Wat is een SPF record?

Een SPF record (Sender Policy Framework record) is de basis van een SPF implementatie waarin het SPF beleid is gedefinieerd. Een SPF record is gepubliceerd in de DNS (Domain Name Service) en het bevat een lijst van geautoriseerde e-mailservers, die uit uw domeinnaam e-mails kunnen versturen. Als een e-mail verzender niet aan de record is toegevoegd en toch e-mails uit uw domeinnaam verstuurd, wordt de e-mail niet goedgekeurd en zal deze worden geweigerd door de ontvanger.

Een goed opgezette SPF record zal ervoor zorgen dat de e-mail deliverability verbeterd en zal helpen om uw domein te beschermen tegen kwaadaardige mails die verstuurd worden uit uw domeinnaam. In de praktijk worden deze doelstellingen effectiever bereikt als je een SPF record combineert met DMARC. DMARC en DMARC Analyzer gebruiken beide SPF en DKIM. Samen zorgen zij voor synergy en het beste resultaat voor e-mailbeveiliging en deliverability.

SPF Record in de praktijk
Een SPF record bestaat uit verschillende onderdelen. Het SPF record begint altijd met een versienummer en wordt gevolgd door 1 of meerdere mechanismen die betrouwbare zenders valideren.

v=spf1
Dit onderdeel definieert de record als SPF. Een SPF record moet beginnen met deze sectie. Dit was voorheen een tweede versie van SPF (SenderID) die gemaakt was door Microsoft, maar dit is verouderd.

Mechanisms
Een SPF record kan meerdere mechanismen bevatten.

a
a:somedomain.com
a/prefix
a:somedomain.com/prefix

Definieer de DNS record van het huidige (of specifieke) domein als een betrouwbare verzend bron.

mx
mx:somedomain.com
mx/prefix
mx:somedomain.com/prefix

Definieer de DNS MX record van het huidige (of specifieke) domein als een betrouwbare verzend bron.

ptr
ptr:domain

Definieer de omgekeerde hostnaam van het IP adres van de verzender als een betrouwbare verzend bron. (niet aangeraden).

ip4:ip4-address
ip4:ip4-address/prefix

Definieer dit IPv4 adres (of adres rang) als een betrouwbare verzendbron.

ip6:ip6-address
ip6:ip6-address/prefix

Definieer dit IPv6 adres (of adres rang) als een betrouwbare verzendbron.

include:domain.com
Sluit het SPF-record voor dit domein in als een geldige verzendbronnen.

exists:domain
Controleer het bestaan van een A-record voor een voorzien domein. U kunt macro’s in deze context gebruiken om een ‘dynamische’ zoektocht van een dergelijk record te kunnen doen.

all
Je kan een beleid definiëren voor “alle andere bronnen” door gebruik te maken van het “all” mechanisme. Je moet dit plaatsen aan het einde van je SPF record om een “default” te verstrekken voor andere bronnen. Gebruik een qualifier om het beleid te definiëren wat u wilt.

redirect=domain.com
Wanneer het nodig is kunt u de SPF record doorverwijzen naar een ander domein. Er kan slechts 1 modifier zijn in elke SPF record. Dit kan niet gecombineerd worden met een “all” mechanisme omdat de redirect alleen gevolgd wordt als geen van de mechanismen matchen.

Maximum number of lookups
Als u gebruik maakt van SPF moet u opletten op de beperking van deze techniek. Het aantal van DNS aanroepen, die toegestaan zijn, is beperkt tot 10.

Een DNS-Lookup wordt gedaan wanneer u een van deze mechanismen aanroept:

  • a
  • mx
  • ptr
  • include
  • exists

Let op dat “genestelde opzoekingen” ook tellen. Als een “included” domein een A en MX opzoeking doet, telt dit in allebei de gevallen als een aanroep voor je domein.