Sender Policy Framework (SPF): doe het goed of doe het niet.

U moet er niet aan denken dat uw klanten of leveranciers spam ontvangen die van uw bedrijf afkomstig lijkt te zijn. Het instellen van een Sender Policy Framework (SPF) kan dit voorkomen. Maar die methode is niet zonder risico’s.

Het instellen van het Sender Policy Framework (SPF) helpt te voorkomen dat anderen uw domeinnaam misbruiken om namens u spam te versturen. Maar wist u dat een verkeerd ingesteld SPF-record ook problemen kan veroorzaken?

Shortread: SPF is op het niveau van de ‘dagelijkse praktijk’ klote. Je doet het nooit goed voor alle situaties! Realiseer je dat. Met het ontsluiten van het ene, verstoor je het andere. Stoppen is geen optie. Leer over de impact die het kan hebben en weeg het mee.

Wat is SPF?

SPF is een systeem waarmee de herkomst van inkomende mails geverifieerd kan worden. Komt een mail daadwerkelijk van de server waarvan hij zegt dat hij er vandaan komt? Het systeem zorgt er niet voor dat u zelf geen spam meer ontvangt. Het is een manier om de aflevering van uw uitgaande e-mail beter te verzorgen. Mits correct ingesteld is dat natuurlijk wel zo netjes voor uw relaties!

SPF record - controle van email

Verschillende gradaties

U kunt uw SPF-record zo instellen dat andere servers uw e-mails alleen mogen aannemen als deze verstuurd zijn via uw verzendende servers. Dit doet u door in een TXT-record in het Domain Name System de geautoriseerde verzendende servers te registreren. Het betreft in feite een lijstje met IP-nummers die mail mogen verzenden uit uw naam.

Een minder strenge variant op deze instelling is om andere servers ook mail te laten aannemen die niet via uw verzendende servers is verstuurd, alleen zal die mail dan eerder als spam worden aangemerkt. Onze spamfilters geven mails die vanaf een andere server verzonden worden dan in de SPF-records vermeld wordt, standaard onmiddellijk een spamscore van tachtig à negentig procent.

SPF en thuiswerken

Het instellen van een SPF-record kan echter ook ongewenste bijeffecten hebben. Als medewerkers bijvoorbeeld regelmatig vanuit huis (of elders) werken en daarbij mail versturen vanaf een privé provider, dan kan dat de werking van uw SPF-record ondermijnen. Uw SPF-record vertelt de ontvangende server dan immers dat die uw mail moet wantrouwen.

SPF en forwarden

Een ander probleem ontstaat wanneer medewerkers een ‘forward’ instellen. Bijvoorbeeld wanneer zij ‘out of office’ zijn of liever een ander mailprogramma gebruiken. Omdat de doorgestuurde mails van uw server afkomstig zijn terwijl ze oorspronkelijk via een andere server zijn verstuurd, belanden ze door de SPF-controle van het externe mailprogramma (bijvoorbeeld Gmail) in de spamfolder.

Het enige wat u hieraan kunt doen, is het afzenderadres automatisch herschrijven op het moment dat u mails wilt laten forwarden. Doorgestuurde berichten worden dan wel netjes afgeleverd, maar met het grote nadeel dat u niet meer kunt zien waar het oorspronkelijke bericht vandaan kwam. U kunt alleen replyen naar uzelf, want de echte afzender is compleet gewist (om te voldoen aan de eisen in het SPF).

Voorbeeld in ‘gewone mensentaal’

Als een medewerker vanuit zijn eigen huis een mail verstuurt uit naam van het bedrijf (bijvoorbeeld roel@kwaaijongens.nl) en hij gebruikt zijn privé PC en (meestal dan toch) daarmee de mailserver van zijn provider (bijvoorbeeld smtp.ziggo.nl) dan botst dit met het SPF van ‘kwaaijongens.nl’. Want in dat SPF staat nergens dat er email uit naam van ‘@kwaaijongens.nl’ door mailservers van Ziggo verstuurd mag worden. Gebeurt dit toch, behandel het dan maar als spam!

Borduur verder op dit voorbeeld en projecteer het op de mogelijke impact die SPF heeft binnen uw organisatie.
Wellicht zet dit u op het spoor bij het opsporen van enkele (tot op heden) schijnbaar ‘onverklaarbare’ emailproblemen!

Komt u er echt niet uit en is het een issue, dan staan wij klaar. Zie ‘Contact’ hierboven. Vraag naar Roel.

Trouwens, het blijft een beslissing van iedere mailserver zelf, hoe strikt er SPF toegepast zal worden. Sommigen kijken er helemaal niet naar, anderen zijn haantje de voorste.

Doe het goed of doe het niet

Al met al is SPF een heel bruikbaar framework om uw relaties te beschermen tegen vervalste e-mails, mits u precies weet waar alle mails die er namens uw organisatie verzonden worden vandaan komen én alle gebruikers de spelregels volgen.

Breng dus eerst heel precies uw mailinfrastructuur in kaart, om er zeker van te zijn dat uw medewerkers alleen via uw eigen webservers mailen. Heeft u uw SPF-record ooit eens aangezet zonder u erin te verdiepen? Zet het dan liever uit tot u de interne infrastructuur op orde heeft. SPF is immers een maatregel die anderen helpt, en daarmee waarschijnlijk niet uw allergrootste prioriteit.

Alternatieven

Om het probleem met forwarden te omzeilen, zijn er alternatieven voor SPF, zoals DKIM en S/MIME: protocollen waarmee u uw e-mail een waarheidskenmerk kunt meegeven. Veel mailclients controleren daar echter nog niet op, waardoor u er weinig mee opschiet. Totdat er een andere oplossing komt voor forwarding – en volgens ons is dat een uitstervende praktijk – kunt u dus maar beter géén SPF-record hebben dan een slecht functionerend SPF!

Bewaren

Bewaren

Bewaren

Bewaren

Vragen? Stel ze gerust