SPF (Sender Policy Framework)

Uit NORA Online
Ga naar: navigatie, zoeken


Standaard.png
Naam: SPF (Sender Policy Framework)
ID: RFC7208
Type: Standaard
Versie: RFC7208
Anti-phishing


SPF controleert of de mailserver die een e-mail wil versturen namens het e-maildomein deze e-mail mag verzenden.

SPF specificeert een technische methode om afzenderadres-vervalsing detecteerbaar te maken. SPF biedt de mogelijkheid te controleren of een bericht aangeleverd wordt vanaf een server die daartoe gerechtigd is. Dit doet SPF door de authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van de domeinnaam in het afzenderadres van de ontvangen mail herleidbaar te maken via de in DNS gepubliceerde IP-adressen van de verzendende mailserver(s). Indien een mailserver niet in de lijst met gepubliceerde IP-adressen staat (de zogeheten SPF-records) maar toch mail verstuurt met het betreffende domein als afzender, dan wordt de mail als niet geauthenticeerd beschouwd.


  • Nut: SPF is een standaard voor het veiliger maken van email verkeer door het tegengaan van spam en phisingmail door misbruik van domeinnamen bij e-mail te voorkomen.



Waar toepasbaar

  • Functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening: SPF moet worden toegepast op alle overheidsdomeinnamen, ook op domeinen waarvan niet wordt gemaild, én op alle mailservers waarmee de overheid e-mail ontvangt.Op 24 mei 2018 is de omschrijving van het functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) opnieuw bekrachtigd.
  • Organisatorisch werkingsgebiedHet domein (organisatorisch, taakvelden) binnen de overheid waarin het element (principe, standaard, voorziening..) wordt of kan worden toegepast. Bijvoorbeeld: gemeenten, provincies, waterschappen, Rijk, zorginstellingen, primair onderwijs.: Overheden en instellingen uit de publieke sector
  • Waarvoor geldt de verplichting: Bij investeringen in e-mail servers en alle systemen die domeinnamen gebruiken (bijvoorbeeld websites).

Meer informatie

Gerelateerd

DMARC, DKIM, DNS (Domain Name System), DMARC, DKIM, DNS

Realiseert

Lijst Open Standaarden voor Pas Toe of Leg Uit

Toepassing in voorzieningen en bouwstenen

VoorzieningToelichtingOordeelRelevantieVolgens bronGepubliceerd op
BAG (Basisregistratie Adressen en Gebouwen)
BRK (Basisregistratie Kadaster)
BGT (Basisregistratie Grootschalige Topografie)
WOZ (Basisregistratie Waarde Onroerende Zaken)
SPF is geïmplementeerd (zie: https://internet.nl/mail/kadaster.nl/ ).voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
BRV (Basisregistratie Voertuigen)RDW ondersteunt en gebruikt de SPF standaard voor email verkeer.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
Berichtenbox voor bedrijvenSPF is niet geïmplementeerd (zie https://internet.nl/site/www.berichtenbox.antwoordvoorbedrijven.nl/).voldoet nietvan toepassingMonitor Open Standaarden 201927 maart 2020
DigiDSPF is relevant voor DigiD bij alle mails vanuit de DigiD applicatie, en DigiD voldoet ook aan deze standaard (zie https://internet.nl/mail/digid.nl/).voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
DigiD MachtigenDigiD Machtigen verstuurd geen email aan gebruikers. Er is wel een SPF record aangemaakt voor het domein: machtigen.digid.nl welke aangeeft dat er vanaf dit domein geen email wordt verstuurd.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
DigiInkoopDigiInkoop voldoet aan deze standaard (zie: https://internet.nl/mail/digiinkoop.nl/).voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
DigileveringDigilevering draait op het Logius Managed Services platform.

Vanuit de VPC is het niet mogelijk mail direct naar buiten te sturen om te voorkomen dat de applicatiebeheerder of een van haar systemen als spam/malware verstuurder wordt aangemerkt. Alle mail-versturende systemen moeten gebruik maken van de centrale voorziening mail relay als zij mail willen versturen.

SPF is geïmplementeerd op de centrale voorziening mail relay.

Digimelding en Digilevering zijn op het Equinix platform geïmplementeerd, de applicaties kunnen alleen via de mail-relay server van het platform e-mail versturen. Deze mail –relay server is niet van buitenaf benaderbaar, daarom kan dit met internet.nl niet getoetst worden.
voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
DigimeldingSPF is geïmplementeerd.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
DigipoortDigiPoort heeft geen SPF-records. Er wordt niet gemaild vanuit dit domein, maar SPF zou wel ingericht moeten worden. De planning van Q1 2019 is niet gehaald en de standaard wordt ingericht in Q3/Q4 2019.geplandvan toepassingMonitor Open Standaarden 201927 maart 2020
Stelsel Elektronische Toegangsdiensten
Idensys
EHerkenning
SPF wordt toegepast bij de voorziening, maar wordt vooralsnog niet vereist als toe te passen techniek voor deelnemers.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
MijnOverheidSPF is relevant en geïmplementeerd.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
NHR (Basisregistratie Handelsregister)SPF is geïmplementeerd voor NHR.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
OndernemerspleinEr wordt aan deze standaard voldaan op de domeinen kvk.nl en ondernemersplein.nl (zie: https://internet.nl/mail/kvk.nl/249076/# en https://internet.nl/mail/ondernemersplein.nl/). SPF is niet geïmplementeerd voor het domein ondernemersplein.kvk.nl (zie: https://internet.nl/mail/ondernemersplein.kvk.nl/246411/#)voldoet deelsvan toepassingMonitor Open Standaarden 201927 maart 2020
Samenwerkende catalogiDe validator van Samenwerkende Catalogi is in de tweede helft van juli 2019 gemigreerd naar een ander platform. Op dit moment worden alle relevante standaarden geïmplementeerd: HTTPS en HSTS, SPF, DMARC, TLS. Verwachting is dat dit Q3 2019 gereed is.geplandvan toepassingMonitor Open Standaarden 201927 maart 2020
Standard Business Reporting (SBR)De website van SBR (http://www.sbr-nl.nl) heeft ook een mailserver. Deze voldoet aan SPF (zie: https://internet.nl/mail/sbr-nl.nl/).voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
Doc-DirektOok SPF wordt inmiddels toegepast.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
DWR (Digitale Werkomgeving Rijksdienst)SPF wordt op alle domeinen toegepast.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
ODC-NoordSPF is geïmplementeerd voor alle drie de domeinen.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
P-DirektSPF is geïmplementeerd door de beheerder van de maildienst (in het geval van P-Direkt is dat SSC-ICT). voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
Rijksoverheid.nlHet e-maildomein @rijksoverheid.nl is integraal van SPF voorzien (zie: https://internet.nl/mail/rijksoverheid.nl/). Vanwege ontbreken van een aanspreekpunt van het maildomein, heeft geen verdere afstemming plaats gevonden met een beheerder na toetsing van de standaard. Deze statustoekenning is van PBLQ en is niet gevalideerd.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
RijkspasSPF is geïmplementeerd.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
RijksportaalSPF is minder relevant voor deze oplossing. Echter, het gebruik van DKIM/DMARC (want maillinks) en het gebruik van mailservers laat onverlet dat SPF ook een (mogelijk) te gebruiken standaard dient te zijn.voldoet nietvan toepassingMonitor Open Standaarden 201927 maart 2020
TenderNedSPF is inmiddels aangezet door de technisch dienstverlenerDe persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers) DICTU. (Zie: https://internet.nl/mail/tenderned.nl/140321/#mailauth).voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
Toelichting: Bouwstenen en gebruikte standaarden