren. En zo kunnen we het vooraf laten gaan door vier tekens “+” wat betekent dat het in orde is, “-” wat betekent dat het niet in orde is, “~” dat het verdacht is, “?” neutraal.
En dus als de vermelding er “+all” uitziet en de verzendende host staat niet op de lijst, dan moeten we zo’n bericht accepteren.
Als het “~all” is en de host staat niet op de lijst, dan moeten we zo’n bericht accepteren, maar het markeren als een spf-fout, of als verdacht van spam.
Als we “-all” hebben, betekent dat volgens mij dat als de server niet in de lijst staat, het bericht van die server moet worden geweigerd.
De vermelding “?all” betekent dat er in principe niets is gebeurd of het er is of niet – kortom er zou geen vermelding kunnen zijn.
Ik raad aan om “~all” te gebruiken als uw adressen vaak veranderen en u problemen kunt hebben om ze allemaal in te typen, of “-all” als u de exacte adressen van uw servers kent en ze niet te vaak veranderen.
v=spf1 -all
Met een begin en een eind zullen we nu de ip-adressen of vermeldingen (in het midden van de vermelding) in onze lijst invoeren.
A – d.w.z. de server in entry a mag mail versturen. OPMERKING Als u een proxy of cdn (bijv. cloudflare) gebruikt, moet u dit niet invoeren omdat uw mailserver niet gemachtigd mag worden om namens u mail te verzenden.
MX – Er zij op gewezen dat, indien het serveradres in de MX regel wordt gewijzigd, de SPF regel niet meer behoeft te worden gewijzigd, hetgeen het werk vergemakkelijkt, soms kan het voorkomen dat wij een gateway gebruiken om mail te ontvangen en deze regel niet moet worden gebruikt.
ip4 – d.w.z. één ip-adres of ip/maskeradres (b.v. 192.168.0.0/24 is – 192.168.0.0 tot 192.168.0.255) betekent de specifieke ip-adressen van versie vier die gemachtigd zijn om mail te verzenden.
ip6 – volgens hetzelfde principe als ip4-adressen, maar het betreft alleen versie 6-adressen.
Er zijn ook extra ingangen zoals “include” en “redirect”, include append entries van het gespecificeerde domein (via een txt search) en redirect redirects naar een ander domein waar we SPF richtlijnen kunnen vinden in de txt entry.
Ook het aanmaken van een SPF entry is niet moeilijk, zelfs voor grotere mail providers en wordt aanbevolen, maar vergeet niet dat je het moet updaten wanneer je het ip adres van de mail server wijzigt en het wordt niet toegevoegd door MX. Voor kleine domeinen raden wij aan om korte entries te gebruiken met alleen de mx entry toegevoegd, bijvoorbeeld. is voldoende voor al onze klanten:
v=spf1 mx ip4:178.33.3.224 -all

Samenvatting

SPF is niet ideaal om onze mail te beveiligen, maar het is gemakkelijk genoeg in te voeren en kan, als het goed is geformatteerd, phishing in verband met de imitatie van ons maildomein aanzienlijk beperken.

Door gebruik te maken van de website, zonder uw browserinstellingen te wijzigen, stemt u in met het privacybeleid en de opslag van cookies die een efficiënte werking van onze website mogelijk maken.