SPF records - Wat is het en hoe stel ik ze in?
Wanneer je eens een testje op je het versturen van je email hebt gedaan, zul je vast en zeker de term SPF-record wel eens voorbij hebben zien komen. Maar wat betekent deze term nou eigenlijk en waarvoor is het belangrijk? Wat doet het en waarom zou jij blij moeten zijn dat SPF-records bestaan.
In dit artikel leggen we daarom ook uit wat een SPF-record is en doet, hoe het is opgebouwd en hoe je hier bij ons gebruik van maakt.
Lees ook: Waarom worden mijn mails als spam gezien?
Belangrijk: Als je DNS via Neostrada loopt wordt er standaard al een SPF record voor je aangemaakt, dit is het TXT record in de DNS wat begint met v=spf1 include:spf.totaalholding.nl.
 
Hoe werken SPF-records?
SPF is de afkorting voor Sender Policy Framework. Het is een DNS protocol, welke ontworpen is om het ontvangen van spam te voorkomen/verminderen. Met een SPF-record geef je namelijk aan welke mailservers/IP-adressen er geautoriseerd zijn, om namens het domein van het versturende e-mailadres, te mogen mailen.
De mailserver van de ontvangende partij zal dan op basis van een SPF-check kijken of het IP-adres welke de e-mail probeert af te leveren hiervoor wel geautoriseerd. Er wordt dan gekeken naar welk e-mailadres het versturende e-mailadres is en er wordt dan gecheckt of in de DNS van dat domein het IP-adres van de mailserver wel vermeld staat. Op basis van een aantal onderdelen van het SPF-record wordt dan door de ontvangende mailserver bepaald of de e-mail wel of niet doorgelaten wordt.
 
Hoe is een SPF-record opgebouwd?
Een SPF-record is in principe een TXT-record waarbij je aangeeft dat het om een SPF-record gaat. Dit wordt gedaan door aan het begin van een TXT-record het gedeelte v=spf1 op te geven. Hierdoor weten de DNS servers dat het om een SPF-record want de versie (v) geeft aan dat we met een SPF (spf1) te maken hebben. Dit gedeelte is essentieel voor de werking van het SPF record, want anders wordt het gehele record genegeerd door de SPF-clients
Vervolgens zijn er nog twee onderdelen waarmee je vertelt wat het SPF-record moet doen:

  • Mechanismes

  • Qualifiers


Hieronder zullen we beide onderdelen behandelen

Mechanismes
In het mechanisme geven we eigenlijk aan welke uitgaande mailservers en IP-adressen als betrouwbaar beschouwd moeten worden. Het mechanisme gedeelte gebruikt hiervoor een aantal opties:

all
Hiermee geef je alle uitgaande mailservers aan

a
Wanneer het IP-adres van de versturende partij gelijk is aan de IP-adressen van de A-records van het domein, dan wordt de e-mail toegelaten

ip4
Hiermee kun je een IPv4 IP-adres toevoegen, welke toegelaten zal worden dan (vb. ip4:185.56.145.141)

ip6
Hiermee kun je een IPv6 IP-adres toevoegen, welke toegelaten zal worden dan (vb. ip6:2a02:40c0:1000:1000::1:16:1)

mx
Wanneer de mail verstuurd wordt vanuit het MX record van het domein, dan wordt de mail toegelaten.

exists
Wanneer het domein gekoppeld staat aan een IP adres, dan wordt de mail toegelaten.

include
Hiermee kun je een ander DNS-record met een reeks aan IP-adressen includen, welke ook toegestaan zijn om te mogen mailen (vb. include:spf.totaalholding.nl)

Qualifiers
Qualifiers geven aan wat er met de e-mails gebeurt; of ze wel of niet toegelaten moeten worden. Hiervoor kennen we de volgende opties:

  • + geeft een PASS resultaat. De e-mail wordt altijd doorgelaten of het IP van de mailservers nu wel of niet in het SPF-record vermeld staat. Deze moet je dus niet gebruiken!

  • ? geeft een NEUTRAL resultaat. De e-mail wordt doorgelaten omdat er geen mening over gegeven wordt.

  • ~ voor een SOFTFAIL resultaat. De e-mail wordt dan wel doorgelaten maar als het IP-adres van de versturende mailservers niet in het SPF-record vermeld staat, dan wordt deze e-mail als spam gezien en zal in de spamfolder van de klant terecht komen.

  • – voor een FAIL resultaat. De e-mail wordt dan hoe dan ook niet geaccepteerd door de ontvangende mailserver wanneer het IP-adres van de versturend emailserver niet in het SPF-record vermeld staat.


 
Hoe zien de SPF-records er bij de provider uit?
Elk domein dat bij ons een pakket heeft krijgt automatisch het volgende SPF-record ingesteld:
v=spf1 a mx include:spf.totaalholding.nl ip4:185.56.145.141 -all
Hierbij is alleen het aangegeven IPv4 IP-adres (ip4:185.56.145.141) variabel, omdat dit het IP-adres is van de server waarop je website draait. Echter omdat wij via SpamExperts de uitgaande mails regeln kun je dit ipadres negeren, eventueel mag je deze ook verwijderen. Daarnaast zien we dus dat standaard hetgeen dat is ingesteld als MX-record (mx) geautoriseerd is en ook alle ingestelde A-records (a) qua IP-adressen.
Daarnaast zie je ook dat we een include doen op spf.totaalholding.nl . Dit is zelf ook weer een SPF-record van ons zelf waar dan al onze IP-ranges in vermeld staan:
v=spf1 ip4:85.17.242.0/24 ip4:195.238.74.0/23 ip4:31.186.168.0/21 ip4:185.56.144.0/22 ip4:85.17.199.0/24 ip4:95.211.71.0/24 ip6:2a02:40c0:2000::/96 ip6:2a02:40c0:2000::1:0:0/96 ip6:2a02:40c0:2000::2:0:0/96 -all
Zodoende kunnen we wanneer er iets bij ons verandert qua IP-ranges het makkelijk in een keer aanpassen bij alle domeinen/pakketten, omdat deze overal als include staat. Ook zie je dat we qua qualifier een fail resultaat (-) doorgeven.
 
Hoe kan ik SPF-records bijwerken?
In principe ziet het aanpassen van een SPF-record zoals elke andere DNS instelling. Het enige waarbij je moet opletten met een SPF-record is dat je op de juiste manier toevoegingen doet:
• Wil je een enkel IP-adres toevoegen? Voeg het dan toe als ip4: of ip6:

• Wil je een extra dienst opnemen in je SPF-record (bijvoorbeeld mailchimp, Office 365 etc)? Check dan of ze een eigen SPF-record hebben en voeg deze toe als een include

Zet alle toevoegingen in ieder geval altijd NA het gedeelte v=spf1 en VOOR het gedeelte -all . Anders klopt de syntax van je SPF-record niet meer en werkt het gehele SPF-record niet meer.
Let op! Verander nooit en te nimmer de naam van je SPF-record. Laat het altijd staan op de naam van je domeinnaam! Tenzij je weet wat je doet ;-)
 
Veelgestelde vragen
Ik heb een mail-tester gedaan en hij geeft aan dat het SPF-record niet goed is. Kunnen jullie dat fixen?
In principe kunnen wij dit voor je fixen maar kijk graag of je met bovenstaande uitleg het issue zelf weet op te lossen. Tip: vaak komt het erop neer dat je gewoon een IP-adres moet toevoegen aan je SPF-record.

Hoe voeg ik het SPF-record toe van Office 365?
Indien je zelf handmatig je DNS hebt aangepast zodat het naar office 365 verwijst, dan hoef je enkel onderstaande stukje toe te voegen aan je huidige SPF-record:
include:spf.protection.outlook.com

Ik gebruik Office 365 voor mijn e-mail maar als ik een berichtje stuur vanuit mijn website dan wordt die niet toegelaten?
Dan heb je hoogstwaarschijnlijk nu enkel het SPF-record van Office 365 nog in je SPF-record staan. Aangezien je vanuit de website mailt en je dat waarschijnlijk via de lokale mailserver laat doen, gebruik je dus onze mailservers. We raden je dan aan om het onderstaande gedeelte alsnog toe te voegen aan je SPF-record:
include:spf.totaalholding.nl ip4:xxx.xxx.xxx.xxx
Verander hierbij wel de xxx naar het IP-adres van je hostingpakket.


Helpt het instellen van een SPF-record tegen het ontvangen van spam mails die mijn eigen e-mailadres als afzender hebben?
Indien je spam mails ontvangt waarvan de afzender zich voordoet als dezelfde mailbox, dan kun je SPF aanpassen om dit tegen te gaan. Let er hierbij op dat het standaard record een vraagteken als qualifier hanteerd welke een neutraal resultaat geeft, het is daarom aan te raden hiervoor het min teken te gebruiken. Je SPF-record eindigt dan dus op:
-all


Ik heb 2 SPF-records nu ingesteld staan bij mijn DNS. Welke moet ik verwijderen?
Welke je verwijdert, maakt in dit geval niet uit. je moet er alleen wel voor zorgen dat de content van beide SPF-records in 1 SPF-record komt en dan verwijder je gewoon het andere record. Stel je hebt als voorbeeld onderstaande SPF-records
domein.nl TXT v=spf1 include:spf.protection.outlook.com -all
domein.nl TXT v=spf1 a mx include:spf.totaalholding.nl ip4:185.56.145.141 -all
Deze voeg je dan bij elkaar als volgt:
v=spf1 a mx include:spf.totaalholding.nl include:spf.protection.outlook.com ip4:185.56.145.141-all
De ander verwijder je dan gewoon.
Let op! Je mag namelijk maar per naam (dus domein.nl) maar 1 SPF-record hebben, want anders weet je bij een SPF check van een ontvangende mailserver niet welk SPF-record deze mailserver gebruikt.

 

 

nvj logo diap

 

 

Walter van Bussel
Deze website maakt gebruik van cookies.

Voor het behouden van inloggegevens en Google Analytics worden cookies gebruikt en kunnen worden verwijderd door het cache van uw webbrowser te legen.

Ik heb het begrepen