Table of Contents
SPF
Staat voor Sender Policy Framework. In een SPF-record kan je omschrijven welke servers namens de domeinnaam e-mail mogen verzenden.
Een ontvangende server kan onder andere op basis van het SPF-record besluiten om een e-mail door te laten, te markeren als onveilig of helemaal te weigeren.
Kort gezegd; via het SPFrecord controleer je of een server mail mag versturen onder de betreffende domeinnaam.
Wij adviseren meestal dit te doen via de website https://www.spfwizard.net/.
Je kunt verschillende waardes instellen aan het eind voor het record, ook wel Mechanisms genoemd:
- “+” Pass — Het SPF-record duidt de host aan die toestemming moet hebben om te verzenden.
- “-” Fail — Servers die niet zijn opgenomen in het SPF-record, mogen ook niet mailen met het betreffende domein.
- “~” SoftFail — Het SPF-record duidt de host aan die toestemming moet hebben om te verzenden.
- “?” Neutral — Het SPF-record geeft expliciet aan dat er niets wordt gecontroleerd.
Als je via onze servers e-mail verstuurt maar andere nameservers gebruikt, dan kun je bij die partij onze SPF include aan het SPF-record toevoegen. Je hoeft dan alleen de volgende tekst in het bestaande SPF-record toe te voegen:
include:spf.ixlhosting.nl
DKIM
Staat voor Domain Keys Identified Mail. Berichten worden ondertekent door verzender van de email, daarna
wordt er een hash berekend over de headers en het bericht en wordt versleuteld.
De ontvanger decrypt de hash middels de publieke dnskey en controleert dan of de hash klopt.
Bij Proserve is de selector standaard x. (x._domainkey), welke ook standaard wordt aangemaakt binnen het systeem, als je gebruikt maakt van onze DNS (dit record wordt dan standaard aan je DNS-records toegevoegd).
Indien de DNS elders gehost wordt, dan is het van belang om de waarde en de selector over te zetten naar die partij.
Let overigens op: deze informatie is niet van toepassing op Hosted Exchange-pakketten. De DKIM key die hierboven besproken is als zijnde een standaard onderdeel van onze geleverde diensten, is enkel van toepassing op mail die op een afgenomen VPS gehost wordt.
DMARC
Staat voor Domain-based Message Authentication, Reporting, and Conformance. DMARC laat ontvangers weten welke maatregelen de verzender standaard neemt door het publiceren van policies en kan worden gebruikt voor rapportage.
Als zowel SPF als DKIM kloppen, krijgt het bericht een DMARC pass.
Wil je wel gebruik maken van DMARC maar dan in de eenvoudigste vorm, plaats dan een record met “v=DMARC1; p=none”.
Mocht je een geavanceerde DMARC policy willen, zie dan het onderstaande voorbeeld:
v Protocolversie v = DMARC1
pct Percentage berichten onderworpen aan filtering pct = 20
ruf Rapportage URI voor forensische rapporten ruf = mailto: authfail@example.com
rua Rapportage-URI van verzamelde rapporten rua = mailto: aggrep@example.com
p Beleid voor organisatiedomein p = quarantaine
sp Beleid voor subdomeinen van de OD sp = afwijzen
adkim Uitlijnmodus voor DKIM adkim = s
aspf Afstemmingsmodus voor SPF aspf = rHier kun je een DMARC record genereren: https://mxtoolbox.com/DMARCRecordGenerator.aspx
Wat zijn de voor en nadelen van DMARC?
- Garantie dat het bericht afkomstig is van het verzendende domein.
- Zowel SPF als DKIM moeten goed geconfigureerd zijn.
- Goede configuratie “garandeert” aankomst e-mail.
- Foutieve configuratie leidt tot gegarandeerde blokkade.