Vraag

dinsdag 25 juni 2019 16:38

Acties:
  • 0 Henk 'm!
  • lDDQD
  • Registratie: Juli 2018
  • Laatst online: 06-10 10:50

lDDQD

Topicstarter
Hoi Tweakers,

Ik ben nog niet helemaal thuis in SPF (Sender Policy Framework) en vroeg mij af of iemand mij kan onderwijzen over SPF. Ik heb uiteraard verschillende artikelen gelezen over SPF (waaronder: https://www.byte.nl/kennisbank/dns/spf-records) maar ik voel dat ik nog niet helemaal begrijp wie welke rol heeft (verzender en ontvanger).

Als ik het goed begrijp:

- Ontvangende mailserver heeft SPF geïmplementeerd
- Verzender heeft in zijn DNS een SPF-record waaruit blijkt welke mailadressen van het domein mogen versturen
- Ontvangende mailserver checkt de externe DNS-server voor SPF-records en bepaalt of de mail binnen mag komen


Klopt dit? Wat ik onduidelijk vindt in dit verhaal is wat de verzender allemaal moet regelen als een ontvangende mailserver SPF juist heeft ingeregeld.

Alvast bedankt voor jullie reacties!

:)

Alle reacties

dinsdag 25 juni 2019 16:57

Acties:
  • +2 Henk 'm!
  • Outerspace
  • Registratie: Februari 2002
  • Laatst online: 09:19

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Dat klopt wel, zie ook https://www.antagonist.nl/blog/2016/11/spf-record/ voor een uitgebreide uitleg over SPF. Voor de verzender staat in het spf record dat het domein xxx mag verzenden vanuit de Exchange omgeving en de ontvanger valideert adhv het spf record of dat bericht ook daadwerkelijk van dat domein afkomt en doorgelaten kan worden.

Daarnaast kan je ook nog eens gebruik maken van DMARC en DKIM. Die zijn meer voor het spoofen van adressen, SPF niet.
offtopic:
het kan zijn dat mijn kennis afgestoft moet worden, maar zo staat het mij bij

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

dinsdag 25 juni 2019 16:58

Acties:
  • +1 Henk 'm!
  • ArWa
  • Registratie: December 2014
  • Laatst online: 07-10 19:25

ArWa

Als verzendende partij maak je inderdaad een DNS record aan. In dit record geef je aan vanaf welke servers (IP-adressen) gemaild mag worden voor dat betreffende domein.

Je wilt bijvoorbeeld mails versturen vanaf email@domein.nl Het ip-adres van de mailserver van domein.nl is 1.2.3.4. In de DNS-records van domein.nl maak je dan een SPF-record aan waarin je aangeeft dat server 1.2.3.4. geautoriseerd is om te mailen vanaf domein.nl

De ontvangende partij moet controleren of een ontvangen e-mail ook daadwerkelijk vanaf de geautoriseerde mailserver is ontvangen. Het ip-adres van de server is op te maken uit de e-mailheaders. Door de DNS (SPF-record) van het domein dat achter de @ staat op te zoeken kan de ontvangende partij verifiëren of deze mail echt van de betreffende partij afkomstig is.

dinsdag 25 juni 2019 16:58

Acties:
  • +1 Henk 'm!
  • Axewi
  • Registratie: Maart 2009
  • Laatst online: 07-10 15:43

Axewi

Volgens mij klopt het inderdaad zoals je beschrijft. Het is in het kort dus een maatregel om te controleren of de server die de email verzonden heeft ook toestemming heeft om dit te doen.

De verzender moet dus regelen dat zijn\haar SPF records in orde zijn, met andere woorden ze moeten alle ip adressen waarvan mail wordt gestuurd onder hun domeinnaam toevoegen aan het spf record.
Bijvoorbeeld:
- ip van eigen mailserver
- ip van spamfilter
- ip van email service zoals mailchimp o.i.d.

Eigenlijk ieder ip wat email mag versturen namens jou moet je toevoegen.

Het spamfilter aan de ontvangende kant checkt vervolgens bij een ontvangen mail of het ip waar de mail vanaf komt ook in die spf record staat van het domein.

Daarnaast heb je dan nog DKIM en DMARC. https://www.scct.nl/spf-dkim-en-dmarc-ermee/

Als de lat te hoog ligt kun je er nog altijd onderdoor lopen.

dinsdag 25 juni 2019 22:54

Acties:
  • +2 Henk 'm!
  • valkenier
  • Registratie: Maart 2000
  • Laatst online: 07-10 09:24

valkenier

Outerspace schreef op dinsdag 25 juni 2019 @ 16:57:
Dat klopt wel, zie ook https://www.antagonist.nl/blog/2016/11/spf-record/ voor een uitgebreide uitleg over SPF. Voor de verzender staat in het spf record dat het domein xxx mag verzenden vanuit de Exchange omgeving en de ontvanger valideert adhv het spf record of dat bericht ook daadwerkelijk van dat domein afkomt en doorgelaten kan worden.

Daarnaast kan je ook nog eens gebruik maken van DMARC en DKIM. Die zijn meer voor het spoofen van adressen, SPF niet.
offtopic:
het kan zijn dat mijn kennis afgestoft moet worden, maar zo staat het mij bij
In het SPF record staan ip adressen of verwijzingen naar servers die mogen verzenden voor het domein. En dat hoeft natuurlijk niet altijd Exchange te zijn,..... There is more than Microsoft.

De ontvanger kijkt in het DNS record of de verzendende server gevalideerd is voor het domein. Aan het einde van je SPF record geef je aan hoe de ontvanger met niet valide verzenders moet worden omgegaan. Voor een eigen domein, kun je dat strak afregelen. Bij mijn domein staat dit op reject.

Misschien heb je hier iets aan:
https://www.spfwizard.net/
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq