Start Beveiliging

Sender Policy Framework

Afgezien van de gebruikelijke antispammaatregelen die ik kan treffen om eigen servers tegen spam te beschermen, moet ik ook overwegen hoe ik voorkom dat spammers mijn domeinnaam imiteren (lees: spoofen). Een technische maatregel die hier bij helpt is SPF (Sender Policy Framework).

Hoe werkt SPF?

Wanneer een e-mail met mijn domeinnaam als afzender wordt verzonden, voeren veel ontvangende e-mailservers een controle op mijn SPF record uit. Dit doen ze om vervalste, gespoofde berichten te detecteren. Met andere woorden, met een SPF record kan ik als domeineigenaar aangeven welke e-mailservers berichten voor mijn domein mogen verzenden.

Op het ogenblik dat mijn server tijdens het SMTP gesprek zijn "MAIL-FROM" opdracht geeft, zoekt de ontvangende server het SPF record voor mijn (verzendend) domein op, en controleert of source IP adres overeenstemt met wat is opgegeven in mijn SPF record.

[SPF toegelicht]

Een SPF record is m.a.w. gewoon een DNS TXT record met een specifieke syntax. Twee SPF record voorbeelden worden hieronder weergegeven:

  • mijnlabo.be: v=spf1 mx -all;
  • microsoft.com: v=spf1 include:_spf-a.microsoft.com include:_spf-b.microsoft.com include:_spf-c.microsoft.com include:_spf-ssg-a.microsoft.com include:spf-a.hotmail.com ip4:147.243.128.24 ip4:147.243.128.26 ip4:147.243.1.153 ip4:147.243.1.47 ip4:147.243.1.48 -all.

Parameters en acties bepalen welke hosts e-mail kunnen verzenden voor mijn domein. Hieronder worden alle mogelijke parameters toegelicht:

Zoals vermeld, parameters en acties bepalen welke hosts e-mail kunnen verzenden voor mijn domein. Acties vertellen de ontvangende server wat te doen als een overeenstemmende parameter is gevonden. Hieronder worden alle mogelijke acties toegelicht:

Hoe test ik mijn SPF-record?

Om mijn SPF-record te testen gebruik ik MXToolbox. Geef ik enkel mijn domeinnaam in, dan wordt o.a. de syntax gecontroleerd. Geef ik mijn domeinnaam in combinatie met een IP-adres in, dan wordt gecontroleerd of het IP-adres voor mijn domeinnaam mag verzenden.