Nieuws
E-mail optimalisatie: SPF
Gepubliceerd op woensdag, 25 februari 2015 door Tom Wijnroks
Er zijn een aantal anti-spam technieken beschikbaar waardoor het voor kwaadwillenden moeilijker wordt om e-mails te vervalsen (spoofing). Eén van deze technieken is het Sender Policy Framework (SPF). Middels een SPF record kan een mailserver van een ontvanger valideren of een e-mail afkomstig is van een door de afzender geautoriseerde mailserver.
Hoe werkt SPF
Een SPF record komt in de Domain Name System (DNS) van een domeinnaam te staan. In het SPF record staat vermeld welke mailservers of IP adressen er namens een domeinnaam mogen mailen. Mailservers kunnen op basis van de domeinnaam het SPF record van de afzender via DNS opvragen.
Voorbeeld:
Als iemand een e-mail ontvangt van naam@domein.nl, controleert de mailserver het SPF record van domein.nl. Als de e-mail afkomstig is van een mailserver die vermeld staat in het SPF record van domein.nl, wordt de e-mail aangenomen. Als de e-mail afkomstig is van een mailserver die niet vermeld staat in het SPF record, kan de e-mail als spam worden gemarkeerd of worden geweigerd.
SPF record
Een SPF record bestaat over het algemeen uit drie verschillende onderdelen: een versienummer, de geautoriseerde mailservers en een all beleid voor e-mails die afkomstig zijn van ongeautoriseerde mailservers. Het SPF record van Exonet ziet er bijvoorbeeld als volgt uit:
v=spf1 a mx include:_spf.exonet.nl ?all
Het versienummer is altijd v=spf1
maar deze kan in de toekomst nog veranderen. De mailservers die mogen mailen zijn in dit geval alle A en MX records van de domeinnaam waar het SPF record staat ingesteld. Tevens mogen alle mailservers uit het SPF record van exonet.nl ook mailen, dit werkt via de include. E-mails afkomstig van ongeautoriseerde mailservers worden door het ?all
beleid afgevangen.
Beleid
Voor het instellen van een SPF record is het noodzakelijk om te weten via welke mailservers e-mail wordt verzonden. Zodra de mailservers bekend zijn kan er een all
beleid worden gekozen:
?all =
Accepteer e-mails van ongeautoriseerde mailservers (Neutral).
~all =
Accepteer e-mails van ongeautoriseerde mailservers en markeer deze als spam (SoftFail).
-all =
Weiger e-mails van ongeautoriseerde mailservers (Fail).
Domeinnamen van onze klanten worden al geruime tijd voorzien van een SPF record. Echter, omdat wij van te voren niet altijd weten of een klant via ons gaat mailen, passen wij het ?all
beleid toe. Het is uiteraard beter om dit beleid achteraf aan te passen naar een ~all
of, nog beter, naar een -all
.
Voordelen en nadelen
Klanten die een domeinnaam bij Exonet hebben en e-mails via onze mailservers versturen, krijgen bij de ontvanger een Pass inplaats van een Neutral of SoftFail. Een voordeel hiervan is dat een ontvangende mailserver op basis van deze waarde kan besluiten of een e-mail naar de inbox of ongewenste map gaat.
Tevens zijn er steeds meer providers die bij het verzenden van e-mail via IPv6 eisen dat er een SPF record wordt gebruikt. Als de e-mail via IPv6 wordt verzonden en het IPv6 adres van de mailserver staat niet in het SPF record, krijgt de e-mail een SoftFail inplaats van Neutral. Omdat onze servers voorzien zijn van IPv6 is daarom het gebruik van een SPF record ook een voordeel.
Een nadeel van SPF records is dat het niet altijd werkt met e-mail forwards naar externe partijen. Zodra een e-mail wordt doorgestuurd naar een externe mailserver, klopt het oorspronkelijke IP adres van de verzendende mailserver niet meer. Afhankelijk van het ingestelde all
beleid, kan dit problemen opleveren bij de aflevering van e-mail via forwards.
Optimalisatie
Bij Exonet zijn we van mening dat het gebruik van SPF records een optimalisatie van e-mail is omdat het validatie van de afzender mogelijk maakt, waardoor het voor kwaadwillenden moeilijker is om e-mails te vervalsen. De nadelen van SPF wegen niet op tegen de aantoonbare voordelen.
Heeft u nog vragen over SPF of kunnen wij u helpen met de juiste configuratie? Neemt u dan gerust contact op met onze support afdeling.