Wanneer gebruik ik ~all in een SPF-record?

Gebruik ~all tijdens testen, migraties of het inventariseren van onbekende mailverzenders. Het is een mildere SPF-policy die de kans verkleint dat legitieme e-mail wordt geblokkeerd.

Wat is best practice voor e-mailauthenticatie?

Gebruik SPF met -all, schakel DKIM in en configureer DMARC met p=quarantine of p=reject na validatie.

SPF ~all vs -all: wat is veiliger voor e-mail authenticatie?

Q: Is -all beter dan ~all in SPF?

-all is veiliger omdat het ontvangende mailservers vertelt dat niet-geautoriseerde verzenders SPF moeten laten falen. Gebruik dit nadat alle legitieme verzenders zijn opgenomen.

Kort Antwoord

In SPF-records zijn zowel ~all als -all geldig. Het verschil zit in de handhaving:

~all betekent SoftFail: niet-geautoriseerde verzenders zijn waarschijnlijk niet toegestaan.
-all betekent Fail of HardFail: niet-geautoriseerde verzenders zijn absoluut niet toegestaan.

Voor een volwassen en gevalideerde e-mailconfiguratie is -all veiliger, omdat u ontvangende mailservers duidelijk vertelt dat mail van niet-geautoriseerde bronnen moet worden geweigerd.

Wat SPF Doet

SPF, oftewel Sender Policy Framework, is een e-mailauthenticatierecord in DNS. Het record geeft aan welke servers namens uw domein e-mail mogen versturen.

SPF helpt tegen domeinspoofing, phishing en ongeautoriseerde e-mailverzending. Toch werkt SPF niet overal exact hetzelfde, omdat elke ontvangende mailserver zelf bepaalt hoe streng SPF-resultaten worden behandeld.

SPF SoftFail: Wat `~all` Betekent

Gebruik ~all wanneer u een mildere policy wilt tijdens het testen of migreren van e-mailsystemen.

Voorbeeld: SPF Met `~all`

v=spf1 include:_spf.google.com ~all

Betekenis

Mail van niet-geautoriseerde servers is waarschijnlijk niet toegestaan. Ontvangende mailservers krijgen het advies om het bericht te accepteren, maar het als verdacht te markeren of naar spam te verplaatsen.

Veelvoorkomend Gedrag

E-mail kan nog steeds in de inbox of spamfolder aankomen.
Het is handig tijdens testen, migraties of inventarisatie.
Het verkleint de kans dat legitieme mail wordt geblokkeerd terwijl uw SPF-record nog niet compleet is.

SPF HardFail: Wat `-all` Betekent

Gebruik -all wanneer u alle legitieme uitgaande mailbronnen kent en sterkere bescherming tegen spoofing wilt.

Voorbeeld: SPF Met `-all`

v=spf1 include:_spf.google.com -all

Betekenis

Mail van niet-geautoriseerde servers is absoluut niet toegestaan. Ontvangende mailservers krijgen het advies om het bericht te weigeren.

Veelvoorkomend Gedrag

Gespoofde mail wordt vaker volledig geblokkeerd.
Legitieme mail kan mislukken als uw SPF-record een echte verzenddienst mist.
Het werkt het beste in combinatie met DKIM en DMARC.

Werken `~all` en `-all` Altijd?

Technisch gezien wel. Beide zijn geldige SPF-mechanismen en worden ondersteund door mailservers.

In de praktijk hangt het gedrag af van de ontvangende server:

Sommige servers handhaven SPF streng.
Sommige servers zien SPF-fouten als een van meerdere signalen.
Sommige servers kunnen SPF-fouten negeren.
SPF alleen biedt nooit gegarandeerde bescherming.

Daarom hoort SPF niet uw enige e-mailbeveiligingsmaatregel te zijn.

Welke SPF-Policy Is Veiliger?

-all is veiliger dan ~all.

De reden is eenvoudig: -all weigert expliciet iedere verzender die niet in uw SPF-record is toegestaan. Daarmee krijgt uw domein sterkere bescherming tegen spoofing en ondersteunt u strengere DMARC-handhaving.

Maar -all is alleen veilig wanneer uw SPF-record compleet is. Als u een legitieme verzender vergeet, zoals uw CRM, nieuwsbriefplatform, ticketsysteem of facturatiesysteem, kan geldige e-mail de authenticatie niet halen.

Praktisch Advies

Gebruik `~all` Wanneer

U SPF nog configureert of test.
U mogelijk onbekende mailverzenders heeft.
U e-mailsystemen migreert.
U eerst echt mailverkeer wilt monitoren voordat u strenger gaat handhaven.

Gebruik `-all` Wanneer

U alle uitgaande mailbronnen volledig kent.
Uw SPF-record compleet en gevalideerd is.
U maximale bescherming tegen spoofing wilt.
DKIM en DMARC al correct werken.

Best Practice Voor E-mailauthenticatie

Moderne, veilige e-mailauthenticatie gebruikt SPF, DKIM en DMARC samen.

SPF:   v=spf1 ... -all
DKIM:  enabled
DMARC: p=quarantine or p=reject

SPF alleen is niet meer genoeg. DKIM voegt cryptografische ondertekening toe, terwijl DMARC ontvangende servers vertelt wat ze moeten doen wanneer authenticatie faalt. Voor echte bescherming tegen spoofing en phishing gebruikt u alle drie.

Implementatiechecklist

Breng alle legitieme e-mailverzenders voor uw domein in kaart.
Voeg elke verzender toe aan uw SPF-record.
Schakel DKIM in voor elk mailplatform dat dit ondersteunt.
Start DMARC-monitoring met p=none als u nog onzeker bent.
Verhoog DMARC naar p=quarantine of p=reject na validatie.
Verander SPF pas van ~all naar -all wanneer u zeker weet dat het record compleet is.

Veelgestelde Vragen

Is `-all` beter dan `~all`?

Ja. -all is beter voor beveiliging, omdat u ontvangende servers vertelt dat niet-geautoriseerde verzenders SPF moeten laten falen. Gebruik dit pas nadat u heeft gecontroleerd dat alle legitieme verzenders zijn opgenomen.

Kan SPF alle gespoofde e-mail blokkeren?

Nee. SPF helpt, maar blokkeert spoofing niet volledig op zichzelf. DKIM en DMARC zijn essentieel voor sterkere bescherming.

Moet elk domein `-all` gebruiken?

Uiteindelijk wel, maar niet voordat het domein is gevalideerd. Domeinen die nog mailbronnen inventariseren, kunnen beter starten met ~all, resultaten monitoren en daarna overstappen naar -all.

Wat is de veiligste moderne setup?

De veiligste praktische setup is SPF met -all, DKIM ingeschakeld en DMARC ingesteld op p=quarantine of p=reject.