• Tips >  
  • Bescherm jezelf tegen e-mail spoofing met een SPF-record

 

Nieuws | woensdag 28 februari 2018 Deel op Facebook     

Bescherm jezelf tegen e-mail spoofing met een SPF-record

Het Sender Policy Framework, afgekort SPF, is een internetprotocol dat aangeeft welke mailservers of IP-adressen een e-mail mogen versturen vanuit een bepaalde domeinnaam. Hier leggen we uit wat het is, hoe het is opgebouwd en hoe je het kan toevoegen aan je domeinnaam.

 

De originele standaard om e-mails te versturen - Simple Mail Transfer Protocol (SMTP) - kan niet nagaan of de afzender van een e-mail daadwerkelijk is wie hij beweert te zijn. Die lacune wordt vaak uitgebuit door internetcriminelen om spam- of phishingmails te versturen met vervalste e-mailadressen.

Daarom werd het Sender Policy Framework ofte SPF ontwikkeld. Het internetprotocol controleert of de afzender van een e-mail dat bericht mag versturen namens een bepaalde domeinnaam en draagt op die manier bij aan de vermindering van spam en 'e-mail spoofing'.

Instellen op een domeinnaam

Een SPF-record moet worden ingesteld op een domeinnaam als TXT-record. Hoewel SPF een erkend protocol is, werd er geen aparte standaard ontwikkeld voor het Sender Policy Framework.

In een SPF-record wordt aangegeven welke IP-adressen of mailservers e-mails mogen versturen in naam van de domeinnaam waarop het wordt ingesteld. Daarnaast wordt bepaald hoe streng berichten moeten worden beoordeeld die afkomstig zijn van andere locaties.

Werking

Bij ontvangst van een e-mail zal de ontvangende mailserver controleren of er een SPF-record bestaat op de domeinnaam die het bericht verstuurt. Is de e-mail afkomstig van bijvoorbeeld van 'test@domeinnaam.tips', dan zal de mailserver het SPF-record van domeinnaam.tips opvragen in de nameservers.

Indien een SPF-record wordt gevonden, dan worden de parameters die erin gedefinieerd zijn gecontroleerd. Stemmen die overeen, dan weet de ontvangende mailserver dat de afzender van de e-mail gemachtigd is het bericht in kwestie te versturen. Wanneer uit die controle blijkt dat de e-mail (mogelijk) verstuurd werd vanuit een andere locatie, dan zal de mailserver het bericht markeren of weigeren.

De interactie tussen de mailserver en het SPF-record kan een van de volgende resultaten hebben:

Resultaat Verklaring Actie
Pass Het SPF-record geeft aan dat de host de toestemming heeft om e-mails te verzenden Accepteren
Fail Het SPF-record geeft aan dat de host geen toestemming heeft om e-mails te verzenden Weigeren
SoftFail Het SPF-record geeft aan dat de host geen toestemming heeft om e-mails te verzenden Accepteren en markeren als spam
Neutral Het SPF-record geeft aan dat er niets kan worden gezegd over de validiteit Accepteren
None Er is geen SPF-record geconfigureerd, of het SPF-record leidt tot geen enkel resultaat Accepteren
PermError Er treedt een permanente fout op. De oorzaak kan een foutief geconfigureerd SPF-record zijn Niet nader gespecificeerd
TempError Er treedt een tijdelijke fout op in het overdragen van de parameters van het SPF-record Accepteren of weigeren

Ontleding

Het SPF-record bestaat uit verschillende onderdelen. Aan het begin staat altijd welke versie van het protocol wordt gebruikt:

v=spf1

Dan volgen één of meerdere mechanismen. Een mechanisme kan worden gevolgd door een dubbelpunt en bijhorende waarde. Die waarde kan bijvoorbeeld een IP-adres, MX-record of domeinnaam zijn.

Mechanismen Verklaring
all Geeft alle uitgaande mailservers aan en wordt doorgaans aan het einde van het SPF-record geplaatst
a E-mails worden toegelaten wanneer het IP-adres waarvan de e-mail verzonden wordt gelijk is aan het A- of AAAA-record van de domeinnaam
mx E-mails worden toegelaten wanneer de e-mails verzonden worden vanuit het MX-record van de domeinnaam
ptr E-mails worden toegelaten wanneer het PTR-record correspondeert met het PTR-record van het domein
ip4 Geeft de IPv4 range aan van waaruit e-mails mogen worden verzonden. E-mails worden toegelaten wanneer het IP-adres van de verzender zich binnen die range bevindt
ip6 Geeft de IPv6 range aan van waaruit e-mails mogen worden verzonden. E-mails worden toegelaten wanneer het IP-adres van de verzender zich binnen die range bevindt
exists Is de domeinnaam gekoppeld aan een IP-adres, dan worden e-mails toegelaten. Het exists mechanisme wordt zelden gebruikt
include Verwijst naar de voorwaarden van een ander domein. Wordt aan die voorwaarden voldaan, dan worden de e-mails toegelaten

Hoewel in theorie aan elk mechanisme vervolgens een zogenaamde qualifier kan worden toegevoegd, gebeurt dat in de praktijk bijna nooit. Doorgaans wordt er aan het einde van een SPF-record een qualifier toegevoegd. Een qualifier bepaalt hoe kritisch een mailserver moet omgaan met een verdachte e-mail.

Qualifier Betekenis Verklaring
+ Pass De e-mails worden toegelaten
- Fail De e-mails worden geweigerd
~ SoftFail De e-mails worden toegelaten maar gemarkeerd als spam
? Neutral Er wordt geen policy gedefinieerd

De combinatie van die mechanismen en qualifiers vormt het SPF-record en bepaalt welke IP-adressen en mailservers e-mails mogen versturen namens een bepaalde domeinnaam.

Voorbeelden

Het meest eenvoudige SPF-record is:

v=spf1 mx ~all

en betekent dat alle mailservers die voor de domeinnaam zijn opgegeven als MX-record, e-mails mogen verzenden namens het domein. Alle andere servers hebben geen toestemming om e-mails te versturen.

Een complexer SPF-record:

v=spf1 a:domeinnaam.tips ~all

Het geeft aan dat e-mails mogen worden verzonden vanuit de mailservers op domeinnaam.tips. Alle andere mailservers hebben geen toestemming.

Een laatste voorbeeld:

v=spf1 ipv4:83.96.159.44/31 ~all

In dit SPF-record wordt de range van IP-adressen opgegeven van de mailservers die e-mails mogen verzenden. Mailservers met een ander IP-adres hebben geen toestemming om e-mails te verzenden.

Een SPF-record toevoegen

Een SPF-record creëren en toevoegen kan op twee manieren. Via SPFwizard.net of Mailcheck.be kan je zelf een record genereren. Nadien moet het manueel worden toegevoegd aan een domeinnaam.

Sommige registrars bieden geautomatiseerde tools aan waarmee je een SPF-record kan toevoegen. Andere voegen het automatisch toe aan een domeinnaam wanneer je gebruik maakt van hun e-mailinfrastructuur of geven aan welk SPF-record aan een domeinnaam kan worden toegevoegd. Meestal gaat het dan over een standaard record dat toelaat om e-mails versturen via de mailservers van de registrar. Gebruikers kunnen dat standaard record weliswaar altijd aanpassen.

Hierop moet je letten

Het is belangrijk om een SPF-record correct in te stellen. Een foutief ingesteld record ervoor zorgen dat geen enkele e-mail nog kan worden afgeleverd.

Bovendien mag een SPF-record niet meer dan 10 mechanismen bevatten. Wanneer dat aantal toch wordt overschreden, dan loopt de controle van het record mis, wat op zijn beurt leidt tot een permanente fout.

Tot slot is een SPF-record niet waterdicht. Een goed ingesteld record voorkomt dat kwaadwillige berichten worden verstuurd in jouw naam en markeert of weigert valse berichten. Het Sender Policy Framework is echter geen manier om àlle spam- en phishingmails te vermijden.

 


Lees meer over : SPF-record | e-mail | spam | SMTP | spoofing

 

Deel dit artikel  Deel op Facebook     

   

Abonneer op onze nieuwsbrief

Ontvang iedere woensdag tips en het laatste nieuws over domeinnamen in je mailbox.

Partners

Domeinnaam registreren bij Nomeo cloudstar
Persberichten - Adverteren - Sitemap - Privacy & gebruiksovereenkomst - 2015-2016 © Kreos Services bvba