Veilig emailen: SPF en DKIM records toevoegen

Om zo min mogelijk SPAM over inkomende en uitgaande email te ontvangen/verzenden, zijn er een aantal zaken die je kunt instellen. Naast het spamfilter, kun je in je DNS ook een zogenaamd SPF en DKIM record activeren/toevoegen. 

Deze handleiding bevat:

SPF

Sender Policy Framework (SPF) is een methode om SPAM tegen te gaan. Het protocol is tegenwoordig onderdeel van de standaardmethoden om SPAM tegen te gaan op het internet. Een SPF record is een TXT record dat onderdeel is van de DNS zone file van een domein. Dit TXT record specificeert welke IP adressen en hostnames gebruikt mogen worden voor het verzenden van email uit naam van het domein. Wanneer een SPF record is toegevoegd voor een domein is geen verdere configuratie meer nodig, aangezien anti-spam systemen inkomende emails controleren op basis van SPF. Ieder domein heeft maximaal één SPF record, en werkt op dezelfde manier als een A, MX of CNAME record.

Het SPF record van Hoasted

Het SPF record voor alle domeinen die via Hoasted mailen of er een website hebben is:

v=spf1 +a +mx include:spf.myfasthosting.com ~all

Wijzigen van een SPF record in cPanel

  1. Log in op je cPanel account

  2. Ga naar de 'Zone Editor' bij Domeinen (Domains):

    Zone editor button in cPanel

  3. Klik bij jouw domein op Beheren. Standaard staat er al een goed TXT record met de SPF instellingen, zodat je vanaf de website formulieren kunt mailen en tevens vanaf mailaccounts op deze server. Deze is:

    TXT record met de SPF instellingen

  4. Als je een extra site of IP-adres moet toevoegen (bijvoorbeeld omdat je gebruik maakt van Google Workspace, Microsoft 365 of Mailchimp, klik dan op Bewerken:

    Bewerken button om IP-adres toe te voegen

  5. Als voorbeeld: voor Microsoft 365 moet het volgende worden toegevoegd: include:spf.protection.outlook.com Je SPF record wordt dan:
v=spf1 +a +mx include:spf.protection.outlook.com include:spf.myfasthosting.com ~all

Sla dit op door op de Save knop te klikken: 

Save Record button

6.

  1. Log in op je cPanel account

  2. Ga naar de 'Zone Editor' bij Domeinen (Domains):

    Zone Editor bij domeinen

  3. Klik bij jouw domein op Beheren. Standaard staat er al een goed TXT record met de SPF instellingen, zodat je vanaf de website formulieren kunt mailen en tevens vanaf mailaccounts op deze server. Deze is:

    Juiste TXT record met SPF instellingen

  4. Als je een extra site of IP-adres moet toevoegen (bijvoorbeeld omdat je gebruik maakt van Google Workspace, Microsoft 365 of Mailchimp, klik dan op Bewerken:

    Extra site toevoegen bij gebruik van Google Workspace of Microsoft 365

  5. Als voorbeeld: voor Microsoft 365 moet het volgende worden toegevoegd: include:spf.protection.outlook.com Je SPF record wordt dan:
v=spf1 +a +mx include:spf.protection.outlook.com include:spf.myfasthosting.com ~all

  1. Sla dit op door op de Save knop te klikken: 

    Het opslaan van de nieuwe TXT record

    Voor Google Workspace voeg je op die manier toe: include:_spf.google.com

v=spf1 +a +mx include:_spf.google.com include:spf.myfasthosting.com ~all
  1. Controleer bij Kitterman of je SPF record juist is, zie hieronder bij Controle.

Onderdelen van het SPF record

  • v=spf1Dit hoort altijd aan het begin te staan en geeft aan dat de inhoud van dit TXT record een SPF record is.
  • +a of aMail vanaf het IP-adres van de website van de betreffende domeinnaam is toegestaan.
  • +mx of mxMail vanaf het IP-adres van je mailserver van de betreffende domeinnaam is toegestaan.
  • verschillende manieren om servers die mogen versturen met het domein als afzender te noemen
    • ip4:1.2.3.4 (je noemt het IP4 adres van de server die mag verzenden namens dit domein)
    • ip6:ip6:1080::8:800:200C:417A/96 (je geeft het IPv6 adres of de IPv6 reeks van de server)
    • mx:mail.domein.nl (het mx-record van het domein)
    • a:domein.nl (de domeinnaam)
    • include:spf.myfasthosting.com (je website en veelal je smtp server zijn dan gerechtigd te verzenden)
  • Aan het eind van de regel komt de beleidskeuze (wat ontvangende servers moeten gaan doen met mail met het afzenderdomein):
    • -all  Alleen de hiervoor genoemde hosts mogen versturen met dit domein als afzender, alle mail afkomstig van in het SPF record niet genoemde servers wordt veelal geweigerd door de ontvangende server. Daarmee voorkom je spoofing door spammers of voor phishingmails (jouw maildomein kan niet door derden misbruikt worden).Let er bij -all op dat je in ieder geval de website server (include:spf.myfasthosting.com) en de server vanaf waar mail gestuurd wordt (bijvoorbeeld include:_spf.google.com) hebt opgenomen, anders kan legitieme mail van je domein niet ontvangen worden!
    • ~all De genoemde hosts zijn in ieder geval juist. Mail afkomstig van niet genoemde servers zal vaak in de spammap komen.
    • ?allEmail vanaf niet genoemde servers wordt toegelaten.
    • +all Alle servers mogen mail verzenden met dit domein als afzender. In dat geval kun je beter geen SPF record hebben, immers het heeft geen functie.

Voorbeelden van correcte SPF records

In het geval je website en email bij Hoasted staan

Sta toe email te verzenden vanaf je website via het s1115.myfasthosting.com IP adres 91.121.227.33 (standaard aanbevolen):

v=spf1 +a +mx include:spf.myfasthosting.com ~all

In het geval je website bij Hoasted staat en email staat bij Google Google Workspace

Sta toe email te verzenden vanaf je website via het s1115.myfasthosting.com IP adres 91.121.227.33 én via de Google mailservers:

v=spf1 include:spf.myfasthosting.com include:_spf.google.com +a +mx ~all

In het geval je website bij Hoasted staat en email staat bij Microsoft 365

Sta toe email te verzenden vanaf je website via het s1115.myfasthosting.com IP adres 91.121.227.33 én via de Microsoft mailservers (aanbevolen bij gebruik Microsoft 365):

v=spf1 include:spf.myfasthosting.com include:spf.protection.outlook.com +a +mx ~all

Overige voorbeelden

Blokkeer het verzenden van email volledig, waardoor het domein helemaal geen email meer verstuurd:

v=spf1 -all

Sta MX toe om mail te verzenden vanaf het domein. Blokkeer alle anderen:

v=spf1 mx -all

Sta ieder IP adres tussen 192.168.0.1 en 192.168.255.255 toe mail te verzenden:

v=spf1 ip4:192.168.0.1/16 -all

Sta ieder IPv6 adres tussen 1080::8:800:0000:0000 en 1080::8:800:FFFF:FFFF  toe mail te verzenden:

v=spf1 ip6:1080::8:800:200C:417A/96 -all

Sta ieder IPv6 address tussen 1080::8:800:0000:0000 en 1080::8:800:FFFF:FFFF toe mail te verzenden:

v=spf1 ip6:1080::8:800:68.0.3.1/96 -all

Controle

Je kunt het SPF-record van je domein laten testen op Kitterman.  Ga naar het gedeelte Is this SPF record valid - syntactically correct? Vul daar je domein in en plak het nieuwe SPF record erin en klik op Check SPF record

SPF-record testen op Kitterman

Resultaat mogelijkheden

  • Als SPF goed is ingesteld krijg je: evaluating...SPF record passed validation test
  • Krijg je de melding: Results - PermError SPF Permanent Error: Too many DNS lookups Dan zul je een selectie moeten maken van welke je opneemt. Vul je domein in dat geval in op https://dmarcian.com/spf-survey/ Dan zie je precies hoeveel keer DNS lookups elke include oplevert. Het totaal mag niet hoger zijn dan 10. Indien je geen gebruik maakt van een VPS voor je domein kun je in zo'n geval: include:spf.myfasthosting.com vervangen door: include:spf.antispamcloud.com Ook kun je +a en +mx verwijderen mochten die er in staan.
  • Krijg je de melding Results - PermError SPF Permanent Error: Invalid IP4 address dan staat er een onjuist IP4 adres in.
  • Krijg je Results - PermError SPF Permanent Error: Unknown mechanism found dan heb je een syntax fout gemaakt, bijvoorbeeld ergens een spatie vergeten.

Een tweede website waar SPF, DKIM en DMARC gecontroleerd kunnen worden is Emailstuff.org

Uitleg DKIM

DKIM staat voor DomainKeys Identified Mail. Als DKIM geactiveerd is, gebeuren er met de verstuurde email twee zaken:

  1. Elk mailtje krijgt een extra DKIM regel in de header die begint met: DKIM-Signature:
  2. De ontvangende server controleert vervolgens het in de DKIM-signature genoemde TXT record

Die combinatie maakt dat DKIM niet nagemaakt kan worden door een spammer. Bovendien heb je de mogelijkheid om met DMARC in te stellen dat email, die niet binnenkomt met de juiste SPF en DKIM gegevens geweigerd wordt of in quarantaine gezet. Een onjuist DKIM record kan al resulteren dat mail in de spammap bij ontvanger komt.

Bij Hoasted is het TXT record altijd voor het subdomein: default._domainkey voor het betreffende domein of subdomein, bijvoorbeeld default._domainkey.domein.nl. Dan bevatten automatisch alle mails vanaf de website en via de hostingsecure.email verzonden mails de DKIM regel.

DKIM controleren en eventueel aanmaken

Om te controleren of je DKIM juist is (of ontbreekt) volg je deze stappen:

  1. Ga in cPanel > Email > Email deliverability

    Email Deliverability

  2. Je krijgt dan de lijst van domeinen met daarachter of het goed is of als er problemen zijn. In het laatste geval zie je achter het domein:

    Problems exist (DKIM)

  3. Klik dan op de Repair knop:

    Repair button

  4. Je ziet dan het DKIM record dat er aangemaakt moet worden:

    Nieuw aangemaakte DKIM-record

  5. Open in cPanel > Domeinen > Zone editor en voeg een TXT record toe voor het subdomein default._domainkey met bovenstaande waarde.

Bovenstaande is voor mail vanaf de Hoasted server. Indien de mail via bijvoorbeeld Google Workspace of Microsoft 365 verstuurd wordt is eveneens het desbetreffende DKIM record in te stellen en daarna te activeren dat de mail met DKIM regel in de header verzonden wordt.

Controle van DKIM record

De inhoud van een DKIM key record kun je ook controleren op Emailstuff.

Heeft dit artikel je goed geholpen? Dank voor je feedback! Er is een probleem opgetreden bij het verzenden. Probeer opnieuw.

Gerelateerde artikelen