Het SPF-record uitgelegd: hoe het voorkomt dat je e-mail als spam wordt gezien!

Met regelmaat ontvangen wij op de afdeling Support het verzoek om een SPF-record van een domeinnaam te controleren, aan te maken of te wijzigen. Nu zul je mogelijk denken: “Een SPF-wattes? Heeft dat te maken met de UV-bescherming van je domeinnaam?” Nee, je hoeft je domeinnaam gelukkig niet in te smeren met zonnebrandcrème 😉

Het SPF-record uitgelegd: hoe het voorkomt dat je e-mail als spam wordt gezien

Wat is het dan wel en waarom is het zo belangrijk? Concreet gesteld, het SPF-record helpt je om minder spam in je inbox te ontvangen. Daarnaast helpt het je ook bij het voorkomen dat jouw e-mail bij een ontvanger als spam wordt aangezien.

Het is dus belangrijk voor je e-mailverkeer, je wilt immers niet dat jouw bericht bij de ontvanger in de ongewenste e-mail terecht komt. In dit artikel licht ik daarom graag het functioneren en belang van het SPF-record inhoudelijk toe.

Wat betekent ‘SPF’?

‘SPF’ is een afkorting van ‘Sender Policy Framework’. Mooie term, maar wat wil dit zeggen? Dit houdt in dat wordt gecontroleerd of de verzender van een e-mail is gemachtigd om een bericht te verzenden namens de afzender van het bericht.

Waarom is het nodig deze controle uit te voeren? Nou, het is namelijk kinderlijk eenvoudig om het adres van de afzender van een e-mail te wijzigen. Je kunt dit vergelijken met een kaart die wordt verstuurd via de normale post. Iedereen kan een willekeurig adres van de afzender op de achterkant schrijven, waarmee de afzender wordt vervalst.

Voor e-mail geldt hetzelfde. Het is mogelijk om in ieder willekeurig e-mailprogramma een e-mailadres op te geven dat je als adres van de afzender wilt gebruiken. Zo kun je dus e-mails versturen uit naam van wie je maar zou willen.

Het SPF-record uitgelegd: Sender Policy Framework

Hoe voorkomt het SPF-record misbruik van mijn e-mailadres?

Zoals hierboven is toegelicht, wordt gecontroleerd of de verzender van een e-mail geautoriseerd is om het adres van de afzender te gebruiken. Deze controle vindt plaats op basis van het IP-adres van de verzendende server.

Voor gebruik van SPF moet in de DNS-zone van je domeinnaam een SPF-record worden toegevoegd. Dit record wordt aangemaakt als ‘TXT-record’, omdat er geen specifiek SPF-DNS-record bestaat. In dit record wordt opgenomen via welke IP-adressen e-mail mag worden verstuurd namens jouw domeinnaam en bijbehorende e-mailadressen.

De opbouw van het SPF-record

Een SPF-record begint met een “v=”. Dit geeft aan dat de inhoud van het TXT-record wordt gebruikt voor het SPF-protocol. Ook wordt hier de versie van het SPF-protocol mee aangegeven, in ons geval “v=spf1”.

Het record wordt verder opgebouwd aan de hand van de volgende onderdelen:

  • a: als het IP-adres van de verzender overeenkomt met het IP-adres dat aanwezig is in het A-record, dan wordt de e-mail geaccepteerd;
  • ip4: als het IP-adres van de verzender zich bevindt in de IPv4-range die is opgenomen in het SPF-record, dan wordt de e-mail geaccepteerd;
  • ip6: als het IP-adres van de verzender zich bevindt in de IPv6-range die is opgenomen in het SPF-record, dan wordt de e-mail geaccepteerd;
  • mx: als e-mail wordt verstuurd vanuit het MX- record van het domein, dan wordt de e-mail geaccepteerd;
  • include: als er wordt voldaan aan de voorwaarden van het record dat wordt opgenomen, dan wordt de e-mail geaccepteerd.

Aan het einde van het SPF-record geef je op hoe er door de ontvangende mailserver met het record moet worden omgegaan:

  • ~all: de ‘softfail’-methode. Als een e-mail wordt verzonden door een host of IP-adres dat niet in de SPF-record is opgenomen, dan wordt de e-mail wel geaccepteerd, maar mogelijk als spam gemarkeerd;
  • -all: de ‘hardfail’-methode. Als een e-mail wordt verzonden door een host of IP-adres dat niet in de SPF-record is opgenomen, dan wordt de e-mail direct geweigerd;
  • +all: accepteer alle e-mail. E-mail wordt dus altijd toegelaten, hierdoor heeft het record dus niet het beoogde resultaat;
  • ?all: het SPF-record voert geen extra validatie uit. E-mails vanaf ongeautoriseerde servers worden dus toegelaten.

Het SPF-record van Antagonist

Standaard voegen wij een SPF-record toe aan de DNS-zone van het domein dat je bij ons afneemt. Die ziet er als volgt uit:

"v=spf1 a mx ip4:195.211.72.0/22 ip4:141.138.168.0/21 ip6:2a03:3c00:a001::/48 ip6:2a03:3c00:a002::/48 ~all"

E-mail verstuurd via een IP-adres dat aanwezig is in het A-record van je domein wordt geaccepteerd. Ook e-mails die zijn verstuurd via IP-adressen in de opgegeven IPv4- en IPv6-range worden geaccepteerd. Daarbij hanteren wij de ‘softfail’-methode. E-mails die zijn verstuurd via een IP-adres dat niet is geautoriseerd, wordt als ‘neutraal’ verwerkt door de ontvangende mailservers. E-mails verzonden via onze servers worden geaccepteerd.

Het belang van een correct geconfigureerd SPF-record
Veel ontvangende mailservers voeren controle uit op het SPF-record. Denk hierbij aan partijen, zoals Hotmail en Gmail. Wanneer je domein geen of een onjuist SPF-record bevat, is de kans groot dat je e-mail als verdacht wordt gemarkeerd en hierdoor in de map met ongewenste e-mail van de ontvanger belandt. Met het vervelende gevolg dat je e-mail vermoedelijk niet wordt gezien door de ontvanger.

Hoe wijzig of voeg ik een SPF-record toe?

Wanneer je bij ons een pakket afneemt, dan zorgen wij voor je dat het SPF-record van je domein standaard correct staat ingesteld. Als vuistregel kun je aanhouden: wijzig het SPF-record niet, tenzij je weet waar je mee bezig bent.

Waarom dan wél een SPF-record wijzigen? Dat is een goede vraag. Stel, je laat je e-mail afhandelen door een externe maildienst, zoals Office 365 of G Suite (voormalig ‘Google Apps’), dan kan het wenselijk zijn om het SPF-record te wijzigen. Het gaat in dat geval om een aanvulling in het huidige SPF-record.

Het wijzigen van een bestaand of het toevoegen van een nieuw SPF-record gaat via ‘DNS Management’ in DirectAdmin van je webhostingpakket.

Het SPF-record uitgelegd: het wijzigen van het SPF-record via DNS-beheer

Handig om te weten, is dat het via ‘DNS Management’ niet mogelijk is om direct een bestaand SPF-record te wijzigen. Om een wijziging door te voeren, moet je het huidige SPF-record dus eerst verwijderen. Daarna kun je het SPF-record opnieuw aanmaken.

Tip!
Kopieer eerst het bestaande SPF-record naar bijvoorbeeld Kladblok, voordat je het huidige SPF-record weghaalt. Zo heb je altijd het voorgaande SPF-record achter de hand voor het geval dat.

Voor het veld ‘TXT’ geef je de domeinnaam op, inclusief afsluitende punt (dus ‘domeinnaam.nl.’, zonder aanhalingstekens). Achter het veld ’TXT’ komt de inhoud van het SPF-record. In onderstaand voorbeeld voeg ik voor ‘domeinnaam.nl’ ons standaard SPF-record toe.

Het SPF-record uitgelegd: het invoeren van het SPF-record via 'DNS Management'

Office 365 & SPF

Graag geef ik nog een voorbeeld waarbij een aanpassing van het SPF-record aan de orde is. Stel, je maakt gebruik van Office 365. Microsoft geeft aan om daarvoor het volgende SPF-record te gebruiken:

"v=spf1 a mx include:spf.protection.outlook.com -all"

Het is mogelijk om dit gedeelte aan ons bestaande SPF-record toe te voegen, zodat het SPF-record ook van toepassing is op e-mail die vanuit de website wordt verzonden. Dit doe je door het gedeelte ‘include:spf.protection.outlook.com’ na de laatste IP-range in het bestaande record toe te voegen. Het resultaat wordt dan:

"v=spf1 a mx ip4:195.211.72.0/22 ip4:141.138.168.0/21 ip6:2a03:3c00:a001::/48 ip6:2a03:3c00:a002::/48 include:spf.protection.outlook.com -all"

De oplettende lezer ziet dat er in dit SPF-record een ‘hardfail’ in plaats van een ‘softfail’ wordt toegepast. Persoonlijk zou ik afraden om een ‘hardfail’ te gebruiken. Door het forward-probleem heb je een niet-verwaarloosbare kans dat je e-mail niet aankomt waar je wilt, ook al doe je als verstuurder alles goed. Daarom zou ik adviseren om ‘-all’ te vervangen door ‘~all’ in dit voorbeeld.

TIP!
Na het toevoegen van het SPF-record kun je de functionaliteit ervan testen via websites, zoals kitterman.com en MxToolbox.

Tot slot

Ben je klant van Antagonist en heb je nog vragen over het aanmaken of wijzigen van een SPF-record, dan kun je natuurlijk altijd contact opnemen via support@antagonist.nl. We helpen je graag verder! Ook aanvullende tips op dit blog zijn altijd welkom.

Nog geen website, maar wil je er wel graag één beginnen? Dan is Antagonist de juiste thuisbasis! We bieden unieke features, zoals het automatisch backuppen van je website en het proactief in de gaten houden van de gezondheid van je website. Wacht niet langer, kies je pakket en start nu.

Bestel je webhostingpakket →

P.S. Wil je op de hoogte blijven van alle artikelen, updates, tips en trucs die verschijnen op ons blog? Dat kan! Rechts bovenin via RSS, e-mail, het liken op Facebook, het +1’en op Google+ of het volgen op Twitter.