PowerShell Exchange Over

Sender Policy Framework

Hoe voorkom ik dat bij het verzenden van e-mail mijn domein door onbevoegden wordt geïmiteerd (lees: gespoofed)? Dit is een heel belangrijke vraag voor mezelf, maar ook voor iedereen die in naam van mijn domein e-mail ontvangt. Ik wil geen e-mail ontvangen in naam van mijn domein verzonden door onbevoegde servers. Iedereen wil geen e-mail ontvangen van mijn domein welke niet is verzonden door mijn servers. Een technische maatregel die helpt in het voorkomen dat mijn domein tijdens het verzenden van e-mail wordt geïmiteerd is SPF (Sender Policy Framework).

Hoe werkt SPF?

Wanneer een e-mail met mijn domeinnaam als afzender wordt verzonden, voeren veel ontvangende e-mailservers een controle op mijn SPF record uit. Dit doen ze om vervalste, gespoofde berichten te detecteren. Met andere woorden, met een SPF record kan ik als domeineigenaar aangeven welke e-mailservers berichten voor mijn domein mogen verzenden.

Op het ogenblik dat mijn server tijdens het SMTP gesprek zijn "MAIL-FROM" opdracht geeft, zoekt de ontvangende server het SPF record voor mijn (verzendend) domein op, en controleert of source IP adres overeenstemt met wat is opgegeven in mijn SPF record.

[SPF toegelicht]

Een SPF record is m.a.w. gewoon een DNS TXT record met een specifieke syntax. Twee SPF record voorbeelden worden hieronder weergegeven:

  • mijnlabo.be: v=spf1 mx -all;
  • microsoft.com: v=spf1 include:_spf-a.microsoft.com include:_spf-b.microsoft.com include:_spf-c.microsoft.com include:_spf-ssg-a.microsoft.com include:spf-a.hotmail.com ip4:147.243.128.24 ip4:147.243.128.26 ip4:147.243.1.153 ip4:147.243.1.47 ip4:147.243.1.48 -all.

Parameters en acties bepalen welke hosts e-mail kunnen verzenden voor mijn domein. Hieronder worden alle mogelijke parameters toegelicht:

Zoals vermeld, parameters en acties bepalen welke hosts e-mail kunnen verzenden voor mijn domein. Acties vertellen de ontvangende server wat te doen als een overeenstemmende parameter is gevonden. Hieronder worden alle mogelijke acties toegelicht:

Hoe test ik mijn SPF-record?

Om mijn SPF-record te testen gebruik ik MXToolbox. Geef ik enkel mijn domeinnaam in, dan wordt o.a. de syntax gecontroleerd. Geef ik mijn domeinnaam in combinatie met een IP-adres in, dan wordt gecontroleerd of het IP-adres voor mijn domeinnaam mag verzenden.