E-mailspoofing voorkomen met SPF-records

Bescherming tegen vervalste e-mails die afkomstig lijken te zijn van uw domein

Spammers kunnen e-mails verzenden die afkomstig lijken te zijn van uw domein. Dit wordt spoofing genoemd. U kunt een SPF-record (Sender Policy Framework) toevoegen aan uw domeinhost, zodat uw ontvangers weten waar e-mails van uw domein vandaan moeten komen en dat ze niet gespooft zijn.

Als u uw domein heeft gekocht bij een Google-partner (GoDaddy.com, eNom.com of DomainDiscount24.com) toen u zich aanmeldde voor G Suite, hoeft u wellicht geen SPF-record toe te voegen. Zie Door uw domeinhost beheerde instellingen voor meer informatie.

Een SPF TXT-record toevoegen aan uw domeinhost

Bij uw domeinhost zijn bepaalde tekstinstellingen, genaamd DNS-records, opgeslagen. Hiermee wordt internetverkeer naar uw domein gestuurd. In een SPF TXT-record staan de e-mailservers die e-mails kunnen verzenden vanuit uw domein. Als een bericht wordt verzonden vanaf een server die niet in de record staat, kan de server van de ontvanger het als spam beschouwen.

Opmerking: een domein kan slechts één SPF-record hebben, maar in uw record kunnen meerdere servers staan. Zie Meerdere servers toevoegen aan een SPF-record voor meer informatie.

  1. Log in op het account van uw domein bij uw domeinhost (niet de Google Beheerdersconsole).
  2. Ga naar de pagina waar u de DNS-records van uw domein kunt updaten.
    Deze pagina kan 'DNS management', 'Name server management' of 'Advanced settings' heten.
  3. Zoek de TXT-records en controleer of uw domein een bestaande SPF-record heeft.
    De SPF-record begint met 'v=spf1'.
  4. Als uw domein al een SPF-record heeft, moet u deze verwijderen. Ga anders verder met stap 5.
  5. Maak een TXT-record met deze waarden:
    • Naam/Host/Alias: Voer @ in of laat leeg.
      U kunt wellicht aan de andere DNS-records voor uw domein zien wat u hier moet invullen.
    • Time to Live (TTL): Voer 3600 in of laat de standaardwaarde staan.
    • Waarde/Antwoord/Bestemming: Voer v=spf1 include:_spf.google.com ~all in.
  6. Sla de record op.

De nieuwe SPF-record treedt binnen 48 uur in werking.

De SPF-record beheren

Alles openen  |  Alles sluiten

De SPF-record verifiëren
Verifieer de SPF-record met de Check MX-app. Deze is onderdeel van de G Suite Toolbox:
  1. Ga naar G Suite Toolbox.
  2. Voer uw domeinnaam in.
  3. Klik op Controle uitvoeren.
  4. Klik wanneer de test is voltooid op Effectieve SPF-adresbereiken.
  5. Controleer de SPF-resultaten.
    Deze moeten het volgende bevatten:
    • _spf.google.com
    • _netblocks.google.com gevolgd door verschillende IP-adressen
    • _netblocks2.google.com gevolgd door verschillende IP-adressen
    • _netblocks3.google.com gevolgd door verschillende IP-adressen
Meerdere servers toevoegen aan een SPF-record
Het domein mag slechts één SPF-record hebben. U kunt de SPF-record echter updaten, zodat al uw e-mailservers erin staan. Als u bijvoorbeeld een gateway voor uitgaand verkeer instelt, bevat de SPF-record het Gmail-serveradres en het SMTP-serveradres van de uitgaande gateway.
Als u een e-mailserver wilt toevoegen aan een bestaande SPF-record, voert u het IP-adres van de server in vóór het argument ~all. Gebruik de indeling ip4:adres of ip6:adres, zoals in dit voorbeeld:
v=spf1 ip4:172.16.254.1 include:_spf.google.com ~all
Als u het domein van een e-mailserver wilt toevoegen, voert u elk domein in met het woord 'include' ervoor. Bijvoorbeeld:
v=spf1 include:serverdomein.com include:_spf.google.com ~all

Gerelateerde onderwerpen

Mechanismen en kwalificaties beheren
Met mechanismen in een SPF-record worden de servers geïdentificeerd die e-mail mogen verzenden namens het domein. Elk mechanisme wordt in de SPF-record van links naar rechts geëvalueerd.
Hier volgt een voorbeeld van een SPF-record:
v=spf1 ip4:172.16.254.1 include:_spf.google.com ~all
Met deze mechanismen worden de IP-adressen geïdentificeerd die e-mail kunnen verzenden vanaf een domein:
  • a
  • mx
  • ip4
  • ip6
  • include
  • all

Als een server niet overeenkomt met een van de mechanismen in de SPF-record, bepaalt het mechanisme all of de SPF-controle op de e-mail moet worden uitgevoerd. 

Als u wilt bepalen wanneer e-mail aan de SPF-controle voldoet, kunt u in de SPF-record kwalificaties aan de mechanismen toevoegen.
Kwalificatie Beschrijving
Pass (+) E-mail van een server die overeenkomt met een mechanisme met de kwalificatie + (of geen kwalificatie), voldoet aan de SPF-controle. De ontvanger moet de e-mail accepteren.
Fail (-) E-mail van een server die overeenkomt met een mechanisme met de kwalificatie -, voldoet niet aan de SPF-controle. De ontvanger moet de e-mail weigeren.
Softfail (~) E-mail van een server die overeenkomt met een mechanisme met de kwalificatie ~, voldoet aan de SPF-controle, maar wordt als verdacht beschouwd.
Neutral (?) Mechanismen met de kwalificatie ? bepalen niet of e-mails voldoen aan de SPF-controle.
Limieten voor DNS-lookups en SPF-controles
SPF ondersteunt maximaal tien DNS-lookups. Geneste lookups tellen mee voor dit maximum. Wanneer een SPF-record meer dan tien lookups bevat, zijn de mechanismen ongeldig en mislukt de SPF-controle.
U kunt het aantal lookups voor een SPF-record controleren met de Check MX-app.

SPF-recordmechanismen en -modifiers

De mechanismen en modifiers die u in de SPF-record gebruikt, kunnen ervoor zorgen dat het maximum aantal van tien DNS-lookups niet wordt gehaald.
Tellen mee voor het maximum aantal lookups Tellen niet mee voor het maximum aantal lookups
  • a
  • exists
  • include
  • mx
  • ptr
  • require
  • all
  • exp
  • ip4
  • ip6

 

Ga als volgt te werk om het aantal lookups in de SPF-record te beperken:

  • Vermijd onnodige include-statements.
  • Gebruik waar mogelijk het mechanisme ip4 of ip6 in plaats van 'include'.
  • Vermijd het gebruik van het mechanisme ptr. Dit genereert veel DNS-lookups.
  • Verwijder dubbele mechanismen of mechanismen die gelden voor hetzelfde domein.
  • Verwijs alleen naar domeinen die actief verzenden.
  • Verwijder eventuele include-statements uit SPF-records van partners die geen e-mails meer verzenden vanuit uw domein.

Gerelateerde onderwerpen

SPF gebruiken met DKIM en DMARC
We raden u aan naast SPF ook DomainKeys Identified Mail (DKIM) en Domain-based Message Authentication, Reporting & Conformance (DMARC) in te stellen:
  • SPF specificeert de servers die e-mail kunnen verzenden voor een domein.
  • DKIM: controleert of de berichtinhoud authentiek is en niet is gewijzigd.
  • DMARC specificeert hoe uw domein omgaat met verdachte binnenkomende e-mails.

Gerelateerde onderwerpen

 Gerelateerde onderwerpen

Was dit nuttig?
Hoe kunnen we dit verbeteren?