Sender Policy Framework (SPF) is een e-mailstandaard die een lijst publiceert van de servers die namens jouw domein berichten mogen versturen. Krijgt een ontvangende mailserver een bericht dat zogenaamd van jou komt, dan controleert hij die lijst. Staat de verzendende server er niet op, dan oogt het bericht verdacht en kan het gemarkeerd of geweigerd worden.

Zie het als een gastenlijst bij een evenement. De portier heeft een vel met goedgekeurde namen, en iedereen die binnenkomt en zegt uitgenodigd te zijn wordt daartegen gecheckt. SPF is die gastenlijst voor de e-mail van je domein, en de ontvangende server is de portier die de check doet.

De bedoeling is om het voor aanvallers lastiger te maken om jouw adres na te bootsen in phishing-campagnes. SPF wordt meestal samen ingezet met twee maatjes, DKIM en DMARC, die een digitale handtekening en een beleid voor mislukkingen toevoegen. Op zichzelf helpt SPF; samen met die twee wordt het een sterke verdediging en verbetert het ook de bezorging van je echte e-mail.

Er is één praktische valkuil die het kennen waard is. SPF staat maar tien DNS-lookups per controle toe, en elke tool die je met een ‘include’ toevoegt knabbelt aan die limiet. Verstuur je via je mailhost, een nieuwsbriefplatform én een CRM, dan kan een slordig record stilletjes over de tien gaan, en op dat moment faalt elke check. Het record slank houden, en verzenders weghalen die je niet meer gebruikt, hoort dus bij goed SPF-beheer en is geen eenmalige instelling die je vergeet.

Bij TopDevs zetten we SPF samen met DKIM en DMARC op zodra we de e-mail van een klant inrichten, zodat hun domein moeilijker te vervalsen is en hun echte berichten daadwerkelijk in de inbox aankomen.