SPF instellen om geldige e-mailbronnen voor uw Microsoft 365-domein te identificeren

• Van toepassing op:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

Sender Policy Framework (SPF) is een methode voor e-mailverificatie waarmee e-mail kan worden gevalideerd die is verzonden vanuit uw Microsoft 365-organisatie om vervalste afzenders te voorkomen die worden gebruikt in zakelijke e-mail (BEC), ransomware en andere phishingaanvallen.

Het primaire doel van SPF is het valideren van e-mailbronnen voor een domein. SPF gebruikt met name een TXT-record in DNS om geldige e-mailbronnen voor het domein te identificeren. Ontvangende e-mailsystemen gebruiken de SPF TXT-record om te controleren of e-mail van het afzenderadres dat wordt gebruikt tijdens de SMTP-verzending van het bericht (het MAIL FROM-adres, 5321.MailFrom -adres, de P1-afzender of de afzender van de envelop) afkomstig is van een bekende, aangewezen e-mailbron voor dat domein.

Als uw e-maildomein in Microsoft 365 bijvoorbeeld contoso.com is, maakt u een SPF TXT-record in DNS voor het contoso.com-domein om Microsoft 365 te identificeren als geautoriseerde bron van e-mail van contoso.com. Doel-e-mailsystemen controleren de SPF TXT-record in contoso.com om te bepalen of het bericht afkomstig is van een geautoriseerde bron voor contoso.com e-mail.

Voordat we aan de slag gaan, moet u het volgende weten over SPF in Microsoft 365 op basis van uw e-maildomein:

• Als u alleen het Moera-domein (Microsoft Online Email Routing Address) gebruikt voor e-mail (bijvoorbeeld contoso.onmicrosoft.com): u hoeft niets te doen. De SPF TXT-record is al voor u geconfigureerd. Microsoft is eigenaar van het onmicrosoft.com domein, dus zijn we verantwoordelijk voor het maken en onderhouden van de DNS-records in dat domein en subdomeinen. Zie Waarom heb ik een 'onmicrosoft.com'-domein? voor meer informatie over *.onmicrosoft.com-domeinen.

• Als u een of meer aangepaste domeinen gebruikt voor e-mail (bijvoorbeeld contoso.com): tijdens het Microsoft 365-inschrijvingsproces hebt u al vereist dat u de SPF TXT-record in DNS voor uw aangepaste domein maakt of wijzigt om Microsoft 365 te identificeren als een geautoriseerde e-mailbron. Maar u hebt nog steeds meer werk te doen voor maximale e-mailbeveiliging:

  • Overwegingen voor subdomeinen:

    • Voor e-mailservices die niet onder uw directe beheer zijn (bijvoorbeeld bulk-e-mailservices), raden we u aan een subdomein (bijvoorbeeld marketing.contoso.com) te gebruiken in plaats van uw hoofd-e-maildomein (bijvoorbeeld contoso.com). U wilt niet dat problemen met e-mail die vanuit deze e-mailservices worden verzonden, van invloed zijn op de reputatie van e-mail die is verzonden door werknemers in uw hoofd-e-maildomein. Zie Kan ik aangepaste subdomeinen of meerdere domeinen toevoegen aan Microsoft 365 voor meer informatie over het toevoegen van subdomeinen.

    • Voor elk subdomein dat u gebruikt om e-mail te verzenden vanuit Microsoft 365, is een eigen SPF TXT-record vereist. De SPF TXT-record voor contoso.com dekt bijvoorbeeld niet marketing.contoso.com; marketing.contoso.com heeft een eigen SPF TXT-record nodig.

      Tip

      Email verificatiebeveiliging voor niet-gedefinieerde subdomeinen wordt gedekt door DMARC. Alle subdomeinen (gedefinieerd of niet) nemen de DMARC-instellingen van het bovenliggende domein over (die per subdomein kunnen worden overschreven). Zie DMARC instellen om het van-adresdomein te valideren voor afzenders in Microsoft 365 voor meer informatie.

  • Als u geregistreerde maar ongebruikte domeinen hebt: als u geregistreerde domeinen hebt die niet worden gebruikt voor e-mail of iets anders (ook wel geparkeerde domeinen genoemd), configureert u SPF TXT-records om aan te geven dat er nooit e-mail afkomstig mag zijn van die domeinen, zoals verderop in dit artikel wordt beschreven.

• SPF alleen is niet genoeg. Voor het beste niveau van e-mailbeveiliging voor uw aangepaste domeinen moet u ook DKIM en DMARC configureren als onderdeel van uw algemene e-mailverificatiestrategie . Zie de sectie Volgende stappen aan het einde van dit artikel voor meer informatie.

  Belangrijk

  In complexe organisaties waar het moeilijk is om alle geldige e-mailbronnen voor het domein te identificeren, is het belangrijk dat u dkim-ondertekening en DMARC (in de modus Geen actie ondernemen) snel configureert voor het domein. Een DMARC-rapportageservice is zeer nuttig voor het identificeren van e-mailbronnen en SPF-fouten voor het domein.

In de rest van dit artikel worden de SPF TXT-records beschreven die u moet maken voor aangepaste domeinen in Microsoft 365.

Tip

Er zijn geen beheerportals of PowerShell-cmdlets in Microsoft 365 voor het beheren van SPF-records in uw domein. In plaats daarvan maakt u de SPF TXT-record bij uw domeinregistrar of DNS-hostingservice (vaak hetzelfde bedrijf).

We bieden instructies voor het maken van het bewijs van domeineigendom TXT-record voor Microsoft 365 bij veel domeinregistrars. U kunt deze instructies als uitgangspunt gebruiken om de SPF TXT-recordwaarde te maken. Zie DNS-records toevoegen om uw domein te verbinden voor meer informatie.

Als u niet bekend bent met dns-configuratie, neemt u contact op met uw domeinregistrar en vraagt u om hulp.

Syntaxis voor SPF TXT-records

SPF TXT-records worden uitgebreid beschreven in RFC 7208.

De basissyntaxis van de SPF TX-record voor een aangepast domein in Microsoft 365 is:

v=spf1 <valid mail sources> <enforcement rule>

Of:

v=spf1 [<ip4>|<ip6>:<PublicIPAddress1> <ip4>|<ip6>:<PublicIPAddress2>... <ip4>|<ip6>:<PublicIPAddressN>] [include:<DomainName1> include:<DomainName1>... include:<DomainNameN>] <-all | ~all>

Bijvoorbeeld:

v=spf1 ip4:192.168.0.10 ip4:192.168.0.12 include:spf.protection.outlook.com -all

• v=spf1 identificeert de TXT-record als een SPF TXT-record.

• Geldige e-mailbronnen: geldige e-mailbronnen voor het domein opgegeven. Maakt gebruik van domeinen, IP-adressen of beide:

  • Domeinen: include: waarden geven andere services of domeinen op als geldige bronnen van e-mail uit het oorspronkelijke domein. Deze waarden leiden uiteindelijk tot een IP-adres met behulp van DNS-zoekacties.

    De meeste Microsoft 365-organisaties vereisen include:spf.protection.outlook.com in de SPF TXT-record voor het domein. Andere e-mailservices van derden hebben vaak een extra include: waarde nodig om de service te identificeren als een geldige bron van e-mail uit het oorspronkelijke domein.

  • IP-adressen: een IP-adreswaarde bevat beide van de volgende elementen:

    • De waarde ip4: of ip6: om het type IP-adres te identificeren.
    • Het openbaar om te lossen IP-adres van het bron-e-mailsysteem. Bijvoorbeeld:
      • Een afzonderlijk IP-adres (bijvoorbeeld 192.168.0.10).
      • Een IP-adresbereik met de CIDR-notatie (Classless Inter-Domain Routing) (bijvoorbeeld 192.168.0.1/26). Zorg ervoor dat het bereik niet te groot of te klein is.

    In Microsoft 365 gebruikt u doorgaans alleen IP-adressen in de SPF TXT-record als u on-premises e-mailservers hebt die e-mail verzenden vanuit het Microsoft 365-domein (bijvoorbeeld Exchange Server hybride implementaties). Sommige e-mailservices van derden gebruiken mogelijk ook een IP-adresbereik in plaats van een include: waarde in de SPF TXT-record.

• Afdwingingsregel: vertelt doel-e-mailsystemen wat ze moeten doen met berichten van bronnen die niet zijn opgegeven in de SPF TXT-record voor het domein. Geldige waarden zijn:

  • -all (harde fout): bronnen die niet zijn opgegeven in de SPF TXT-record, zijn niet gemachtigd om e-mail voor het domein te verzenden, dus de berichten moeten worden geweigerd. Wat er daadwerkelijk met het bericht gebeurt, is afhankelijk van het doel-e-mailsysteem, maar de berichten worden meestal verwijderd.

    Voor Microsoft 365-domeinen raden we (hard fail) aan -all , omdat we ook DKIM en DMARC voor het domein aanbevelen. Het DMARC-beleid geeft aan wat u moet doen met berichten die mislukken in SPF of DKIM, en DMARC-rapporten bieden u de mogelijkheid om de resultaten te valideren.

    Tip

    Zoals eerder aangegeven, helpt DMARC geconfigureerd met een DMARC-rapportageservice aanzienlijk bij het identificeren van e-mailbronnen en SPF-fouten voor het domein.

  • ~all (voorlopig mislukken): bronnen die niet zijn opgegeven in de SPF TXT-record, zijn waarschijnlijk niet gemachtigd om e-mail voor het domein te verzenden, dus de berichten moeten worden geaccepteerd, maar gemarkeerd. Wat er daadwerkelijk met het bericht gebeurt, is afhankelijk van het doel-e-mailsysteem. Het bericht kan bijvoorbeeld in quarantaine worden geplaatst als spam, worden bezorgd in de map Ongewenste e-Email of worden bezorgd in het Postvak IN met een id die is toegevoegd aan de onderwerp- of berichttekst.

    Omdat we ook DKIM en DMARC aanbevelen voor Microsoft 365-domeinen, worden de verschillen tussen -all (harde fail) en ~all (soft fail) effectief geëlimineerd (DMARC behandelt beide resultaten als een SPF-fout). DMARC gebruikt SPF om te bevestigen dat de domeinen in de E-MAIL FROM- en Van-adressen worden uitgelijnd en dat het bericht afkomstig is van een geldige bron voor het van-domein.

  Tip

  ?all (neutraal) is ook beschikbaar om geen specifieke actie voor berichten van niet-geïdentificeerde bronnen te suggereren. Deze waarde wordt gebruikt voor het testen en we raden deze waarde niet aan in productieomgevingen.

Belangrijke punten om te onthouden:

• Elk gedefinieerd domein of subdomein in DNS vereist een SPF TXT-record en slechts één SPF-record is toegestaan per domein of subdomein. Email verificatiebeveiliging voor niet-gedefinieerde subdomeinen kan het beste worden afgehandeld door DMARC.
• U kunt de bestaande SPF TXT-record voor het domein *.onmicrosoft.com niet wijzigen.
• Wanneer het doel-e-mailsysteem de geldige e-mailbronnen in de SPF-record controleert, mislukt de SPF-validatie als de controle te veel DNS-zoekopdrachten vereist. Zie de sectie Problemen met SPF TXT-records oplossen verderop in dit artikel voor meer informatie.

SPF TXT-records voor aangepaste domeinen in Microsoft 365

Tip

Zoals eerder vermeld in dit artikel, maakt u de SPF TXT-record voor een domein of subdomein bij de domeinregistrar voor het domein. Er is geen SPF TXT-recordconfiguratie beschikbaar in Microsoft 365.

• Scenario: U gebruikt contoso.com voor e-mail in Microsoft 365 en Microsoft 365 is de enige bron van e-mail van contoso.com.

  SPF TXT-record voor contoso.com in Microsoft 365 en Microsoft 365 Government Community Cloud (GCC):

  v=spf1 include:spf.protection.outlook.com -all
  

  SPF TXT-record voor contoso.com in Microsoft 365 Government Community Cloud High (GCC High) en Microsoft 365 Department of Defense (DoD):

  v=spf1 include:spf.protection.office365.us -all
  

  SPF TXT-record voor contoso.com in Microsoft 365 beheerd door 21Vianet

  v=spf1 include:spf.protection.partner.outlook.cn -all
  

• Scenario: U gebruikt contoso.com voor e-mail in Microsoft 365 en u hebt de SPF TXT-record al geconfigureerd in contoso.com met alle e-mailbronnen van het domein. U bent ook eigenaar van de domeinen contoso.net en contoso.org, maar u gebruikt deze niet voor e-mail. U wilt opgeven dat niemand gemachtigd is om e-mail te verzenden vanuit contoso.net of contoso.org.

  SPF TXT-record voor contoso.net:

  v=spf1 -all
  

  SPF TXT-record voor contoso.org:

  v=spf1 -all
  

• Scenario: u gebruikt contoso.com voor e-mail in Microsoft 365. U bent van plan e-mail te verzenden vanuit de volgende bronnen:

  • Een on-premises e-mailserver met het externe e-mailadres 192.168.0.10. Omdat u directe controle over deze e-mailbron hebt, is het goed om de server te gebruiken voor afzenders in het contoso.com domein.
  • De Adatum bulk mailing service. Omdat u geen directe controle hebt over deze e-mailbron, raden we u aan een subdomein te gebruiken, zodat u hiervoor marketing.contoso.com maakt. Volgens de documentatie van de Adatum-service moet u toevoegen include:servers.adatum.com aan de SPF TXT-record voor uw domein.

  SPF TXT-record voor contoso.com:

  v=spf1 ip4:192.168.0.10 include:spf.protection.outlook.com -all
  

  SPF TXT-record voor marketing.contoso.com:

  v=spf1 include:servers.adatum.com include:spf.protection.outlook.com -all
  

Problemen met SPF TXT-records oplossen

• Eén SPF-record per domein of subdomein: meerdere SPF TXT-records voor hetzelfde domein of subdomein veroorzaken een DNS-opzoeklus waardoor SPF mislukt, dus gebruik slechts één SPF-record per domein of subdomein.

• Minder dan 10 DNS-zoekopdrachten: wanneer doel-e-mailsystemen de SPF TXT-record opvragen voor geldige bronnen voor het MAIL FROM-adresdomein, scant de query de IP-adressen en include: -instructies in de record totdat de berichtbron (uiteindelijk een IP-adres) overeenkomt met een van de opgegeven bronnen. Als het aantal DNS-zoekopdrachten (dat kan afwijken van het aantal DNS-query's) groter is dan 10, mislukt het bericht SPF met een permanente fout (ook wel bekend als een permerror). Het doel-e-mailsysteem weigert het bericht in een rapport over niet-bezorging (ook wel een NDR of niet-bezorgdbericht genoemd) met een van de volgende fouten:

  • Het bericht heeft het aantal hops overschreden.
  • Voor het bericht zijn te veel zoekopdrachten vereist.

  In de SPF TXT-record veroorzaken afzonderlijke IP-adressen of IP-adresbereiken geen DNS-zoekopdrachten. Voor elke include: instructie is ten minste één DNS-zoekopdracht vereist en mogelijk zijn er meer opzoekacties vereist als de include: waarde verwijst naar geneste resources. Met andere woorden, het hebben van minder dan 10 include: instructies garandeert niet minder dan 10 DNS-zoekopdrachten.

  Houd er ook rekening mee: doel-e-mailsystemen evalueren de bronnen in de SPF TXT-record van links naar rechts. De evaluatie stopt wanneer de berichtbron is gevalideerd en er geen bronnen meer worden gecontroleerd. Daarom kan een SPF TXT-record voldoende informatie bevatten om meer dan 10 DNS-zoekopdrachten te veroorzaken, maar de validatie van sommige e-mailbronnen door sommige bestemmingen gaat niet diep genoeg in de record om te resulteren in een fout.

  Naast het behoud van de reputatie van uw hoofd-e-maildomein, is het niet overschrijden van het aantal DNS-zoekopdrachten een andere reden om subdomeinen te gebruiken voor andere e-mailservices die u niet beheert.

U kunt gratis onlinehulpprogramma's gebruiken om uw SPF TXT-record en andere DNS-records voor uw domein te bekijken. Sommige hulpprogramma's berekenen zelfs het aantal DNS-recordzoekacties dat uw SPF TXT-record vereist.

Volgende stappen

Zoals beschreven in Hoe SPF, DKIM en DMARC samenwerken om afzenders van e-mailberichten te verifiëren, is SPF alleen niet voldoende om adresvervalsing van uw Microsoft 365-domein te voorkomen. U moet ook DKIM en DMARC configureren voor de best mogelijke beveiliging. Zie voor instructies:

• DKIM gebruiken om uitgaande e-mail te valideren die wordt verzonden vanuit uw aangepaste domein
• DMARC gebruiken om e-mail te valideren

Voor e-mail die naar Microsoft 365 komt, moet u mogelijk ook vertrouwde ARC-sealers configureren als u services gebruikt waarmee berichten die worden verzonden, worden gewijzigd voordat ze aan uw organisatie worden bezorgd. Zie Vertrouwde ARC-sealers configureren voor meer informatie.