Defaults.Exposed › Instellen › SPF

SPF instellen bij AWS Route 53

Voeg een SPF-record toe in uw Route 53 hosted zone zodat mailproviders uw echte e-mail kunnen onderscheiden van vervalsingen.

Waarom dit belangrijk is voor uw bedrijf

SPF (Sender Policy Framework) is een korte notitie in de DNS van uw domein die vermeldt welke mailservers e-mail mogen versturen namens u. Wanneer iemand een bericht ontvangt dat van u afkomstig lijkt, controleert zijn mailprovider die lijst. Staat de verzendende server er niet op, dan lijkt het bericht verdacht — en belandt het in de spam of wordt het geblokkeerd.

In gewone taal: SPF maakt het lastiger voor iemand om uw bedrijf via e-mail na te bootsen, en helpt uw echte e-mails de inbox te bereiken in plaats van de spammap. Het is één record, het is gratis en het kost een paar minuten.

Voordat u begint: beheert Route 53 wel echt uw DNS?

Dit is de stap waar de meeste mensen de fout in gaan. Een DNS-record werkt alleen als Route 53 de DNS-vragen voor uw domein beantwoordt.

Route 53 is een DNS-host, geen mailboxprovider — het beantwoordt DNS maar beheert uw inboxen niet. Twee dingen zijn hier van belang:

• De hosted zone moet de live zone zijn. Open in de Route 53-console Hosted zones en selecteer uw domein. Noteer de vier NS-waarden (naamservers) die voor die zone worden getoond.
• De naamservers van uw domein moeten naar die waarden verwijzen. Heeft u het domein via Route 53 geregistreerd (onder Registered domains), dan is dit meestal al op orde. Maar heeft u het elders geregistreerd, of heeft u meer dan één hosted zone voor hetzelfde domein, dan kunnen de live naamservers ergens heel anders heen verwijzen — en doet alles wat u hier toevoegt niets. Controleer de naamservers bij uw registrar en zorg dat ze overeenkomen met de vier NS-waarden in deze hosted zone. Komen ze niet overeen, voeg het SPF-record dan toe waar uw DNS daadwerkelijk staat.

Zoek eerst één ding uit: wie verstuurt uw e-mail?

SPF moet elke dienst noemen die mail verstuurt namens uw domein. Veelvoorkomende voorbeelden zijn Google Workspace, Microsoft 365 of de provider die uw mailboxen host. Elke dienst publiceert een waarde om in uw SPF-record te zetten (vaak iets als include:_spf.google.com voor Google of include:spf.protection.outlook.com voor Microsoft 365). Raadpleeg de helppagina’s van uw eigen mailprovider voor de exacte waarde — dat is het deel dat u goed moet hebben.

Verstuurt u via Amazon SES (de eigen e-mailverzenddienst van Amazon), dan gebruikt SES standaard een ander mechanisme en is SPF voor SES optioneel — maar heeft u in SES een aangepast MAIL FROM-domein ingesteld, volg dan de exacte SES-instructies daarvoor. SES is een aparte dienst van Route 53; Route 53 slaat alleen het DNS-record op.

Stap voor stap bij Route 53

1. Log in bij de AWS-console en open Route 53.
2. Kies in het linkermenu Hosted zones en klik daarna op de naam van uw domein.
3. Klik op Create record.
4. Ziet u een wizard met routing-policy-opties, schakel dan over naar het eenvoudige formulier (zoek naar Quick create record) — SPF heeft geen van de geavanceerde routing nodig.
5. Laat het veld Record name leeg. Een lege naam betekent „het domein zelf”. De console toont uw domein naast het veld, dus u hoeft het niet over te typen.
6. Stel Record type in op TXT.
7. Vul in het veld Value uw SPF-tekst in tussen dubbele aanhalingstekens: "v=spf1 include:_spf.google.com ~all" Vervang het include:-deel door de waarde(n) die uw eigen mailprovider u opgeeft. De omringende aanhalingstekens zijn in Route 53 verplicht — zie de valkuilen hieronder.
8. Laat TTL op de standaardwaarde staan (300 seconden is prima).
9. Klik op Create records.

Valkuilen bij Route 53

• TXT-waarden moeten tussen dubbele aanhalingstekens staan. Anders dan sommige DNS-hosts die de waarde voor u aanhalen, verwacht Route 53 dat u de aanhalingstekens zelf typt. Voer "v=spf1 ... ~all" in, niet v=spf1 ... ~all. De aanhalingstekens weglaten is veruit de meest voorkomende Route 53-fout.
• Laat het veld Record name leeg voor het hoofddomein. Een lege naam betekent het domein zelf. Typt u uw volledige domeinnaam in het veld Name, dan voegt Route 53 de zone er nogmaals aan toe en eindigt u met uwdomein.com.uwdomein.com — een record dat nooit wordt gecontroleerd.
• Slechts één SPF-record per domein. U kunt geen twee v=spf1-TXT-records hebben — mailproviders beschouwen dat als kapot. Bestaat er al een TXT-record op de root, bewerk die dan om de nieuwe dienst toe te voegen in plaats van een tweede SPF-record te maken.
• Juiste hosted zone, juiste account. Heeft u meerdere hosted zones (of meerdere AWS-accounts), dan is het makkelijk de verkeerde te bewerken. Zorg dat de zone die u bewerkt degene is waarvan de NS-waarden overeenkomen met uw live naamservers.
• ~all versus -all. ~all (softfail) betekent „alles wat niet vermeld staat is verdacht”; -all (hardfail) betekent „weiger alles wat niet vermeld staat”. Begin met ~all terwijl u controleert of alles goed verstuurt, en verscherp daarna naar -all zodra u zeker weet dat uw lijst compleet is.
• Wijzigingen zijn niet meteen actief. DNS-wijzigingen kunnen van een paar minuten tot een paar uur nodig hebben om zich te verspreiden.

Controleer of het gelukt is

Heeft u het record opgeslagen en het wat tijd gegeven om actief te worden, controleer het dan met de gratis check op deze site. Die vertelt u in gewone taal of uw SPF-record aanwezig en correct opgebouwd is.

Klaar? Controleer je domein gratis om te bevestigen dat het werkte — en bekijk je volledige beoordeling over alle 34 controles.