Het vorige artikel (deel 1 van 4 over DNS-records) omschrijft wat het Domain Name System precies is, en hoe het bijdraagt tot de informatiebeveiliging van uw bedrijf.

DNS-records helpen namelijk uw eigen mail uit de spambox van uw ontvangers te houden, en vervalste e-mails te detecteren.

 

Het Sender Policy Framework (SPF) DNS-record is een eerste methode om legitieme e-mail van valse te helpen onderscheiden.

Sender Policy Framework (SPF)

Het SPF-record wordt gebruikt om aan te duiden welke e-mailservers e-mails mogen uitsturen voor uw domeinnaam.

E-mails uitgestuurd via een mailserver die op deze whitelist staan, worden door de ontvangende mailserver als ‘meer betrouwbaar’ aanzien. Tegelijkertijd zullen e-mails die via een andere mailserver werden verstuurd, sneller aangeduid worden als spam en/of potentieel gevaarlijk.

Werking

In de vorige blogpost illustreerde de vergelijking tussen e-mail en briefpost het nut van DNS-records.

Nadat uw e-mail gearriveerd is bij de mailserver van de geadresseerde, zal deze via DNS het SPF-record van uw organisatie ophalen. Het ‘tegenadres’ van de mailserver waaruit de e-mail werd uitgestuurd wordt vergeleken met de data in het SPF-record. Komt dit overeen, dan wordt de mail toegestaan. Matcht dit niet, dan wordt de mail (meestal) als spam aangeduid.

Structuur van het SPF-record

Elke SPF-record begint met een aanduiding van de SPF-versie (v=spf1), gevolgd door een aantal regels en acties.

Regels

De identificatie van (geldige) mailservers kan gebeuren op basis van:

• IPv4-adres (range) - ipv4
• IPv6-adres (range) - ipv6
• Domeinnaam (A-record) - a
• Mailserver voor een domein (MX-record) - mx

U kan ook een SPF-record van een extern domain gebruiken via de ‘include’ parameter. Dit wordt over het algemeen gebruikt wanneer e-mails voor uw organisatie extern worden beheerd (bv. Office 365) of wanneer u een externe tool gebruikt voor het uitsturen van e-mails (bv. nieuwsbrieven).

Ten slotte kan u ook een regel definiëren voor mailservers die niet overeenkomen met voorafgaande regels (all). Deze regel staat altijd op het einde van het SPF-record.

Acties

Er zijn 4 acties die u kan toekennen aan de voorgaande regels. Deze acties bepalen het gedrag van de ontvangende mailserver:

• “+” – een match met deze regel betekent dat de mailserver gerechtigd is om e-mail te versturen voor uw domeinnaam. Wanneer er geen expliciete actie bij een regel wordt vermeld, gaat het altijd om een positieve match.
• “-“ – mailservers die met deze regel matchen, worden expliciet geweigerd mails uit te sturen voor uw domeinnaam.
• “~” – een “soft fail” geeft aan dat de mailserver hoogstwaarschijnlijk niet geautoriseerd is om mails uit te sturen voor uw domein. Ontvangende mailservers zullen deze mails vaak markeren als spam/verdacht.
• “?” – een neutrale actie maakt geen specifieke beslissing over de toestemming om mails uit te sturen. Dit wordt meestal gebruikt voor de laatste allesomvattende (all) regel.

Het SPF-record van clipeum uitgelegd

We kunnen de structuur van een SPF-record eenvoudig uitleggen op basis van het SPF-record voor clipeum.be:

v=spf1 include:spf.protection.outlook.com include:_spf.createsend.com include:spf.mandrillapp.com a:relay.hannibal.be -all

• v=spf1

De gebruikte versie van de SPF-standaard, hier versie 1.

• include:spf.protection.outlook.com

Haalt externe SPF-record op voor ‘spf.protection.outlook.com’.
Deze laat toe dat we e-mails verzenden via Office365.
Omdat we geen expliciete actie vermelden, geldt deze regel als een positieve (+) match.

• include:_spf.createsend.com

Haalt externe SPF-record op voor ‘_spf.createsend.com’.
Wij gebruiken CreateSend voor het uitsturen van onze nieuwsbrieven.

• include:spf.mandrillapp.com

Haalt externe SPF-record op voor ‘spf.mandrillapp.com’.
Deze regel laat het toe om vanuit de clipeum ERP-tooling facturen uit te sturen.

• a:relay.hannibal.be

Dit laat de mailserver van Hannibal, ontwikkelaar van onze website, toe om ons te mailen via het contactformulier op onze website.

• -all

Mailservers die niet voldoen aan bovenstaande regels krijgen een “hard fail” en worden door de ontvangende mailserver sowieso geweigerd of rechtstreeks in de spam-box geplaatst. Het SPF-record eindigt doorgaans namelijk met een actie voor afzenders die niet voldoen aan de voorgaande regels.

Conclusie

Door gebruik te maken van een SPF-record, verhoogt u de betrouwbaarheidsscore van de e-mails die verstuurd worden vanuit door u erkende mailservers. Tegelijkertijd is dit een eerste methode waarmee een ontvangende mailserver valselijk verstuurde e-mails kan detecteren en als verdacht/spam kan markeren.

Volgende blogposts tonen u hoe u uw e-mailbetrouwbaarheid verder verhoogt met de DKIM- en DMARC-DNS-records.

Heeft u nog vragen over het nut van SPF-records, of wenst u meer te weten over hoe u uw bedrijf bijkomend kan beschermen op het vlak van ICT-security? Neem vrijblijvend contact op en wij helpen u met plezier verder!

 

Stijn Crevits – 10/05/2021