Hvordan virker SPF?
Når en mailserver modtager en e-mail, der hævder at komme fra dinvirksomhed.dk, slår den domænets SPF-record op i DNS. Recorden er en simpel tekstlinje, der lister de godkendte afsendere — typisk jeres mailudbyder (fx Microsoft 365), nyhedsbrevssystem og faktureringssystem.
En typisk SPF-record ser sådan ud:
v=spf1 include:spf.protection.outlook.com -allOversat: “Kun Microsoft 365 må sende for dette domæne — alt andet skal afvises (-all).”
SPF’s svaghed: den beskytter ikke det, brugeren ser
SPF validerer den tekniske afsenderadresse (envelope from / Return-Path) — ikke den afsenderadresse, modtageren ser i sit mailprogram. En angriber kan derfor bestå SPF på sit eget domæne og stadig vise jeres domæne i “Fra”-feltet. Derudover knækker SPF ofte, når mails videresendes.
Derfor står SPF aldrig alene: det er ét af tre ben sammen med DKIM og DMARC. Først DMARC binder SPF-resultatet sammen med det synlige afsenderdomæne og giver jer kontrol.
De typiske SPF-fejl hos danske SMV’er
I praksis støder vi oftest på fire problemer: glemte systemer (CRM eller bogføringssystem sender mails, der fejler), mere end 10 DNS-opslag i recorden (SPF’s hårde grænse — alt derover fejler permanent), +all eller ?all i enden, som reelt tillader alle, og flere SPF-records på samme domæne, hvor kun én er gyldig.
En fejlkonfigureret SPF er værre end ingen: legitime mails lander i spam, og I opdager det først, når kunderne klager.