Ben je er tegenaan gelopen dat je mails als spam gemarkeerd worden, of wil je een externe dienst gebruiken voor het versturen van mail? Dan zul je vroeg of laat horen dat je het SPF-record moet aanpassen.


Wat is een SPF-record

Eenvoudig gezegd, een SPF-record is een TXT-record in je DNS dat je kunt zien als een lijst van servers dat mag mailen namens je domein. Wanneer er toch mails verstuurd worden vanuit servers dat niet op de SPF staan, dan zullen deze mails sneller als spam gemarkeerd worden.

Dit record bestaat dus om te voorkomen dat iemand mails verstuurt namens jouw domein, zonder dat ze daarvoor gemachtigd zijn.


Hoe is een SPF-record opgebouwd

Hieronder kijken we eens naar hoe een eenvoudig SPF-record eruitziet in Mijn Oxilion. Dit is de SPF dat je standaard krijgt wanneer je bij ons een domein registreert.

A screenshot of a cell phone

Description automatically generated

Je ziet de waarde "v=spf1 a mx ?all”

Als je nog nooit met een SPF-record gewerkt hebt, zal dit je wellicht niet zoveel zeggen.

Een SPF bestaat uit drie onderdelen. Op deze onderstaande afbeelding zie je deze gesplitst in het rood, blauw, groen.

A close up of a logo

Description automatically generated

Protocol

In het rood, is het protocol. Dit is altijd de start van het SPF-record. V=spf1
Dit is simpelweg een indicatie dat je TXT-record een SPF-record is. SPF-protocol versie 1.


Includes

In het blauw, is de inhoud. Dit noemen we de includes. De includes zijn referenties naar servers via DNS referenties wie mag mailen namens je domein. In dit geval staat er a mx Dit zijn twee losse includes. Een referentie naar het A-record van je domein, en een referentie naar het MX record van je domein.


Wat het dus betekent, is dat de server achter je A-record mag mailen, en de server achter je MX record. Bij ons is dat over het algemeen via het A-record de server van je hostingpakket, en het MX record ons spamfilter.


Wanneer onze anti spam dienst niet je MX record is, kun je ook include:spf.mail-scanner.eu gebruiken.

Er bestaan nog meer includes die verderop in deze handleiding besproken worden. 


All

In het groen is het “All” mechanisme. Hiermee kun je een aanduiding geven hoe streng er naar het SPF record moet worden gekeken. Ons eigen record eindigt met een ?all mechanisme dat geen strenge aanduiding is.


Er bestaan vier aanduidingen.

AanduidingBenamingStrengheidsgraadFunctie
+allPassGeenLaat alles door
?allNeutraalMinst strengGeen verplicht beleid
~allSoft FailStrengMails welke niet voldoen markeren als spam
-allFailStrengstMails welke niet voldoen weigeren


Hoewel de realiteit wat genuanceerder ligt, kun je het zien als “niets, minst streng, strenger, strengst”.


In de praktijk mag een ontvanger zelf bepalen wat ze met een ontvangen mail doen. Bij bijvoorbeeld Gmail en Hotmail word een mail vaak al geweigerd als een mail niet aan een neutral ?all mail voldoet, waar anderen zelfs “Soft fail” mails accepteren, maar in de ongewenst folder zetten.


Je zou een aanduiding als +all en ?all als “niet zo nuttig” kunnen zien. Echter brengt het strenger zetten ook weer nadelen met zich mee. Als een eindgebruiker zijn SMTP-instellingen in zijn mailprogramma bijvoorbeeld niet correct instelt, wil hij nog wel eens mails versturen via de servers van zijn eigen internetprovider. Deze zouden met een strenge SPF erg makkelijk geweigerd worden.


Als iedereen zich correct aan de regels houdt, kun je makkelijk met de strengste SPF wegkomen. Maar gaan alle gebruikers van je domein dit doen? Dat is nog maar de vraag.

 

Extra includes

Een belangrijke include is include:spf.mail-scanner.eu. Deze is van ons spamfilter.


Het is mogelijk dat je nog meer maildiensten wilt gebruiken, buiten die van ons, of Office, of Gmail. Zo zou je bijvoorbeeld nieuwsbrieven kunnen versturen via bijvoorbeeld Mailgun of Mailchimp of zelfs je eigen server.


Je kunt meerdere diensten toevoegen aan een SPF-record wanneer gewenst.


Hieronder een voorbeeld van een SPF-record dat zowel de website van een domein (a) mails kan laten versturen, Gmail, Office365 én mailgun én een eigen IP adres van 255.255.255.255.


"v=spf1 a include:_spf.google.com include:spf.protection.outlook.com include:mailgun.org ip4:255.255.255.255 ?all”


Dit is in principe een geldig record, maar je moet niet te hard van stapel lopen, je SPF-record mag maar 10 DNS verwijzingen hebben naar diensten.


Met een externe SPF-checker kun je zien of je SPF-record voldoet aan de eisen. Bijvoorbeeld MX Toolbox.


Voorbeelden van bestaande SPF-records

Hieronder geven we je een aantal voorbeelden van veelvoorkomende SPF-records, en ook een paar gecombineerde SPF-records. Wanneer je genoeg SPF-records naast elkaar ziet, snap je vaak zelf ook hoe je er toevoegingen aan maakt.

 

SPF-record dat alleen Office365 toelaat om te mailen, zoals Microsoft deze standaard aanbeveelt:

"v=spf1 include:spf.protection.outlook.com -all”

 

SPF-record dat alleen Google Mail toestaat om te mailen:

"v=spf1 include:_spf.google.com -all”

SPF-Record dat zowel Google En Office365 toestaat om te mailen. Je kunt zien hoe dit gewoon één SPF record is, met de beide includes van de vorige twee voorbeelden.

"v=spf1 include:spf.protection.outlook.com include:_spf.google.com -all”

 

Hieronder een voorbeeld van een SPF record dat veel bij ons voorkomt. Ons spamfilter en Office365. Dit is een typisch record wanneer iemand Email van Office365 heeft, maar tegelijkertijd ook een hostingpakket met een website dat een contactformulier heeft dat mails kan versturen.

"v=spf1 include:spf.protection.outlook.com include:spf.mail-scanner.eu -all”

 

Heb je een maildienst op het oog dat we hier niet besproken hebben? De klantenservice van een dergelijke maildienst zal vaak een handleiding hebben met een instructie waarin staat hoe de SPF include van die dienst eruit ziet.

 

Limitaties van het SPF-record

Er zitten enkele regels en beperkingen aan een SPF-record. We zetten deze hier even op een rij:

  1. Je SPF-record mag maar maximaal 255 tekens lang zijn. Dit kun je omzeilen door een verwijzing te maken naar een extra SPF-record, maar dit brengt weer een DNS lookup met zich mee.
  2. Je mag maar maximaal 10 DNS lookups invullen. Dit is dus inclusief SPF-toevoegingen welke verwijzen naar andere DNS records, die op zichzelf weer naar andere records verwijzen.
  3. Een SPF-record in combinatie met email forwarders gaat ook vaak mis. Email forwarders zijn op zichzelf al onbetrouwbaar, omdat ze op spam lijken, maar wanneer ook de SPF van het domein van een geforwarde mail bekeken wordt, zal deze er vaak niet aan voldoen.
  4. Je mag maar één SPF-record hebben op een gegeven (sub)domein. Een spamfilter zal naar één SPF-record kijken en niet verder. Heb je er meerdere? Dan krijg je een e-mail werkt soms wel / soms niet ervaring.

 

Met de SPF-checker van MX Toolbox kan je eenvoudig nagaan of het ingestelde SPF-record voldoet aan de eisen.