Waarom een SPF-record?
E-mail is een ontzettend handig en snel communicatiemiddel via internet.
Helaas is het heel eenvoudig om berichten namens een ander e-mailadres te versturen. Zo kan er met minimale kennis e-mail verzonden worden namens bijvoorbeeld bill@microsoft.nl, waardoor het lijkt alsof de ontvanger een e-mailbericht krijgt van de oude baas van Microsoft.
Dit vervalsen van een e-mailadres is mogelijk doordat het e-mailprotocol niet standaard controleert of degene die de e-mail verzendt, dat wel namens dat domein mag doen. Om toch een controle in te bouwen, kunt u SPF-records gebruiken. Hier leest u wat dat zijn, uit welke onderdelen ze bestaan en hoe u ze gebruikt.
Wat is een SPF-record?
SPF staat voor Sender Policy Framework. In een SPF-record kunt u omschrijven welke servers namens de domeinnaam e-mail mogen verzenden. Een ontvangende server kan onder andere op basis van het SPF-record besluiten om een e-mail door te laten, te markeren als onveilig of helemaal te weigeren.
Hoe maak ik een SPF-record?
U kunt een SPF-record met de bovenstaande onderdelen samenstellen. Ook zijn er verschillende websites waarmee u een SPF-record kunt genereren, bijvoorbeeld www.spfwizard.net. Door een aantal gegevens in te vullen, genereert u hier een correct SPF-record.
Zijn er limitaties aan een SPF record?
Ja, een SPF record kent enkele globale limieten en kunnen bij welke als overschreden voor fouten kunnen zorgen. Onderstaand een beknopte lijst, voor meer informatie zie https://nl.wikipedia.org/wiki/Sender_Policy_Framework :
- Maximale grootte van 255 karakters.
- Maximaal 10 DNS lookups per record.
Wat betekenen de delen van het SPF-record?
Een SPF-record bestaat uit verschillende onderdelen. Ieder onderdeel heeft een eigen functie:
v=spf1
Hiermee wordt gedefinieerd dat het record een SPF is. Hier begint een SPF-record altijd mee.
a
Hiermee wordt gedefinieerd dat de mail mag worden verzonden vanaf alle A-records in de DNS.
mx
Hiermee wordt gedefinieerd dat de mail mag worden verzonden vanaf de servers die zijn ingesteld als ontvangende server.
a:domein.nl
Hiermee wordt gedefinieerd dat de e-mail door de server achter het A-record van ‘domein.nl’ mag worden verzonden.
mx:domein.nl
Hiermee wordt gedefinieerd dat de e-mail door de server achter het MX-record van ‘domein.nl’ mag worden verzonden.
ip4:37.9.216.35
Hiermee wordt gedefinieerd dat de e-mail door de server achter het IPv4-adres ‘37.9.216.35‘ mag worden verzonden.
include:domein.nl
Hiermee wordt gedefinieerd dat het SPF-record van ‘domein.nl’ moet worden gebruikt bij de eigen domeinnaam. Hier kunt u include:_spf.ezorg.nl gebruiken indien wenselijk.
Aan het einde van het record kun je aangeven of er een SOFTFAIL of een DENY moet worden ingesteld.
~all
Softfail. Als een e-mailbericht wordt verzonden door een host of IP die niet in de SPF-record staat, dan wordt het bericht toch doorgelaten, maar kan het wel gemarkeerd worden.
-all
Deny. Als een e-mailbericht wordt verzonden door een host of IP die niet in de SPF-record staat, dan wordt het door de ontvangende server geweigerd.
Een SPF-record kan er uiteindelijk als volgt uit komen te zien: “v=spf1 a include:_spf.ezorg.nl -all”.
SPF-record in de DNS zetten
Zodra u een SPF-record heeft gemaakt, moet u deze in de DNS zetten. Maak in het DNS-overzicht van de domeinnaam een nieuw TXT-record aan. In het invulveld links vult u de hostnaam in waarvoor het SPF-record actief moet worden. Dit is meestal de domeinnaam zelf, en die hoeft dan niet ingevuld te worden. In het invulveld rechts vult u het volledige SPF-record in: van ‘v=spf1’ tot en met ‘all’, zonder aanhalingstekens.
Komt de e-mail met een juist SPF-record nu altijd goed aan?
Nee. Een SPF-record draagt bij aan de juiste aflevering van een e-mailbericht, maar er zijn talloze factoren die ervoor zorgen dat een e-mail alsnog als spam tegengehouden kan worden.
Mijn eigen maildomein wordt niet gehost door E-Zorg.
Als u een eigen domeinnaam heeft waarvan de mailboxen niet bij E-Zorg zijn ondergebracht, dan dient u de uitgaande mailserver van uw (mail-)hostingpartij te gebruiken. De veilige mailpoorten voor verzenden (465 en 587) en ontvangen (993 imap en 995 pop3) staan generiek open op elke vaste E-Zorg verbinding.
De uitgaande mail voor een maildomein dat niet door E-Zorg wordt gehost dient ook niet via de E-Zorg mailserver te worden uitgestuurd; omdat de kans op verstoringen door de Spamfiltering bij de ontvangers daarbij veel groter is.
Mijn maildomein wordt gehost door E-Zorg.
Als u een eigen domeinnaam heeft en de mailboxen (MX) voor dat domein bij E-Zorg heeft ondergebracht, dan dient bij uw domeinnaam registratie het SPF record te worden aangepast. Hiermee ‘autoriseert’ u de E-Zorg mailserver om mail te versturen voor uw domein.
Hiervoor mag u het volgende toevoegen aan uw SPF record: include:_spf.ezorg.nl
Het SPF record is onderdeel van het beheer van uw domeinnaam; dit kunt u instellen bij de partij waar u uw domeinnaam heeft geregistreerd; E-Zorg kan dat niet voor u verzorgen.
Gebruik van @ezorg.nl voor uw website formulier?
E-Zorg staat het mailen met uw persoonlijke @ezorg.nl mailadres uiteraard toe vanuit het E-Zorg netwerk. Echter voor gebruik voor uw formulier op uw website, zoals een contactformulier of herhaalreceptformulier kunt u voor juiste verwerking geen mailadres van @ezorg.nl gebruiken.
Door het SPF record van ezorg.nl is er een grote kans dat uw mail niet juist wordt afgeleverd bij de ontvanger. Gebruik voor uw website een correct mailadres die eindigt op hetzelfde domein als van uw website. Zorg ook voor de juiste inrichting van uw SPF record. Uw webhoster kan u hierbij assisteren.