Veilig emailen: SPF en DKIM records toevoegen
Om zo min mogelijk SPAM over inkomende en uitgaande email te ontvangen/verzenden, zijn er een aantal zaken die je kunt instellen. Naast het spamfilter, kun je in je DNS ook een zogenaamd SPF en DKIM record activeren/toevoegen.
Deze handleiding bevat:
- Uitleg SPF
- Het SPF record van Everts Webservices
- Wijzigen van een SPF record in cPanel
- Onderdelen van een SPF record
- Voorbeelden van correcte SPF records
- Controle van een SPF record
- Uitleg DKIM
SPF
Sender Policy Framework (SPF) is een methode om SPAM tegen te gaan. Het protocol is tegenwoordig onderdeel van de standaardmethoden om SPAM tegen te gaan op het internet. Een SPF record is een TXT record dat onderdeel is van de DNS zone file van een domein. Dit TXT record specificeert welke IP adressen en hostnames gebruikt mogen worden voor het verzenden van email uit naam van het domein. Wanneer een SPF record is toegevoegd voor een domein is geen verdere configuratie meer nodig, aangezien anti-spam systemen inkomende emails controleren op basis van SPF. Ieder domein heeft maximaal één SPF record, en werkt op dezelfde manier als een A, MX of CNAME record.
Het SPF record van Everts Webservices
Het SPF record voor alle domeinen die via Hoasted mailen of er een website hebben is:
v=spf1 +a +mx include:spf.myfasthosting.com ~all
Wijzigen van een SPF record in cPanel
- Log in op je cPanel account
- Ga naar de ‘Zone Editor’ bij Domeinen (Domains):
- Klik bij jouw domein op Beheren. Standaard staat er al een goed TXT record met de SPF instellingen, zodat je vanaf de website formulieren kunt mailen en tevens vanaf mailaccounts op deze server. Deze is:
- Als je een extra site of IP-adres moet toevoegen (bijvoorbeeld omdat je gebruik maakt van Google Workspace, Microsoft 365 of Mailchimp, klik dan op Bewerken:
- Als voorbeeld: voor Microsoft 365 moet het volgende worden toegevoegd: include:spf.protection.outlook.com Je SPF record wordt dan:
v=spf1 +a +mx include:spf.protection.outlook.com include:spf.myfasthosting.com ~all
Sla dit op door op de Save knop te klikken:
6.
- Log in op je cPanel account
- Ga naar de ‘Zone Editor’ bij Domeinen (Domains):
Klik bij jouw domein op Beheren. Standaard staat er al een goed TXT record met de SPF instellingen, zodat je vanaf de website formulieren kunt mailen en tevens vanaf mailaccounts op deze server. Deze is: - Als je een extra site of IP-adres moet toevoegen (bijvoorbeeld omdat je gebruik maakt van Google Workspace, Microsoft 365 of Mailchimp, klik dan op Bewerken:
- Als voorbeeld: voor Microsoft 365 moet het volgende worden toegevoegd: include:spf.protection.outlook.com Je SPF record wordt dan:
v=spf1 +a +mx include:spf.protection.outlook.com include:spf.myfasthosting.com ~all
- Sla dit op door op de Save knop te klikken:
Voor Google Workspace voeg je op die manier toe: include:_spf.google.com
v=spf1 +a +mx include:_spf.google.com include:spf.myfasthosting.com ~all
- Controleer bij Kitterman of je SPF record juist is, zie hieronder bij Controle.
Onderdelen van het SPF record
- v=spf1Dit hoort altijd aan het begin te staan en geeft aan dat de inhoud van dit TXT record een SPF record is.
- +a of aMail vanaf het IP-adres van de website van de betreffende domeinnaam is toegestaan.
- +mx of mxMail vanaf het IP-adres van je mailserver van de betreffende domeinnaam is toegestaan.
- verschillende manieren om servers die mogen versturen met het domein als afzender te noemen
- ip4:1.2.3.4 (je noemt het IP4 adres van de server die mag verzenden namens dit domein)
- ip6:ip6:1080::8:800:200C:417A/96 (je geeft het IPv6 adres of de IPv6 reeks van de server)
- mx:mail.domein.nl (het mx-record van het domein)
- a:domein.nl (de domeinnaam)
- include:spf.myfasthosting.com (je website en veelal je smtp server zijn dan gerechtigd te verzenden)
- Aan het eind van de regel komt de beleidskeuze (wat ontvangende servers moeten gaan doen met mail met het afzenderdomein):
- -all Alleen de hiervoor genoemde hosts mogen versturen met dit domein als afzender, alle mail afkomstig van in het SPF record niet genoemde servers wordt veelal geweigerd door de ontvangende server. Daarmee voorkom je spoofing door spammers of voor phishingmails (jouw maildomein kan niet door derden misbruikt worden).Let er bij -all op dat je in ieder geval de website server (include:spf.myfasthosting.com) en de server vanaf waar mail gestuurd wordt (bijvoorbeeld include:_spf.google.com) hebt opgenomen, anders kan legitieme mail van je domein niet ontvangen worden!
- ~all De genoemde hosts zijn in ieder geval juist. Mail afkomstig van niet genoemde servers zal vaak in de spammap komen.
- ?allEmail vanaf niet genoemde servers wordt toegelaten.
- +all Alle servers mogen mail verzenden met dit domein als afzender. In dat geval kun je beter geen SPF record hebben, immers het heeft geen functie.
Voorbeelden van correcte SPF records
In het geval je website en email bij Everts Webservices staan
Sta toe email te verzenden vanaf je website via het s1115.myfasthosting.com IP adres 91.121.227.33 (standaard aanbevolen):
v=spf1 +a +mx include:spf.myfasthosting.com ~all
In het geval je website bij Everts Webservices staat en email staat bij Google Google Workspace
Sta toe email te verzenden vanaf je website via het s1115.myfasthosting.com IP adres 91.121.227.33 én via de Google mailservers:
v=spf1 include:spf.myfasthosting.com include:_spf.google.com +a +mx ~all
In het geval je website bij Everts Webservices staat en email staat bij Microsoft 365
Sta toe email te verzenden vanaf je website via het s1115.myfasthosting.com IP adres 91.121.227.33 én via de Microsoft mailservers (aanbevolen bij gebruik Microsoft 365):
v=spf1 include:spf.myfasthosting.com include:spf.protection.outlook.com +a +mx ~all
Overige voorbeelden
Blokkeer het verzenden van email volledig, waardoor het domein helemaal geen email meer verstuurd:
v=spf1 -all
Sta MX toe om mail te verzenden vanaf het domein. Blokkeer alle anderen:
v=spf1 mx -all
Sta ieder IP adres tussen 192.168.0.1 en 192.168.255.255 toe mail te verzenden:
v=spf1 ip4:192.168.0.1/16 -all
Sta ieder IPv6 adres tussen 1080::8:800:0000:0000 en 1080::8:800:FFFF:FFFF toe mail te verzenden:
v=spf1 ip6:1080::8:800:200C:417A/96 -all
Sta ieder IPv6 address tussen 1080::8:800:0000:0000 en 1080::8:800:FFFF:FFFF toe mail te verzenden:
v=spf1 ip6:1080::8:800:68.0.3.1/96 -all
Controle
Je kunt het SPF-record van je domein laten testen op Kitterman. Ga naar het gedeelte : Is this SPF record valid – syntactically correct? Vul daar je domein in en plak het nieuwe SPF record erin en klik op Check SPF record
Resultaat mogelijkheden
- Als SPF goed is ingesteld krijg je: evaluating…SPF record passed validation test
- Krijg je de melding: Results – PermError SPF Permanent Error: Too many DNS lookups Dan zul je een selectie moeten maken van welke je opneemt. Vul je domein in dat geval in op https://dmarcian.com/spf-survey/ Dan zie je precies hoeveel keer DNS lookups elke include oplevert. Het totaal mag niet hoger zijn dan 10. Indien je geen gebruik maakt van een VPS voor je domein kun je in zo’n geval: include:spf.myfasthosting.com vervangen door: include:spf.antispamcloud.com Ook kun je +a en +mx verwijderen mochten die er in staan.
- Krijg je de melding Results – PermError SPF Permanent Error: Invalid IP4 address dan staat er een onjuist IP4 adres in.
- Krijg je Results – PermError SPF Permanent Error: Unknown mechanism found dan heb je een syntax fout gemaakt, bijvoorbeeld ergens een spatie vergeten.
Een tweede website waar SPF, DKIM en DMARC gecontroleerd kunnen worden is Emailstuff.org
Uitleg DKIM
DKIM staat voor DomainKeys Identified Mail. Als DKIM geactiveerd is, gebeuren er met de verstuurde email twee zaken:
- Elk mailtje krijgt een extra DKIM regel in de header die begint met: DKIM-Signature:
- De ontvangende server controleert vervolgens het in de DKIM-signature genoemde TXT record
Die combinatie maakt dat DKIM niet nagemaakt kan worden door een spammer. Bovendien heb je de mogelijkheid om met DMARC in te stellen dat email, die niet binnenkomt met de juiste SPF en DKIM gegevens geweigerd wordt of in quarantaine gezet. Een onjuist DKIM record kan al resulteren dat mail in de spammap bij ontvanger komt.
Bij Hoasted is het TXT record altijd voor het subdomein: default._domainkey voor het betreffende domein of subdomein, bijvoorbeeld default._domainkey.domein.nl. Dan bevatten automatisch alle mails vanaf de website en via de hostingsecure.email verzonden mails de DKIM regel.
DKIM controleren en eventueel aanmaken
Om te controleren of je DKIM juist is (of ontbreekt) volg je deze stappen:
- Ga in cPanel > Email > Email deliverability
- Je krijgt dan de lijst van domeinen met daarachter of het goed is of als er problemen zijn. In het laatste geval zie je achter het domein:
- Klik dan op de Repair knop:
- Je ziet dan het DKIM record dat er aangemaakt moet worden:
- Open in cPanel > Domeinen > Zone editor en voeg een TXT record toe voor het subdomein default._domainkey met bovenstaande waarde.
Bovenstaande is voor mail vanaf de Hoasted server. Indien de mail via bijvoorbeeld Google Workspace of Microsoft 365 verstuurd wordt is eveneens het desbetreffende DKIM record in te stellen en daarna te activeren dat de mail met DKIM regel in de header verzonden wordt.
Controle van DKIM record
De inhoud van een DKIM key record kun je ook controleren op Emailstuff.