Veilig emailen: SPF en DKIM records toevoegen

Om zo min mogelijk SPAM over inkomende en uitgaande email te ontvangen/verzenden, zijn er een aantal zaken die je kunt instellen. Naast het spamfilter, kun je in je DNS ook een zogenaamd SPF en DKIM record activeren/toevoegen. 

Deze handleiding bevat:

SPF

Sender Policy Framework (SPF) is een methode om SPAM tegen te gaan. Het protocol is tegenwoordig onderdeel van de standaardmethoden om SPAM tegen te gaan op het internet. Een SPF record is een TXT record dat onderdeel is van de DNS zone file van een domein. Dit TXT record specificeert welke IP adressen en hostnames gebruikt mogen worden voor het verzenden van email uit naam van het domein. Wanneer een SPF record is toegevoegd voor een domein is geen verdere configuratie meer nodig, aangezien anti-spam systemen inkomende emails controleren op basis van SPF. Ieder domein heeft maximaal één SPF record, en werkt op dezelfde manier als een A, MX of CNAME record.

Het SPF record van Hoasted

Het SPF record voor alle domeinen die via Hoasted mailen of er een website hebben is:

v=spf1 +a +mx include:spf.myfasthosting.com ~all

Wijzigen van een SPF record in cPanel

  1. Log in op je cPanel account
  2. Ga naar de 'Zone Editor' bij Domeinen (Domains):

  3. Klik bij jouw domein op Beheren. Standaard staat er al een goed TXT record met de SPF instellingen, zodat je vanaf de website formulieren kunt mailen en tevens vanaf mailaccounts op deze server. Deze is:


  4. Als je een extra site of IP-adres moet toevoegen (bijvoorbeeld omdat je gebruik maakt van G Suite, Office 365 of Mailchimp, klik dan op Bewerken:
  5. Als voorbeeld: voor Office 365 moet het volgende worden toegevoegd: include:spf.protection.outlook.com Je SPF record wordt dan:

    v=spf1 +a +mx include:spf.protection.outlook.com include:spf.myfasthosting.com ~all
    	
    Sla dit op door op de Save knop te klikken: 
    Voor G Suite voeg je op die manier toe: include:_spf.google.com

    v=spf1 +a +mx include:_spf.google.com include:spf.myfasthosting.com ~all
    	
  6. Controleer bij Kitterman of je SPF record juist is, zie hieronder bij Controle.

Onderdelen van het SPF record

  • v=spf1
    Dit hoort altijd aan het begin te staan en geeft aan dat de inhoud van dit TXT record een SPF record is.
  • +a of a
    Mail vanaf het IP-adres van de website van de betreffende domeinnaam is toegestaan.
  • +mx of mx
    Mail vanaf het IP-adres van je mailserver van de betreffende domeinnaam is toegestaan.
  • verschillende manieren om servers die mogen versturen met het domein als afzender te noemen
    • ip4:1.2.3.4 (je noemt het IP4 adres van de server die mag verzenden namens dit domein)
    • ip6:ip6:1080::8:800:200C:417A/96 (je geeft het IPv6 adres of de IPv6 reeks van de server)
    • mx:mail.domein.nl (het mx-record van het domein)
    • a:domein.nl (de domeinnaam)
    • include:spf.myfasthosting.com (je website en veelal je smtp server zijn dan gerechtigd te verzenden)
  • Aan het eind van de regel komt de beleidskeuze (wat ontvangende servers moeten gaan doen met mail met het afzenderdomein):
    • -all 
      Alleen de hiervoor genoemde hosts mogen versturen met dit domein als afzender, alle mail afkomstig van in het SPF record niet genoemde servers wordt veelal geweigerd door de ontvangende server.
      Let er bij -all op dat je in ieder geval de website server (include:spf.myfasthosting.com) en de server vanaf waar mail gestuurd wordt (bijvoorbeeld include:_spf.google.com) hebt opgenomen, anders kan legitieme mail van je domein niet ontvangen worden!
    • ~all
      De genoemde hosts zijn in ieder geval juist. Mail afkomstig van niet genoemde servers zal vaak in de spammap komen.
    • ?all
      Email vanaf niet genoemde servers wordt toegelaten.
    • +all
       Alle servers mogen mail verzenden met dit domein als afzender. In dat geval kun je beter geen SPF record hebben, immers het heeft geen functie.

Voorbeelden van correcte SPF records

In het geval je website en email bij Hoasted staan
Sta toe email te verzenden vanaf je website via het s1115.myfasthosting.com IP adres 91.121.227.33 (standaard aanbevolen):

v=spf1 +a +mx include:spf.myfasthosting.com ~all


In het geval je website bij Hoasted staat en email staat bij Google G-suite
Sta toe email te verzenden vanaf je website via het s1115.myfasthosting.com IP adres 91.121.227.33 én via de Google mailservers:

v=spf1 include:spf.myfasthosting.com include:_spf.google.com +a +mx ~all


In het geval je website bij Hoasted staat en email staat bij Office 365
Sta toe email te verzenden vanaf je website via het s1115.myfasthosting.com IP adres 91.121.227.33 én via de Microsoft mailservers (aanbevolen bij gebruik Office 365):

v=spf1 include:spf.myfasthosting.com include:spf.protection.outlook.com +a +mx ~all

Overige voorbeelden
Blokkeer het verzenden van email volledig, waardoor het domein helemaal geen email meer verstuurd:

v=spf1 -all


Sta MX toe om mail te verzenden vanaf het domein. Blokkeer alle anderen:

v=spf1 mx -all

Sta ieder IP adres tussen 192.168.0.1 en 192.168.255.255 toe mail te verzenden:
v=spf1 ip4:192.168.0.1/16 -all


Sta ieder IPv6 adres tussen 1080::8:800:0000:0000 en 1080::8:800:FFFF:FFFF  toe mail te verzenden:

v=spf1 ip6:1080::8:800:200C:417A/96 -all


Sta ieder IPv6 address tussen 1080::8:800:0000:0000 en 1080::8:800:FFFF:FFFF toe mail te verzenden:

v=spf1 ip6:1080::8:800:68.0.3.1/96 -all

Controle

Je kunt het SPF-record van je domein laten testen op Kitterman
Ga naar het gedeelte Is this SPF record valid - syntactically correct? Vul daar je domein in en plak het nieuwe SPF record erin en klik op Check SPF record

Resultaat mogelijkheden

  • Als SPF goed is ingesteld krijg je: 
    evaluating...SPF record passed validation test
  • Krijg je de melding: Results - PermError SPF Permanent Error: Too many DNS lookups Dan zul je een selectie moeten maken van welke je opneemt en welke niet en eindigen met ?all
    (?all betekent zoals we hierboven als schreven dat mail vanaf niet genoemde servers toegelaten mag worden)
  • Krijg je de melding Results - PermError SPF Permanent Error: Invalid IP4 address dan staat er een onjuist IP4 adres in.
  • Krijg je Results - PermError SPF Permanent Error: Unknown mechanism found dan heb je een syntax fout gemaakt, bijvoorbeeld ergens een spatie vergeten.

Een tweede website waar SPF, DKIM en DMARC gecontroleerd kunnen worden is Emailstuff.org

Uitleg DKIM

DKIM staat voor DomainKeys Identified Mail. Als DKIM geactiveerd is, gebeuren er met de verstuurde email twee zaken:

  1. Elk mailtje krijgt een extra DKIM regel in de header die begint met: DKIM-Signature:
  2. De ontvangende server controleert vervolgens het in de DKIM-signature genoemde TXT record

Die combinatie maakt dat DKIM niet nagemaakt kan worden door een spammer. Bovendien heb je de mogelijkheid om met DMARC in te stellen dat email, die niet binnenkomt met de juiste SPF en DKIM gegevens geweigerd wordt of in quarantaine gezet. Een onjuist DKIM record kan al resulteren dat mail in de spammap bij ontvanger komt.

Bij Hoasted is het TXT record altijd voor het subdomein: default._domainkey voor het betreffende domein of subdomein, bijvoorbeeld default._domainkey.domein.nl. Dan bevatten automatisch alle mails vanaf de website en via de myfasthosting.email verzonden mails de DKIM regel.

DKIM controleren en eventueel aanmaken
Om te controleren of je DKIM juist is (of ontbreekt) volg je deze stappen:

  1. Ga in cPanel > Email > Email deliverability

  2. Je krijgt dan de lijst van domeinen met daarachter of het goed is of als er problemen zijn. In het laatste geval zie je achter het domein:
  3. Klik dan op de Repair knop:
  4. Je ziet dan het DKIM record dat er aangemaakt moet worden:
  5. Open in cPanel > Domeinen > Zone editor en voeg een TXT record toe voor het subdomein default._domainkey met bovenstaande waarde.

Bovenstaande is voor mail vanaf de Hoasted server. Indien de mail via bijvoorbeeld G Suite of Office 365 verstuurd wordt is eveneens het desbetreffende DKIM record in te stellen en daarna te activeren dat de mail met DKIM regel in de header verzonden wordt.

Controle van DKIM record
De inhoud van een DKIM key record kun je ook controleren op Emailstuff.

Heeft dit artikel je goed geholpen? Dank voor je feedback! Er is een probleem opgetreden bij het verzenden. Probeer opnieuw.

Nog steeds hulp nodig? Contact ons Contact ons