Als je een e-mail verstuurt, dan wordt nergens gecontroleerd of je werkelijk bent wie je beweert te zijn. Criminelen kunnen dit uitbuiten en je (online) reputatie stevige schade toebrengen. Het Sender Policy Framework biedt hier een oplossing.
Om e-mails te verzenden wordt gebruik gemaakt van het Simple Mail Transfer Protocol (SMTP). Dat protocol is ontworpen in de jaren 80, toen er nog geen sprake was van criminaliteit op het internet. Het is niet voorzien om na te gaan of de afzender van een e-mail daadwerkelijk is wie hij beweert te zijn. Die tekortkoming wordt vaak uitgebuit om spam- of phishingmails te versturen met vervalste e-mailadressen.
Daarom werd het Sender Policy Framework (SPF) bedacht. Die techniek controleert of de afzender van een e-mail dat bericht mag versturen namens een bepaalde domeinnaam. Het biedt daarom een effectieve bescherming tegen het misbruiken van je domeinnaam voor het uitzenden van spam of 'e-mail spoofing'.
Instellen op je domeinnaam
Een SPF-record moet worden ingesteld op je domeinnaam als TXT-record. Hoewel SPF een erkend protocol is, werd er geen aparte standaard ontwikkeld voor het Sender Policy Framework.
In een SPF-record wordt aangegeven welke IP-adressen of mailservers e-mails mogen versturen in naam van de domeinnaam waarop het wordt ingesteld. Daarnaast wordt bepaald hoe streng berichten moeten worden beoordeeld die afkomstig zijn van andere locaties.
Voorbeelden
Het meest eenvoudige SPF-record is:
v=spf1 mx ~all
en betekent dat alle mailservers die voor de domeinnaam zijn opgegeven als MX-record, e-mails mogen verzenden namens het domein. Alle andere servers hebben geen toestemming om e-mails te versturen.
Een complexer SPF-record:
v=spf1 a:nomeo.be ~all
Het geeft aan dat e-mails mogen worden verzonden vanuit de mailservers op nomeo.be. Alle andere mailservers hebben geen toestemming.
Een laatste voorbeeld:
v=spf1 ipv4:83.96.159.44/31 ~all
In dit SPF-record wordt de range van IP-adressen opgegeven van de mailservers die e-mails mogen verzenden. Mailservers met een ander IP-adres hebben geen toestemming om e-mails te verzenden.
Een SPF-record samenstellen
Een SPF-record creëren is een technische aangelegenheid. Daarom kan je via bijvoorbeeld Mailcheck.be of SPF Wizard met een wizard zelf een record genereren. Nadien moet het worden toegevoegd aan je domeinnaam.
Wil je toch zelf je SPF-record samenstellen of beter begrijpen wat er in je spf-record staat, dan kan je een uitgebreide beschrijving van spf-records raadplegen.
Sommige domeinnaambeheerders bieden geautomatiseerde tools aan waarmee je een SPF-record kan toevoegen. Andere voegen het automatisch toe aan een domeinnaam wanneer je gebruik maakt van hun e-mailinfrastructuur of geven aan welk SPF-record aan een domeinnaam kan worden toegevoegd. Meestal gaat het dan over een standaard record dat toelaat om e-mails versturen via de mailservers van de registrar. Gebruikers kunnen dat standaard record weliswaar altijd aanpassen.
Hierop moet je letten
Het is belangrijk om een SPF-record correct in te stellen. Zonder een SPF-record zullen veel mailservers je e-mails weigeren, maar let op: een foutief ingesteld record kan ervoor zorgen dat geen enkele e-mail nog kan worden afgeleverd.
Bovendien mag een SPF-record niet te lang zijn. Als het meer dan 10 controles bevat, dan loopt de controle van het record mis, wat op zijn beurt leidt tot een permanente fout.
Tot slot is een SPF-record niet waterdicht. Een goed ingesteld record voorkomt dat kwaadwillige berichten worden verstuurd in jouw naam en markeert of weigert valse berichten. Het Sender Policy Framework is echter geen manier om àlle spam- en phishingmails te vermijden.
(Foto door Roman Koval via Pexels)