n
n ICT op maat n
n
n

DNS SPF Records, beveilig uw domein

U kunt uw e-mailverkeer enigszins beveiligingen door middel van SPF (Sender Policy Framwork) records in de DNS. Dit zorgt ervoor dat anderen niet meer namens uw domein kunnen e-mailen, mits de ontvangende partij hierop controleert. In dit artikel vertel ik u hoe.

Uw domein heeft u geregistreerd bij een Registrar, een partij die voor u zorgt dat u op internet bekend bent. Vaak regelt deze Registrar ook uw domein-hosting zelf af op zijn DNS servers. Een DNS server vertaalt uw domeinnaam, naar het ip-adres waar uw website op staat bijvoorbeeld. DNS wordt echter voor nog veel meer gebruikt. E-mailservers op internet bijvoorbeeld, weten elkaar te vinden door te zoeken naar een MX record van uw domein. Wanneer u een e-mail stuurt naar info@voorbeelddomein-zandstra.it, gaat de e-mailserver die u gebruikt voor verzending het MX record opvragen van voorbeelddomein-zandstra.it. Uw e-mailserver krijgt een antwoord terug als;

@ MX 10 mailserver1.voorbeelddomein-zandstra.it.
@ MX 20 mailserver2.voorbeelddomein-zandstra.it.

Hier staat in het kort; Probeer eerst de e-mail te bezorgen bij mailserver1.voorbeelddomein-zandstra.it. en daarna bij mailserver2.voorbeelddomein-zandstra.it (bijvoorbeeld wanneer de eerste server niet werkt). De ontvangende server krijgt vervolgens de e-mail binnen en stopt dit in uw digitale postvakje. De ontvangende mailserver controleert bij de meeste installaties niet standaard of de verzendende e-mailserver wel mag verzenden namens uw domein. Als een spammer dus vanaf de server met de naam ikspamgraagbedrijven.nl een e-mail verstuurt namens directeur@eengrootbedrijf.nl, zal de e-mail gewoon verzonden worden. Als de beheerder van het domein eengrootbedrijf.nl echter aangeeft dat alleen mail.eengrootbedrijf.nl e-mails mag versturen en de mailservers van voorbeelddomein-zandstra.it controleren of ikspamgraagbedrijven.nl wel e-mails mag versturen namens eengrootbedrijf.nl, wordt de eerdere e-mail geblokkeerd. U wordt daarmee dus beveiligd tegen een deel van het spam, met een relatief eenvoudige controle.

De beheerder van het domein eengrootbedrijf.nl, maakt hiertoe een DNS SPF-record aan. Hiermee geeft hij aan welke server wel of niet mag e-mailen. Een heel eenvoudig SPF-record ziet er als volgt uit;

v=spf1 mx -all

Wat hier staat is dat alle servers, die bekend staan als mx-servers van dat domein mogen e-mailen, en alle andere servers van hetzelfde domein of andere domeinen niet (-all). Stel het domein voorbeelddomein-zandstra.it heeft de volgende DNS records;

www A 127.0.10.1
mailserver1 MX 127.0.10.2
mailserver2 MX 127.0.10.3
mailserver3 A 127.0.10.4
voorbeelddomein-zandstra.it. TXT “v=spf1 mx -all”

In dit voorbeeld mogen mailserver1 en mailserver2 e-mailen namens voorbeelddomein-zandstra.it e-mailen. De servers www en mailserver3 mogen niet e-mailen, want dit zijn A-records. Als beide servers mochten e-mailen, had het record bijvoorbeeld iets aangepast kunnen worden zodat ook servers op a-records mogen e-mailen. Dit ziet er uit als volgt;

v=spf1 a mx -all

Zoals u kunt zien staat er nu een a in. Een subtiel verschil, maar één die grote gevolgen kan hebben voor bijvoorbeeld hostingpartijen die veel co-located servers hebben. Ook alle servers van klanten mogen dan namelijk namens hun domein e-mailen. Wat de beheerder ook had kunnen instellen zijn de volgende twee records;

v=spf1 a:mailserver3.voorbeelddomein-zandstra.it mx -all
v=spf1 ipv4:127.0.10.4 mx -all

Beide geven de server mailserver3 het recht om te e-mailen, alsmede de mx-servers. Het verschil zit hem in dat de eerste oplossing ook DNS-wijzigingen overleeft. Wanneer men het ip-adres gebruikt, moet deze immers mee wijzigen met het ip-adres van mailserver3 als deze verhuisd wordt naar een ander ip-adres.

Mocht uw registrar het ondersteunen, zet dan het SPF-record zowel als TXT als SPF record in uw DNS. TXT is feitelijk het enige wat nodig is, maar SPF wordt wellicht later ondersteund.

Testen van uw records kan op MXToolbox of op Kitterman. De eerstgenoemde ziet er mooier uit voor het management, de tweede geeft veel meer informatie over of uw records goed staan en wat er al dan niet mis is.

Posted in Beveiliging, Email | Leave a comment

Reacties zijn gesloten.

 

Comments are closed.

n
n

Zandstra IT

Afrikalaan 66
2622LR  Delft

06-1434 5424

n n
n n n

© 2010, Zandstra IT