E-mailfraude bemoeilijken met SPF
Weinig mensen beseffen het, maar het is mogelijk om e-mail te versturen met een willekeurig gekozen afzenderadres. Iedereen kan dus e-mail versturen onder uw naam. Er zijn enkele technieken om dit te bemoeilijken, en één daarvan is SPF: het Sender Policy Framework. Dit stelt ontvangers in staat om te checken of mail uit uw naam vals is.
SPF is een standaard die op het internet is afgesproken om eigenaren van domeinnamen de mogelijkheid te geven om te publiceren wie e-mail mag versturen met e-mailadressen onder hun domeinnaam als afzender. U publiceert (middels DNS) een lijst met servers die geautoriseerd zijn om uw mail te verzenden. Ontvangers kunnen dit checken, en als de check faalt het bericht als "spam" aanmerken.
Hoe gaat dat in zijn werk?
Om SPF in te kunnen stellen heeft u toegang nodig tot de DNS-instellingen voor uw domein. Sommige organisaties hebben hun eigen DNS-server, maar de meeste gebruiken een webapplicatie van het bedrijf waar ze de domeinnaam geregistreerd hebben, en laten dit bedrijf het DNS-verkeer afhandelen. Hoe dan ook heeft u de persoon of personen nodig binnen uw bedrijf die verantwoordelijk zijn voor het DNS-beheer.
In DNS moet namelijk een record gepubliceerd worden van type TXT met daarin de definitie van uw uitgaande mailservers. In veel gevallen zijn dat dezelfde als de inkomende mailservers. In dat gevaal volstaat een eenvoudig SPF-record:
v=spf1 mx ~all
Deze tekst bestaat uit 3 delen: ten eerste de versie-indicatie. Deze specificatie geeft aan dat het record een SPF-indicator bevat volgens versie 1 van de SPF-standaard: v=spf1.
Het tweede deel van de waarde van het SPF-record geeft aan welke adressen e-mail mogen versturen voor dit domein. In dit geval wordt de waarde mx gegeven, wat betekent dat mail mag worden verzonden door de servers die ook inkomende mail ontvangen, volgens de specificatie in de DNS-records met type MX.
Andere mogelijke waarden op deze plek zijn bijvoorbeeld:
- a geeft aan dat het adres in het A-record voor het domein e-mail mag verzenden;
- u kunt ook a:mail.phishingtest.com opgeven als u een specifieke hostnaam wilt machtigen om mail te sturen;
- ip4:1.2.3.4 als u een specifiek IP-adres of reeks IP-adressen wilt opgeven (een reeks geeft u aan met de "slash-notatie", bijvoorbeeld 10.12.14.0/24);
- op dezelfde manier kan dit met ip6: voor IPv6-adressen en -reeksen;
- include:google.com als uw e-mail geheel of gedeeltelijk wordt afgehandeld door (bijvoorbeeld) Google, en u wilt verwijzen naar de SPF-records voor google.com.
U kunt meerdere van deze definities opnemen, gewoon achter elkaar. Deze definities zijn dan allemaal geldig. Bijvoorbeeld:
v=spf1 mx ip4:213.138.110.240 ip6:2001:41c8:51:5f0::/64 include:nieuwsbriefmarketing.nl a:mail.mijndomein.com ~all
Het laatste gedeelte geeft aan wat te doen met mail die niet voldoet aan één van de opgegeven mogelijke verzenders. In het voorbeeld geven we ~all aan. De tilde (~) geeft een zogenaamde soft fail aan: wees niet te streng, maar beschouw het falen van SPF als een mogelijke indicator van spam of phishing. Bent u stelliger over de juistheid van uw SPF-record dan gebruikt u -all (een minteken in plaats van de tilde) om een hard fail aan te geven: weiger e-mail die niet voldoet aan deze SPF-specificatie.
Ten behoeve van de leesbaarheid is dit artikel niet uitputtend in alle mogelijkheden voor het schrijven van SPF-records. Een volledig overzicht is te vinden op openspf.org.