Nieuws | donderdag 11 februari 2016 Deel op Facebook     

De anatomie van een SPF-record

Het Sender Policy Framework is een protocol dat verifieert of de verzender van een e-mail gerechtigd is die te verzenden namens het domein van de afzender. Het is ontworpen om spammails te beperken. Hier leggen we uit wat het is, hoe het is opgebouwd en hoe je het toevoegt.

 

Het Sender Policy Framework (SPF) is een protocol dat verifieert of de verzender van een e-mail gerechtigd is die te verzenden namens de afzender. Een SPF-record bevat informatie over welke servers e-mails mogen verzenden namens het domein van de afzender.

Het SPF levert zo een bijdrage aan het beperken van spammails, of voorkomt dat legitieme e-mails onterecht in de map 'ongewenste mail' belanden.

 

Werking

Bij ontvangst van een e-mail zal de mailserver een SPF-record opvragen voor de domeinnaam die als afzender is ingesteld. Is de e-mail bijvoorbeeld afkomstig van test@domeinnaam.tips, dan zal het de nameservers van domeinnaam.tips vragen naar het SPF-record.

Bestaat er een SPF-record, dan zal het de parameters die gedefinieerd zijn in het SPF-record controleren. Stemmen die overeen, dan weet de ontvangende mailserver dat de mailserver, die de e-mail heeft verzonden, geautoriseerd is namens domeinnaam.tips e-mails te verzenden.

 

Resultaten

De interactie tussen de ontvangende mailserver en het SPF-record kan een van de volgende resultaten hebben:

Resultaat Verklaring Actie
Pass Het SPF-record geeft aan dat de host de toestemming heeft om e-mails te verzenden Accepteren
Fail Het SPF-record geeft aan dat de host geen toestemming heeft om e-mails te verzenden Weigeren
SoftFail Het SPF-record geeft aan dat de host geen toestemming heeft om e-mails te verzenden Accepteren en markeren als spam
Neutral Het SPF-record geeft aan dat er niets kan worden gezegd over de validiteit Accepteren
None Er is geen SPF-record geconfigureerd, of het SPF-record leidt tot geen enkel resultaat Accepteren
PermError Er treedt een permanente fout op. De oorzaak kan een foutief geconfigureerd SPF-record zijn Niet nader gespecificeerd
TempError Er treedt een tijdelijke fout op in het overdragen van de parameters van het SPF-record Accepteren of weigeren

 

Ontleding

Omdat er geen apart SPF-record bestaat in het Domain Name System (DNS), moet het worden ingesteld als TXT-record op een domeinnaam.

Het SPF-record bevat verschillende delen. Aan het begin staat altijd te lezen welke versie van het protocol wordt gebruikt:

v=sp1

Dan volgen een of meerdere mechanismen (of parameters). Een mechanisme kan gevolgd worden door een dubbelpunt en bijhorende waarde. Een mechanisme wordt zo concreter gedefinieerd.

Mechanismen Verklaring
all Geeft alle uitgaande mailservers aan en wordt doorgaans aan het einde van het SPF-record geplaatst
a E-mails worden toegelaten wanneer het IP-adres waarvan de e-mail verzonden wordt gelijk is aan het A- of AAAA-record van de domeinnaam
mx E-mails worden toegelaten wanneer de e-mails verzonden worden vanuit het MX-record van de domeinnaam
ptr E-mails worden toegelaten wanneer het PTR-record correspondeert met het PTR-record van het domein
ip4 Geeft de IPv4 range aan van waaruit e-mails mogen worden verzonden. E-mails worden toegelaten wanneer het IP-adres van de verzender zich binnen die range bevindt
ip6 Geeft de IPv6 range aan van waaruit e-mails mogen worden verzonden. E-mails worden toegelaten wanneer het IP-adres van de verzender zich binnen die range bevindt
exists Is de domeinnaam gekoppeld aan een IP-adres, dan worden e-mails toegelaten. Het exists mechanisme wordt zelden gebruikt
include Verwijst naar de voorwaarden van een ander domein. Wordt aan die voorwaarden voldaan, dan worden de e-mails toegelaten

 

In theorie kan aan elk mechanisme een qualifier worden toegevoegd. In de praktijk wordt dat zelden gedaan. Doorgaans wordt alleen aan het all mechanisme, aan het einde van het SPF-record, een qualifier toegekend. De mogelijke qualifiers zijn:

Qualifier Betekenis Verklaring
+ Pass De e-mails worden toegelaten
- Fail De e-mails worden geweigerd
~ SoftFail De e-mails worden toegelaten maar gemarkeerd als spam
? Neutral Er wordt geen policy gedefinieerd

 

Mechanismen en qualifiers kunnen met elkaar worden gecombineerd. Die combinatie vormt dan het uiteindelijke SPF-record, dat bepaalt welke mailservers e-mails mogen verzenden namens het domein.

 

Voorbeelden

Het meest eenvoudige SPF-record is:

v=spf1 mx ~all

en betekent dat alle mailservers die voor de domeinnaam zijn opgegeven als MX-record, e-mails mogen verzenden namens het domein. Alle andere servers hebben geen toestemming om e-mails te versturen.

Een complexer SPF-record:

v=spf1 a:domeinnaam.tips ~all

Het geeft aan dat e-mails mogen worden verzonden vanuit de mailservers op domeinnaam.tips. Alle andere mailservers hebben geen toestemming.

Een laatste voorbeeld:

v=spf1 ipv4:83.96.159.44/31 ~all

In dit SPF-record wordt de range van IP-adressen opgegeven van de mailservers die e-mails mogen verzenden. Mailservers met een ander IP-adres hebben geen toestemming om e-mails te verzenden.

 

Een SPF-record toevoegen

Een SPF-record genereren en toevoegen kan op twee manieren. Het kan worden gegenereerd via verschillende websites, zoals SPFwizard.net of SPFwizard.com. Vervolgens moet het SPF-record manueel worden toegevoegd aan de domeinnaam als TXT-record.

Verschillende registrars geven aan de hand van een stappenplan aan hoe je een SPF-record toe moet voegen, of stellen het automatisch in op je domeinnaam. Vaak gaat het dan over een standaard record dat toelaat e-mails te versturen via de mailservers van de registrar in kwestie.

Het genereren en toevoegen van een SPF-record kan ook automatisch gebeuren. Zo heeft Nomeo een SPF-wizard waarmee je snel en eenvoudig een SPF-record genereert en toevoegt aan je domeinnaam.

 

Opgelet

Het is belangrijk dat het SPF-record correct wordt geconfigureerd. Een foutief ingesteld SPF-record kan ervoor zorgen dat Internet Service Providers (ISP's) weigeren om de e-mails af te leveren.

Een SPF-record mag ook niet te lang zijn. Het mag niet meer dan 10 DNS requests bevatten. Daarom is het aangewezen het aantal include mechanismen te beperken. Bevat een SPF-record meer dan 10 requests, dan zal de interactie tussen de mailserver en het SPF-record resulteren in een PermError.

Géén SPF-record is, met andere woorden, beter dan een foutief ingesteld SPF-record. Heb je geen SPF-record, dan worden je e-mails afgeleverd, maar ondergaan ze een strengere spamcontrole.

Deel dit artikel  Deel op Facebook     

   

Abonneer op onze nieuwsbrief

Ontvang iedere woensdag tips en het laatste nieuws over domeinnamen in je mailbox.

Partners

Domeinnaam registreren bij Nomeo DomeinDeals - domeinnaamregistratie voor webprofessionals cloudstar
Persberichten - Adverteren - Sitemap - Privacy & gebruiksovereenkomst - 2015-2016 © Kreos Services bvba