SPF-record uitgelegd: hoe het voorkomt dat je e-mail als spam wordt gezien!

Met regelmaat ontvangen wij op de afdeling Support het verzoek om een SPF-record van een domeinnaam te controleren, aan te maken of aan te passen. Nu denk je misschien: “Een SPF-wattes? Heeft dat te maken met de UV-bescherming van je domeinnaam?” Nee, je hoeft gelukkig niet je domein met zonnebrandcrème in te smeren 😉

Het SPF-record uitgelegd: hoe het voorkomt dat je e-mail als spam wordt gezien

Wat is het dan wel en waarom is het zo belangrijk? Nou, het SPF-record helpt je om minder spam in je inbox te ontvangen. Daarnaast helpt het je ook bij het voorkomen dat jouw e-mail bij een ontvanger als spam wordt aangezien. Het is dus belangrijk voor je e-mailverkeer. Je wilt immers niet dat jouw bericht bij de ontvanger in de ongewenste e-mail terecht komt. Graag licht ik daarom het functioneren en belang van het SPF-record inhoudelijk toe.

Wat betekent SPF?

SPF is een afkorting van Sender Policy Framework. Mooie term, maar wat wil dit zeggen? Dit houdt in dat er wordt gecontroleerd of de verzender van een e-mail is gemachtigd om een bericht te verzenden namens de afzender van het bericht. Je wilt deze controle uitvoeren, omdat het kinderlijk eenvoudig is om het adres van de afzender van een e-mail te wijzigen.

Vergelijk het met een kaart die via de normale post wordt verstuurd. Iedereen kan een willekeurig afzenderadres op de achterkant schrijven, waarmee de afzender wordt vervalst. Voor e-mail geldt hetzelfde. In ieder willekeurig e-mailprogramma kun je een e-mailadres opgeven dat je als afzenderadres wilt gebruiken. Zo kun je e-mails versturen uit naam van wie je maar zou willen.

Het SPF-record uitgelegd: Sender Policy Framework

Hoe voorkomt het SPF-record misbruik je e-mailadres?

Er wordt gecontroleerd of de verzender van een e-mail geautoriseerd is om het adres van de afzender te gebruiken. Deze controle vindt plaats op basis van het IP-adres van de verzendende server. Voor gebruik van SPF moet in de DNS-zone van je domein een SPF-record worden toegevoegd. Dit record wordt aangemaakt als TXT-record, omdat er geen specifiek SPF-DNS-record bestaat. In dit record wordt opgenomen via welke IP-adressen namens je domeinnaam en bijbehorende e-mailadressen e-mail mag worden verstuurd.

De opbouw van het SPF-record

Een SPF-record begint met een “v=”. Dit geeft aan dat de inhoud van het TXT-record wordt gebruikt voor het SPF-protocol. Ook wordt hier de versie van het SPF-protocol mee aangegeven, in ons geval “v=spf1”. Het record wordt verder opgebouwd aan de hand van de volgende onderdelen:

  • a: als het IP-adres van de verzender overeenkomt met het IP-adres dat aanwezig is in het A-record, dan wordt de e-mail geaccepteerd;
  • ip4: als het IP-adres van de verzender zich bevindt in de IPv4-range die is opgenomen in het SPF-record, dan wordt de e-mail geaccepteerd;
  • ip6: als het IP-adres van de verzender zich bevindt in de IPv6-range die is opgenomen in het SPF-record, dan wordt de e-mail geaccepteerd;
  • mx: als e-mail wordt verstuurd vanuit het MX- record van het domein, dan wordt de e-mail geaccepteerd;
  • include: als er wordt voldaan aan de voorwaarden van het record dat wordt opgenomen, dan wordt de e-mail geaccepteerd.

Aan het einde van het SPF-record geef je op hoe er door de ontvangende mailserver met het record moet worden omgegaan:

  • ~all: de softfail-methode. Als een e-mail wordt verzonden door een host of IP-adres dat niet in de SPF-record is opgenomen, dan wordt de e-mail wel geaccepteerd, maar mogelijk als spam gemarkeerd;
  • -all: de hardfail-methode. Als een e-mail wordt verzonden door een host of IP-adres dat niet in de SPF-record is opgenomen, dan wordt de e-mail direct geweigerd;
  • +all: accepteer alle e-mail. E-mail wordt dus altijd toegelaten, hierdoor heeft het record dus niet het beoogde resultaat;
  • ?all: het SPF-record voert geen extra validatie uit. E-mails vanaf ongeautoriseerde servers worden dus toegelaten.

Het SPF-record van Antagonist

Standaard voegen wij een SPF-record toe aan de DNS-zone van het domein dat je bij ons afneemt. Die ziet er als volgt uit:

"v=spf1 a mx ip4:195.211.72.0/22 ip4:141.138.168.0/21 ip6:2a03:3c00:a001::/48 ip6:2a03:3c00:a002::/48 ~all"

E-mail verstuurd via een IP-adres dat aanwezig is in het A-record van je domein wordt geaccepteerd. Ook e-mails die zijn verstuurd via IP-adressen in de opgegeven IPv4- en IPv6-range worden geaccepteerd. Daarbij hanteren wij de ‘softfail’-methode. E-mails die zijn verstuurd via een IP-adres dat niet is geautoriseerd, wordt als ‘neutraal’ verwerkt door de ontvangende mailservers. E-mails verzonden via onze servers worden geaccepteerd.

Het belang van een correct geconfigureerd SPF-record
Veel ontvangende mailservers voeren controle uit op het SPF-record. Denk hierbij aan partijen, zoals Hotmail en Gmail. Wanneer je domein geen of een onjuist SPF-record bevat, is de kans groot dat je e-mail als verdacht wordt gemarkeerd en hierdoor in de map met ongewenste e-mail van de ontvanger belandt. Met het vervelende gevolg dat je e-mail vermoedelijk niet wordt gezien door de ontvanger.

Hoe wijzig of voeg ik een SPF-record toe?

Wanneer je bij ons een pakket afneemt, dan zorgen wij voor je dat het SPF-record van je domein standaard correct staat ingesteld. Als vuistregel kun je aanhouden: wijzig het SPF-record niet, tenzij je weet waar je mee bezig bent.

Waarom dan wél een SPF-record wijzigen? Dat is een goede vraag. Stel, je laat je e-mail afhandelen door een externe maildienst, zoals Office 365 of G Suite (voormalig Google Apps). Het kan dan wenselijk zijn om het SPF-record te wijzigen. Doorgaans betreft het dan een aanvulling in het huidige SPF-record.

Een nieuw SPF-record toevoegen, gaat via DNS-beheer in DirectAdmin van je hostingpakket. Klik als je daar bent op ‘Record toevoegen’.

DNS-beheer in DirectAdmin.

Kies nu bij ‘Recordtype’ voor ‘TXT’ en check of bij ‘Naam’ je domeinnaam staat – inclusief asluitende punt. Kies daarna bij ‘TXT-recordtype’ voor ‘SPF’.

Een nieuw SPF-record toevoegen in DirectAdmin.

Er verschijnen een aantal extra velden. Vul bij het veld ‘Waarde’ het gewenste SPF-record in. In onderstaand voorbeeld voeg ik voor ‘domeinnaam.nl’ ons standaard SPF-record toe. Klik ten slotte op ‘Toevoegen’ om het SPF-record aan te maken en je hebt het voor elkaar!

De inhoud van je SPF-record invoeren.

Wil je het SPF-record later wijzigen, ga dan in DirectAdmin naar ‘DNS-beheer’ en zoek het record op in het overzicht. Klik vervolgens op het potloodje en voer de gewenste aanpassingen door.

Een bestaand SPF-record wijzigen in DirectAdmin.

Office 365 en SPF

Graag geef ik nog een voorbeeld waarbij een aanpassing van het SPF-record aan de orde is. Stel, je maakt gebruik van Office 365. Microsoft geeft aan om daarvoor het volgende SPF-record te gebruiken:

"v=spf1 a mx include:spf.protection.outlook.com -all"

Het is mogelijk om dit gedeelte aan ons bestaande SPF-record toe te voegen, zodat het SPF-record ook van toepassing is op e-mail die vanuit de website wordt verzonden. Dit doe je door het gedeelte ‘include:spf.protection.outlook.com’ na de laatste IP-range in het bestaande record toe te voegen. Het resultaat wordt dan:

"v=spf1 a mx ip4:195.211.72.0/22 ip4:141.138.168.0/21 ip6:2a03:3c00:a001::/48 ip6:2a03:3c00:a002::/48 include:spf.protection.outlook.com -all"

De oplettende lezer ziet dat er in dit SPF-record een hardfail in plaats van een softfail wordt toegepast. Persoonlijk zou ik afraden om een hardfail te gebruiken. Door het forward-probleem heb je een niet-verwaarloosbare kans dat je e-mail niet aankomt waar je wilt, ook al doe je als verstuurder alles goed. Daarom zou ik adviseren om ‘-all’ te vervangen door ‘~all’ in dit voorbeeld.

TIP!
Na het toevoegen van het SPF-record kun je de functionaliteit ervan testen via websites, zoals kitterman.com en MxToolbox.

Vragen over het SPF-record of tips?

Ben je klant van Antagonist en heb je vragen over het aanmaken of wijzigen van een SPF-record, dan kun je natuurlijk via support@antagonist.nl contact opnemen. We helpen je graag verder! Ook aanvullende tips op dit blog zijn altijd welkom.

Nog geen website, maar wil je er wel graag eentje? Dan is Antagonist de juiste thuisbasis! We bieden unieke features, zoals het automatisch backuppen van je website en het proactief in de gaten houden van de gezondheid van je website. Wacht niet langer, kies je pakket en start nu.

Bestel je webhostingpakket →

P.S. Op de hoogte blijven van alle artikelen, updates, tips en trucs die op ons blog verschijnen? Volg ons via Facebook, Twitter, Instagram, RSS en e-mail!

Deel App Tweet Mail Deel

2 thoughts on “SPF-record uitgelegd: hoe het voorkomt dat je e-mail als spam wordt gezien!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *