Status

Lijst status
Verplicht (pas toe leg uit)
Functioneel toepassingsgebied

SPF moet worden toegepast op alle overheidsdomeinnamen, ook op domeinen waarvan niet wordt gemaild, én op alle mailservers waarmee de overheid e-mail ontvangt.
Op 24 mei 2018 is de omschrijving van het functioneel toepassingsgebied door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) opnieuw bekrachtigd.

Organisatorisch werkingsgebied

Overheden en instellingen uit de publieke sector

Nut en werking

Typering

Anti-phishing

Nut

SPF is een standaard voor het veiliger maken van email verkeer door het tegengaan van spam en phisingmail door misbruik van domeinnamen bij e-mail te voorkomen.

Werking

SPF controleert of de mailserver die een e-mail wil versturen namens het e-maildomein deze e-mail mag verzenden. SPF specificeert een technische methode om afzenderadres-vervalsing detecteerbaar te maken. SPF biedt de mogelijkheid te controleren of een bericht aangeleverd wordt vanaf een server die daartoe gerechtigd is. Dit doet SPF door de authenticiteit van de domeinnaam in het afzenderadres van de ontvangen mail herleidbaar te maken via de in DNS gepubliceerde IP-adressen van de verzendende mailserver(s). Indien een mailserver niet in de lijst met gepubliceerde IP-adressen staat (de zogeheten SPF-records) maar toch mail verstuurt met het betreffende domein als afzender, dan wordt de mail als niet geauthenticeerd beschouwd.

Domein
Internet en beveiliging
Trefwoorden

Detailinformatie

Volledige naam
Sender Policy Framework
Versie
RFC 7208
Beheerorganisatie
IETF

Toepassing

Community

Informatie en hulp kan ook gevonden worden bij het platform internetstandaarden. Het doel van het platform is het gebruik van moderne internetstandaarden, waaronder SPF, te stimuleren. 

Hulpmiddelen

Hulpmiddelen en meer informatie over implementatie is te vinden op de website openspf

Conformiteitstest

Conformiteit kan getoetst worden via www.internet.nl en www.phishingscorecard.com

Toetsingsinformatie

Toelichting bij opname

Gezien de samenhang is naar aanleiding van de expertbijeenkomst DMARC ook SPF in behandeling genomen voor opname op de lijst. De standaard is dus niet los aangemeld. SPF is tegelijkertijd met DMARC in openbare consultatie gegaan en er is een aanvullende controle geweest of de standaard voldoet aan de toetsingcriteria van het Forum Standaardisatie.

In 2017 besloot het Forum Standaardisatie een standaardsyntaxis toe te passen op de beschrijving van de functioneel toepassingsgebieden van standaarden op de ‘pas toe of leg uit’-lijst. Aan de hand van deze syntaxis hebben we het functioneel toepassingsgebied van deze standaard SPF aangepast. Dit is bekrachtigd door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) op 25 mei 2018. Een toelichting treft u in dit document.

Adoptieadviezen

Zie hiervoor de adoptieadviezen bij DMARC.

Datum van besluit
2015-05-18

Overig

Toelichting

DMARC, SPF en DKIM zijn standaarden voor het veiliger maken van email verkeer door het tegengaan van spam en phisingmail door misbruik van domeinnamen bij e-mail te voorkomen. DMARC maakt het mogelijk om te bepalen hoe een e-mailprovider om moet gaan met e-mail waarvan niet kan worden vastgesteld dat deze afkomstig is van het vermelde afzenderdomein. SPF controleert of de mailserver die een e-mail wil versturen namens het e-maildomein deze e-mail mag verzenden. DKIM koppelt een e-mail aan een domeinnaam met behulp van een digitale handtekening.

Waarvoor geldt de verplichting

Bij investeringen in e-mail servers en alle systemen die domeinnamen gebruiken (bijvoorbeeld websites).

Voor SPF heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt. Tweemaal per jaar wordt gemeten hoe de overheid aan deze afspraak voldoet. Zie https://www.forumstandaardisatie.nl/thema/iv-meting-en-afspraken voor details.