18-01-2021 - Als je een e-mail verstuurt, dan wordt nergens gecontroleerd wie de daadwerkelijke afzender is. Criminelen kunnen dit uitbuiten voor fraude en je (online) reputatie stevige schade toebrengen. Het Sender Policy Framework (SPF) biedt hier een oplossing.
Stel, je krijgt een e-mail van je baas om te vragen wat het saldo van de bedrijfsbankrekening. Een beetje argwanend controleer je het afzendadres in je mailprogramma. Dat blijkt effectief correct. Je stuurt een antwoord en binnen de kortste keren krijg je een vraag om zeer dringend geld over te schrijven naar een buitenlandse bankrekening. Helaas is dit scenario niet uit de lucht gegrepen, maar een praktijk waar heel wat bedrijven mee kampen. Hoe kan dit?
Om e-mails te verzenden wordt gebruik gemaakt van het Simple Mail Transfer Protocol (SMTP). Dat protocol is ontworpen in de jaren 80, toen er nog geen sprake was van criminaliteit op het internet. Het is niet voorzien om na te gaan of de afzender van een e-mail werkelijk is wie hij beweert te zijn. Die tekortkoming wordt vaak uitgebuit om spam- of phishingmails te versturen met vervalste e-mailadressen.
Daarom werd het Sender Policy Framework (SPF) bedacht. Die techniek controleert of de afzender van een e-mail dat bericht mag versturen namens een bepaalde domeinnaam. Het biedt daarom een effectieve bescherming tegen het misbruiken van je domeinnaam voor het uitzenden van spam of 'e-mail spoofing'.
Een SPF-record moet worden ingesteld op je domeinnaam als TXT-record. Hoewel SPF een erkend protocol is, werd er geen aparte standaard ontwikkeld voor het Sender Policy Framework om ervoor te zorgen dat het snel kan geïmplementeerd worden op alle domeinnamen.
In een SPF-record wordt aangegeven welke IP-adressen of mailservers e-mails mogen versturen in naam van de domeinnaam waarop het wordt ingesteld. Daarnaast wordt bepaald hoe streng berichten moeten worden beoordeeld die afkomstig zijn van andere locaties. Het is de mailserver die een e-mail ontvangt die moet controleren of de mail voldoet aan de regels uitgezet in het SPF-record.
Het meest eenvoudige SPF-record is:v=spf1 mx -all
en betekent dat alle mailservers die voor de domeinnaam zijn opgegeven als MX-record (mx), e-mails mogen verzenden namens het domein. Alle andere servers (-all) hebben geen toestemming om e-mails te versturen en moeten geweigerd worden.
Een complexer SPF-record:v=spf1 a:cloudstar.be -all
Het geeft aan dat e-mails mogen worden verzonden vanuit de mailservers op cloudstar.be (a:cloudstar.be). Alle andere mailservers (-all) hebben geen toestemming.
Een laatste voorbeeld:v=spf1 ipv4:83.96.159.44/31 -all
In dit SPF-record wordt de range van IP-adressen (ipv4:83.96.159.44/31) opgegeven van de mailservers die e-mails mogen verzenden. Mailservers met een ander IP-adres (-all) hebben geen toestemming om e-mails te verzenden.
Een SPF-record creëren is een technische aangelegenheid. Daarom kan je via bijvoorbeeld Mailcheck.be of SPF Wizard met een wizard zelf een record genereren. Nadien moet het worden toegevoegd aan je domeinnaam.
Wil je toch zelf je SPF-record samenstellen of beter begrijpen wat er in je spf-record staat, dan kan je een uitgebreide beschrijving van spf-records raadplegen.
Cloudstar biedt wizard aan waarmee je een SPF-record kan toevoegen. Aan de hand van enkele vragen wordt je sender policy bepaald en omgezet in een geldig spf-record. Achteraf kan je het record nog zelf aanpassen en bijsturen.
Het is belangrijk om een SPF-record correct in te stellen. Zonder een SPF-record zullen veel mailservers je e-mails weigeren, maar let op: een foutief ingesteld record kan ervoor zorgen dat geen enkele e-mail nog kan worden afgeleverd. Via onze website mailcheck.be kan je een spf ontleden.
Bovendien mag een SPF-record niet te lang zijn. Als het meer dan 10 verwijzingen bevat, dan loopt de controle van het record mis, wat op zijn beurt leidt tot een permanente fout.
Tot slot is een SPF-record niet waterdicht. Een goed ingesteld record voorkomt dat kwaadwillige berichten worden verstuurd in jouw naam en markeert of weigert valse berichten. Het Sender Policy Framework is echter geen manier om àlle spam- en phishingmails te vermijden.
Heb je vragen over het instellen van spf op je domeinnaam? Of wil je meer te weten komen het veilig en correct afleveren van e-mails? Dan kan je ons contacteren via telefoon of via een mailtje naar [email protected].
