Zelf SPF instellen
Voorbereiding
Ter voorbereiding: wat heb je nodig:
Toegang tot de DNS van het domein
Verzamel van elke maildienst (online facturen, nieuwsbrieven, etc.) de SPF gegevens
Heb je DMARC observatie al aangezet? Kijk dan of er al resultaten zichtbaar zijn. Met andere woorden, kom je andere maildiensten tegen die je herkent?
Houd rekening met deze limieten en valkuilen van SPF
Verzamel de SPF van de maildiensten
In "Hoe werkt SPF" is het mechanisme te zien. Elk domein is anders en elke eigenaar zal zelf de SPF bij elkaar moeten zoeken en in DNS opnemen. Dat kan soms zoeken zijn en in het uiterste geval kun je het beste contact opnemen met de helpdesk van de maildienst waar je de SPF van op wilt nemen. Googlen op maildienst en SPF helpt je hier het beste bij. Gebruik je bijvoorbeeld de Nederlandse nieuwsbrieven maildienst Laposta (Mailchimp concurrent), dan google je op: "SPF Laposta" (zonder aanhalingstekens). Noteer de SPF gegevens van elke maildienst. Heb je alles, dan kunnen we de SPF in DNS opvoeren.
Deze site kan je helpen met het opbouwen van een SPF record. De SPF controleren doe je hier.
SPF in DNS opvoeren
In de ‘control panel’ van jouw hostingprovider pas je de DNS ‘zonefile‘ van jouw domein aan. Daar vind je deze kolommen: Naam, Type en Waarde. Meestal ook de TTL. Hieronder een voorbeelden van Google, Office 365, Mailchimp en de Nederlandse variant Laposta.
Opmerking: vaak wordt door de hostingprovider ~all aan het einde van de spf regel gebruikt. De tilde (~) voor de all betekent "softfail". Daarmee zeg je dat je geen beslissing wilt maken of jouw spf moet worden aangehouden of niet. Je hebt hierdoor geen invloed op wat er met mails gebeurt dat namens jouw domein worden verstuurd.
De “-all” (min teken voor de all) staat voor “fail”. Door de tilde te vervangen met min teken zeg je dat een mail afkomstig van een mailzender die niet in spf staat moet worden geweigerd. Met deze eenvoudige aanpassing heb je invloed. Zie ook het kopje hieronder "Opties van een SPF TXT-record".
Google Workspace
+---------------+-------+---------+------------------------------------------------+
| Naam | TTL | Type | Waarde |
+---------------+-------+---------+------------------------------------------------+
| @ | 1 dag | TXT | v=spf1 include:_spf.google.com -all |
+---------------+-------+---------+------------------------------------------------+
Bron: Google SPF en Google TXT instructies
Microsoft Office 365
+---------------+-------+---------+------------------------------------------------+
| Naam | TTL | Type | Waarde |
+---------------+-------+---------+------------------------------------------------+
| @ | 1 dag | TXT | v=spf1 include:spf.protection.outlook.com -all |
+---------------+-------+---------+------------------------------------------------+
Bron: Microsoft artikel
Mailcampagne van Laposta toevoegen
Gebruik je reclamecampagnes via Laposta, dan sturen zij namens jouw domein e-mails uit. De mailservers van Laposta neem je ook op in de SPF allowlist. Als voorbeeld staat hier ook de include van Google samen met de Laposta include . Dat ziet er dan zo uit:
+--------+-------+---------+--------------------------------------------------------------+
| Naam | TTL | Type | Waarde |
+--------+-------+---------+--------------------------------------------------------------+
| @ | 1 dag | TXT | v=spf1 include:_spf.google.com include:spf.eprov.nl -all |
+--------+-------+---------+--------------------------------------------------------------+
Bron: Laposta artikel.
Mailcampagne van Mailchimp toevoegen
Gebruik je reclamecampagnes via bijvoorbeeld Mailchimp, dan sturen zij namens jouw domein e-mails uit. De mailservers van Mailchimp horen dus ook in de SPF allowlist. Als voorbeeld staat hier ook de include van Google samen met de Mailchimp include . Dat ziet er dan zo uit:
+--------+-------+---------+------------------------------------------------------------------+
| Naam | TTL | Type | Waarde |
+--------+-------+---------+------------------------------------------------------------------+
| @ | 1 dag | TXT | v=spf1 include:_spf.google.com include:spf.mandrillapp.com -all |
+--------+-------+---------+------------------------------------------------------------------+
Bron: Mailchimp artikel onder kopje “SPF”.
Heb je een domein dat je parkeert?
Maak je voorlopig geen gebruik van de mail vanaf je domein? Dan mag geen enkele server in de lijst voorkomen en dat ziet er als volgt uit:
+--------+-------+---------+----------------------------------+
| Naam | TTL | Type | Waarde |
+--------+-------+---------+----------------------------------+
| @ | 1 dag | TXT | v=spf1 -all |
+--------+-------+---------+----------------------------------+
Opties van een SPF TXT-record
In deze sectie vind je de opties van een SPF record.
1. De TXT-record begint met “v=spf1” om aan te geven welke versie van SPF wordt gebruikt. Versie 1 is op het moment van schrijven de hoogste versie.
2. De overige opties zijn:
“a” – de ‘a’ stelt dat alle A-records (Type) die in jouw domein vermeld staan mail mogen versturen namens jouw domein (weet je het zeker?)
“mx” – de ‘mx’ stelt dat alle MX records (Type) die in jouw domein vermeld staan mail mogen versturen namens jouw domein (weet je het zeker?)
“include:” – gevolgd door een domeinnaam. In dit domeinnaam moet de SPF record worden opgezocht.
“ip4” / "ip6" – IP nummers of 'subnetten' van mailservers
“ptr” – wordt sinds 2014 niet meer gebruikt
3. Heb je alle mailservers toegevoegd? Hiermee eindigt een SPF record: "-all". Hieronder alle opties voor het afsluiten:
“-all” – “fail” - Staat de zender van de mail niet niet in de lijst, dan is de mail afgekeurd.
“~all” – “softfail” - Het tilde tekentje voor 'all' betekent “Softfail”. Het is een 'zwakke' beslissing en stelt hiermee dat je niet weet of de zendende host geautoriseerd is. Softfail is geen "falen" en geen "neutraal". Niet aan en niet uit. Het is dan ook de beslissing van de ontvangende mailserver om hier een oordeel over te fellen. Mogelijk wordt het naar de spamfilter gestuurd en dat kan alsnog betekenen dat de mail naar een spamfolder wordt verplaatst of zelfs niet wordt afgeleverd.
“?all” – betekent “Neutral” en zegt in feite “negeer alles op deze regel”. Als dit aan het einde van een SPF staat gebeurt er dus niets. Waarom de moeite een SPF te schrijven? Het betekent dat de beheerder geen idee heeft wat hij of zij aan het doen is. Gebruik nooit het vraagteken.
Het advies is om de SPF regel te eindigen met "-all" (minteken voor de all).
:: Lees meer over de limieten en valkuilen van SPF >>
Gebruik SPF op meerdere domeinen
Soms hebben organisaties meerdere domeinen waarbij mail dezelfde SPF inhoud hebben. Met een 'centrale' SPF record kun je al deze domeinen hier naar verwijzen. Hieronder een voorbeeld waarbij de domein SPF verwijst naar een record dat "_spf.voorbeeld.nl" heet. Stel de SPF op de andere domeinen op exact dezelfde manier in met jouw SPF hoofddomein.
Opmerking: Standaardiseren is belangrijk, maar houd er rekening mee dat deze actie een van de tien lookups opmaakt. Bekijk deze en andere limieten en valkuilen van SPF
Stap 1: Creëer TXT record met SPF opbouw waar andere domein SPF's naar verwijzen (_spf.voorbeeld.nl)
+--------+-------+---------+--------------------------------------------------------------+
| Naam | TTL | Type | Waarde |
+--------+-------+---------+--------------------------------------------------------------+
| _spf | 1 dag | TXT | v=spf1 include:_spf.google.com include:_spf.transip.email |
| | | | include:spf.eprov.nl -all |
+--------+-------+---------+--------------------------------------------------------------+
Stap 2: Neem in alle domeinen de bovenstaande SPF op, dat ziet er ongeveer zo uit:
+--------+-------+---------+--------------------------------------------------------------+
| Naam | TTL | Type | Waarde |
+--------+-------+---------+--------------------------------------------------------------+
| @ | 1 dag | TXT | v=spf1 include:_spf.voorbeeld.nl -all |
+--------+-------+---------+--------------------------------------------------------------+
Controleer de SPF van jouw domein
Controleer op deze pagina of de SPF in orde is. Je krijgt duidelijke aanwijzingen op wat er nog moet worden aangepast. Mocht je foutmeldingen tegenkomen, kijk dan op deze pagina voor de "SPF limieten en valkuilen".