Uitgaande e-mail op orde krijgen met je DNS

Als je merkt dat je uitgaande mails soms als spam gezien worden, dan klinkt dat al snel alsof je met SPF en DMARC-records moet gaan goochelen. We merken dat veel gebruikers overdonderd zijn bij het aanmaken van die records.

Zeker bij de SPF-records gaat het nogal eens fout. De belangrijkste regel bij SPF, kort voor Sender Policy Framework, is dat je er beter geen hebt, dan onvolledig of foutief.

Een SPF is niets meer of minder dan een lijst van mailservers die mails mogen versturen vanaf je domeinnaam. Het belangrijkste is dan ook dat die lijst volledig en up-to-date is en blijft.

Misbruik voorkomen

Zo’n SPF is voornamelijk bedoeld om ervoor te zorgen dat mails van oplichters die jouw domeinnaam als afzender misbruiken direct als verdacht gezien worden. Dat een correct record er ook wel voor kan zorgen dat je eigen mailtjes als meer vertrouwd overkomen, is dan ook eerder een onbedoelde bijwerking. Maar als je even niet oplet, kan je met zo’n SPF je eigen e-mails als vervalsers aanduiden.

Verstuur je mails via de mailserver van je internetprovider? Kijk dan na wat die aanraadt om in je SPF-record op te nemen of welke inhoud het daar zelf in geplaatst heeft. Opgelet: gebruiken al je collega’s dezelfde uitgaande mailserver? Nee, dan moet je ook die andere adressen er in opnemen.

Vergeet niet na te kijken of je website mogelijk ook mails uitstuurt. En als die dat doet, is dat mogelijk niet via het IP-adres waarop je eigen website toegankelijk is? Zo ja, hou er dan rekening mee dat de achterliggende servers waarschijnlijk over verschillende adressen beschikken. Bij twijfel, stuur jezelf een e-mail en kijk na langs welk adres die de deur uitging door in je e-mailprogramma de broncode van de ontvangen e-mail te raadplegen.

Wees volledig

Ben je niet zeker of je lijst helemaal volledig is? Laat je niet verleiden om hem toch al te publiceren. In theorie kan je met “+all” of “~all” op het einde van het record aangeven dat eigenlijk ook alle andere mailservers mails mogen versturen vanaf je domeinnaam.

In het beste geval heeft het record daardoor geen enkel effect. Veel spamfilters zullen immers gewoon besluiten dat e-mails vanaf andere servers toch verdacht zijn waardoor je met een onvolledige lijst jezelf alsnog in de problemen brengt.

Heb je alle informatie? Gebruik dan één van de vele online tools om ze tot een correct SPF-record samen te voegen. Zoals bijvoorbeeld https://www.spfwizard.net/. Het resultaat hang je als TXT-record aan je domeinnaam.

DMARC

En als je dan toch bezig bent, maak dan ineens ook een DMARC-record aan. Dat geeft kort samengevat aan wat er moet gebeuren als uit de controle van het SPF-record blijkt dat er iets verdachts aan de hand is.

De meest handige tool bij DMARC is toch wel dat je jezelf rapporten kan laten versturen waarin staat welke e-mails met jouw adres als afzender niet door de controle van het SPF-record geraakten. Je kan dus direct zien of je mogelijk toch nog een fout in je SPF-record hebt. En stel dat een oplichter e-mails verstuurt alsof die van jouw adres kwamen, dan krijg je daar met zo’n DMARC ook melding van.

Die DMARC kan heel eenvoudig zijn. Stel dat je domeinaam “yourname.be” is en je wenst die rapporten op dmarc@yourname.be te ontvangen, maak dan een TXT-record aan voor _dmarc.yourname.be met deze inhoud:

v=DMARC1; p=none; rua=mailto:dmarc@yourname.be;

Verwacht niet dat die SPF en DMARC al je uitgaande e-mailproblemen oplossen. Neem in een volgende stap zeker ook nog een kijkje naar DKIM. Maar daarvoor moet je ook zaken activeren op je mailserver, wat mogelijk iets ingewikkelder is.

Dit is een ingezonden bijdrage van Bart Mortelmans, eigenaar van bNamed.net. Via deze link vind je meer informatie over de diensten van het bedrijf.