Wat is DKIM & SPF? En hoe stelt u die in?

Dit is een serieuze zaak. Het gaat om de bezorgbaarheid van uw e-mail. Ik weet uit eigen ervaring dat deze acroniemen onbekend en eng klinken en misschien totaal oninteressant lijken. Of misschien klinken ze bekend, maar heb je nooit genoeg aandacht besteed om te controleren wat ze werkelijk zijn.

Hoe dan ook, het is tijd om een beetje te leren over wat SPF & DKIM is en hoe je ze moet instellen in je DNS records voor je mail server, als je een betere controle wilt hebben over je e-mail deliverability.

Dit bericht is voor het eerst gepubliceerd op 1 sep 2016, en bijgewerkt op 14 jul 2020.

Ik zal mijn best doen om dat in eenvoudige woorden uit te leggen, die niet alleen door programmeurs begrepen zullen worden.

Wat is SPF? Hoe werkt SPF?

Simpel gezegd is Sender Policy Framework (SPF) een beveiligingsmechanisme dat is gemaakt om te voorkomen dat de slechteriken namens u emails versturen. Het mechanisme draait allemaal om communicatie tussen DNS servers… en dit is het punt waarop het allemaal eng begint te klinken! Maar geen paniek. Ik zal proberen het zo simpel mogelijk te houden.

Laten we zeggen dat je een e-mail naar Bob hebt gestuurd. Maar hoe weet Bob’s DNS server dat de email door jou verstuurd is? Het probleem is dat hij dat niet echt weet. Tenzij je SPF hebt ingesteld op je DNS server.

SPF definieert welke IP adressen kunnen worden gebruikt om emails te versturen vanuit je domein. Dus laten we ons twee mogelijke server “gesprekken” voorstellen. Om het makkelijker te maken, laten we aannemen dat je naam Mike is.

Scenario 1 – Je hebt SPF niet ingesteld.

Mike’s server: Hé, Bob’s server. Ik heb een nieuw bericht van Mike.
Bob’s server: Hoi, Mike’s server. Wat is je SPF?
Mike’s server: Ja, over de SPF… Wat maakt het uit, eigenlijk. Ik heb er geen. Geloof me, het is van Mike.
Bob’s server: Als je geen SPF hebt, kan ik niet zeker zijn dat het Mike was die dit stuurde. Geef me Mike’s toegestane IP’s, zodat ik het kan vergelijken met die van jou.
Mike’s server: Ik heb geen lijst van Mike’s toegestane IP’s: Dan wil ik je bericht niet. Aflevering geweigerd. Sorry, maatje…

Scenario 2 – Je hebt SPF wel ingesteld.

Mike’s server: Hey, Bob’s server. Ik heb een nieuw bericht van Mike.
Bob’s server: Hoi, Mike’s server. Wat is je SPF?
Mike’s server: Alsjeblieft, hier is mijn SPF. Er is een hele lijst met IP’s die Mike zelf heeft aangegeven als degene die namens hem gebruikt kunnen worden.
Bob’s server: Ok, laat me eens kijken… En het bericht dat je voor me hebt is verzonden vanaf IP 64.233.160.19. Ok, het staat op de lijst. Alles ziet er goed uit. Geef me het bericht, ik zal het aan Bob laten zien. Bedankt!

Mijn excuses aan alle tech-savvy lezers van deze blog voor deze onwetende oversimplificatie. Vergeef ons dummies, en vergeet niet dat we jullie super-analytische geesten benijden.

Hoe dan ook, de moraal van deze twee korte dialogen is: stel je SPF in. Als je dat niet doet, kun je op een slechterik lijken, en worden niet al je e-mails afgeleverd.

Welke toepassingen moet je opnemen in je SPF?

Het algemene idee is om ervoor te zorgen dat alle toepassingen die namens jou e-mails versturen (en hun eigen SMTP gebruiken, niet de jouwe) in je SPF worden opgenomen. Als u bijvoorbeeld Google Apps gebruikt om e-mails vanaf uw domein te verzenden, moet u Google in uw SPF opnemen. Hier is Google’s instructie over hoe dit te doen.

Maar het is belangrijk om ervoor te zorgen, als Google is de enige app die u moet “toestaan” in uw SPF. Bijvoorbeeld, we gebruiken HelpScout om onze support emails te beheren en MailChimp om onze nieuwsbrieven te versturen. We nemen ze allebei op in onze SPF.

Moet je Woodpecker ook in mijn SPF opnemen?

Nee. Zoals ik al zei, moet je niet vergeten om in je SPF record de apps op te nemen die namens jou emails versturen, maar hun eigen SMTP gebruiken. Woodpecker gebruikt uw SMTP om uw e-mails te verzenden, dus het is meer een online e-mail client met superkrachten dan een massa e-mail verzenden app.

Dat gezegd hebbende, de deliverability van de e-mails verzonden vanuit Woodpecker is afhankelijk van de reputatie van uw domein. Het instellen van SPF en DKIM zal u helpen de goede reputatie van uw domein te beschermen, en dus de deliverability van uw e-mails te verbeteren.

Hoe zet u SPF record op uw server stap voor stap?

De eerste stap is om te controleren wat is uw huidige SPF record. Dat kunt u doen met tools als:

• MxToolbox
• Google Apps Toolbox

Als u daar uw domein intypt (ik zou bijvoorbeeld woodpecker.co intypen), zullen de tools een aantal tests uitvoeren en u uw huidige SPF laten zien, of een melding dat deze nog niet is ingesteld.

Afhankelijk van uw domeinhost, zullen de stappen verschillen. In principe gaat het erom een goed gestructureerde regel tekst op de juiste plaats in de console te plakken.

Als u bijvoorbeeld Google Apps gebruikt om alle e-mails vanaf uw domein te verzenden, zou de regel er als volgt uitzien:

“v=spf1 include:_spf.google.com ~all”

Het “v=spf1” deel van de record wordt de versie genoemd, en degene die daarna komen worden mechanismen genoemd.

Nog eens kijken wat elk deel precies betekent.

1. v=spf1 dit element identificeert de record als een SPF
2. include:_spf.google.com dit mechanisme omvat mail servers die geautoriseerde servers zijn
3. ~all dit geeft aan dat als een e-mail wordt ontvangen van een niet-geautoriseerde (niet vermeld in het “include:” mechanisme) server, het wordt getagd als soft fail, wat betekent dat het kan worden doorgelaten, maar zou kunnen worden gemarkeerd als spam of verdacht.

Maar als je meer apps gebruikt dan dat (bijvoorbeeld iets om je nieuwsbrief te versturen, iets om je support berichten te versturen, etc.), zal de regel wat langer zijn, omdat je alle andere apps erin moet opnemen. Of als je geen Google Apps gebruikt maar een server van een andere host, bijvoorbeeld GoDaddy, zal de regel er anders uitzien.

Hier staat hoe je SPF instelt voor de meest voorkomende domein hosts:

• Google
• Microsoft
• Zoho
• NameCheap
• GoDaddy
• Amazon SES

Of u kunt deze stap-voor-stap handleiding bekijken waarin ons Hoofd Ondersteuning, Julia, uitlegt hoe u het moet doen:

Als u momenteel Woodpecker gebruikt of test en u weet niet zeker of uw SPF goed is ingesteld, kunt u dit direct in de app controleren: ga naar INSTELLINGEN > EMAIL ACCOUNTS > LEVERBAARHEID (aan de linkerkant) of neem contact met ons op om individuele hulp te krijgen.

Verstuur krachtige e-mails &verhoog antwoorden

Wat is DKIM?

DomainKeys Identified Mail (DKIM) standaard is gemaakt om dezelfde reden als SPF: om te voorkomen dat de slechteriken zich voordoen als u een e-mail afzender. Het is een manier om uw e-mails extra te ondertekenen, zodat de server van de ontvanger kan controleren of u de afzender bent of niet.

Door DKIM op uw DNS server in te stellen, voegt u een extra manier toe om uw ontvangers te vertellen “ja, ik ben het echt die dit bericht verstuurt”.

Het hele idee is gebaseerd op het versleutelen en ontsleutelen van de extra handtekening, geplaatst in de header van uw bericht. Om dat mogelijk te maken, moet u twee sleutels hebben:

• de privésleutel (die uniek is voor uw domein en uitsluitend voor u beschikbaar is. Hiermee kunt u uw handtekening in de header van uw berichten versleutelen.)
• de openbare sleutel (die u met de DKIM-standaard toevoegt aan uw DNS-records, zodat de server van de ontvanger deze kan opvragen en uw verborgen handtekening in de header van uw bericht kan ontsleutelen).

Neem Game of Thrones om het grotere plaatje van DKIM te snappen. Ned Stark stuurt een raaf met een boodschap aan koning Robert. Iedereen kan een stuk papier pakken, een bericht schrijven en het ondertekenen als Ned Stark. Maar er is een manier om het bericht te authenticeren – het zegel. Nu weet iedereen dat Ned’s zegel een direwolf is (dat is de publieke sleutel). Maar alleen Ned heeft het originele zegel en kan dat op zijn berichten zetten (dat is de prive sleutel).

Het instellen van DKIM is gewoon de informatie over de publieke sleutel in de records van uw server zetten. Het is ook een txt record dat op de juiste plaats moet worden gezet.

Als u dat eenmaal hebt ingesteld, zal elke keer dat iemand een e-mail van u krijgt, de server van de ontvanger proberen uw verborgen handtekening te ontcijferen met behulp van de openbare sleutel. Als dat lukt, wordt uw bericht extra geauthenticeerd, waardoor de bezorgbaarheid van al uw e-mails toeneemt.

Hoe zet u DKIM-records stap voor stap op uw server?

Eerst moet u de publieke sleutel genereren. Daarvoor moet u inloggen op de beheerconsole van uw e-mailprovider. De volgende stappen kunnen verschillen, afhankelijk van uw e-mailprovider.

Als u Google Apps gebruikt om uw e-mails te verzenden, is hier een stapsgewijze instructie. Google Apps e-mailgebruikers, moet u weten dat de DKIM-handtekeningen standaard zijn uitgeschakeld, dus u moet ze handmatig inschakelen in uw Google Admin-console.

Wanneer u de openbare sleutel hebt, neemt u het gegenereerde txt-record en plakt u het op de juiste plaats in uw DNS-records.

Ten slotte moet u e-mail ondertekening inschakelen om te beginnen met het verzenden van e-mails met uw handtekening versleuteld met uw privésleutel. Hier is hoe dat te doen, als u Google Apps gebruikt om uw e-mails te verzenden.

Hier ziet u hoe u DKIM kunt instellen bij enkele andere domeinhosts:

• Microsoft
• Zoho
• NameCheap

Voor meer details kunt u een videogids bekijken die uitlegt hoe u dat moet doen:

Als u momenteel Woodpecker gebruikt en geen IT-persoon hebt om u te helpen met SPF- en DKIM-instellingen, kunt u contact met ons opnemen voor individuele hulp.

Als u wilt controleren of uw SPF en DKIM goed zijn ingesteld, kunt u dat in de app doen: ga naar INSTELLINGEN > EMAIL ACCOUNTS > LEVERBAARHEID (aan de linkerkant).

Stel SPF & DKIM in en verbeter uw deliverability

Als u veel e-mails verstuurt, voor marketing of voor inbound of outbound sales, is de reputatie van uw domein van cruciaal belang en moet u daar heel goed voor zorgen. U wilt niet dat uw domein op een zwarte lijst komt te staan en dat uw e-mails in spam terechtkomen. Het goed instellen van SPF en DKIM records op uw DNS server is een noodzakelijke stap naar de veiligheid van uw domein en een hoge deliverability van uw berichten.

Het instellen lijkt misschien ingewikkeld, maar het is zonder twijfel de moeite waard. Als ik u was, zou ik naar mijn Woodpecker-account gaan en controleren of mijn SPF en DKIM nu goed zijn ingesteld, of mijn IT-jongens vragen het te doen (als u geen Woodpecker-gebruiker bent). En als blijkt dat het antwoord “nee” is, zou ik ze vragen me te helpen. En ik zou ze me niet laten afschepen.

Bekijk ook deze vier berichten over e-mail deliverability:

• Wat kunnen we doen om de deliverability van onze koude e-mail te verbeteren? >>
• Waarom zetten we een aparte mailbox op voor uitgaande campagnes? >>
• Antwoorden op 8 veelgestelde vragen over de bezorgbaarheid van e-mail >>
• 14 haalbaarheidscontroles die u moet uitvoeren voordat u uw koude e-mailcampagne verzendt >>

Verstuur krachtige e-mails & stimuleer antwoorden

Cathy Patalas

Chief Growth Officer bij Woodpecker.co

Cathy is lang geleden met deze blog begonnen, hoewel het lijkt alsof het gisteren was.