Thomas Boudesteijn
Iedere IT’er droomt er van; een standaard werkplek waar hij of zij niks op aan hoeft te passen. Gebruikers die naadloos weten waar ze iets kunnen vinden en precies weten hoe ze iets moeten starten. Dit doen we het liefst ook nog eens in zoveel mogelijk diverse soorten cloud oplossingen.
Het resultaat is een wirwar van producten, ondoorzichtige licentiestructuren en voor de eindgebruiker compleet onduidelijk hoe, wat en wanneer hij bij zijn gegevens kan.
Laat ik je meteen uit die droom helpen, dit gaan we ook niet oplossen. Er bestaat geen “kant en klare “one size fits all” werkplek. Iedere werkplek blijft in zekere zin een stuk maatwerk en dit is maar goed ook want niemand doet hetzelfde werk en iedereen werkt op zijn eigen manier.
Wat wel kan is het eenvoudig en transparant maken voor zowel eindgebruiker als IT en management. Want wat als de gebruiker zijn werkplek krijgt en niet meer hoeft na te denken hoe hij bij zijn spullen komt? Wat als de afdeling IT eenvoudige nieuwe technologie kan uitrollen en zich niet meer bezig hoeft te houden met dagelijks terugkerende taken? Wat als het management nou vooraf eens inzicht kon krijgen in de totale kosten, of dit nu per dag, week, maand of per jaar is. Dit zou toch erg prettig zijn.
Dit vonden we bij Netflex een onwijs mooie uitdaging om een werkplek te creëren die voor iedereen ‘begrijpbaar’ is. Netflex heeft een werkplek concept gecreëerd die werkt als ‘water uit de kraan’ maar dan op maat voor alle gebruikers. Hierbij kan een op maat voorstel heel snel aangeleverd worden inclusief de juiste licenties en volledig kostenoverzicht. De gebruiker hoeft niet meer na te denken of de applicatie in zijn situatie werkt, of deze nu thuis werkt of op kantoor zit. Ongeacht welk device de gebruiker gebruikt zonder concessies te doen aan de (data)beveiliging.
Dit doen wij door te werken met een uniek werkstijlen concept, wat wij vertalen naar profielen. Op basis van deze profielen bieden wij een standaard (basis) concept aan, aangevuld met bouwblokken welke geschikt zijn voor jouw persoonlijke situatie. Of je nu werkt met een social portal, Citrix/RDS, Tablets, mobiele telefoons of laptops/desktops, ons concept is flexibel en transparant.
Wij helpen je graag met het vastleggen van de behoefte en voorzien in een op-maat oplossing. Dit doen wij binnen enkele uren en in de meeste gevallen tegen lagere kosten dan je nu hebt voor jouw werkplek.
Wij komen graag bij je langs om ons concept uit te leggen. Voor meer informatie kun je bellen naar 088-6383539 of een mailtje sturen naar nico.zieck@netflex.nl.
Stefan ten Hoeve
At a customer site we have ADFS 4.0 (Windows 2016 server) setup. The customer uses SMS passcode for MFA, so they get an SMS as an extra factor when logging into Office 365 applications and VMware Horizon View.
But Skype For Business does not support MFA, when you use MFA from Azure you can create Application Passwords, but when using a 3rd party MFA solution connected to you ADFS server, this is not possible.
To make sure there is no MFA needed when logging on to Skype, we setup a new Access Control Policy in the ADFS Management Console:
The new access control policy needs to have the following statements:
Permit Users from internet network and require multi-factor authentication except with Client User Agent claim regex matches (?i)Lync|"(?i)ACOMO|(?i)skype in the request Permit Users from internet network and with Client User Agent claim regex matches (?i)Lync|"(?i)ACOMO|(?i)skype in the request Permit Users from intranet network
The first “Permit users” makes sure everyone is asked for MFA Authentication except Skype users
The second “Permit Users” makes sure that users that login with a Skype Client are able to login
The third “Permit Users” makes sure that internal users can just login without using MFA.
Paul de Jongh
Techconnect 2017 (voorheen GWAVACon) werd gehouden in Berlijn en Netflex was aanwezig.
Het was interessant om te zien of er veel is veranderd door de overname van GWAVA door Microfocus vorig jaar oktober. Laurence O’Brien opende het evenement, zoals gewoonlijk met veel humor, met de constatering dat hoewel GWAVA onderdeel is geworden van een veel grotere organisatie, het nog steeds “klein” aanvoelt. Hij benadrukte dat alles “business as usual” is.
De Keynote, gepresenteerd door Angelika Gifford, General Manager DACH HPE Software, ging volledig over de overname van Hewlett Packard Enterprise Software (HPE) door Microfocus. Hiermee stijgt Microfocus naar een 7e plek op de ranglijst voor Software bedrijven en een 2e plek in Europa. De uitdagingen voor de komende periode liggen bij het integreren van beide productportfolios. De overname van HPE was niet de laatste, beloofde ze.
Een grote afwezige op deze editie was Microsoft als Partner en er waren geen sessies over bijvoorbeeld Exchange en Office365
De naam GWAVA is langzaam aan het verdwijnen, evenals de meeste GWAVA productnamen:
- Reload heet nu GroupWise Disaster Recovery
- Vertigo heet nu GroupWise Mailbox Management
- Redline heet nu GroupWise Monitoring and Reporting
- Reveal is veranderd in GroupWise Forensics
Voor alle producten die alleen voor GroupWise werken is dit nu duidelijker.
Het product waar alles mee begonnen is en waar de organisatie naar vernoemd is, GWAVA, krijgt ook een andere naam: Secure Messaging Gateway. De naam bevat geen verwijzing naar GroupWise omdat dit product ook ingezet kan worden voor bijvoorbeeld Exchange.
Het vlaggeschip van GWAVA; Retain, behoudt als enige zijn naam.
Naast de naamswijzigingen werd nog een grote aankondiging gedaan: Enterprise Messaging (https://www.microfocus.com/products/enterprise-messaging/).
Deze suite van software combineert GroupWise en Messenger met Secure Messaging, Backup en Archivering
Verder waren er diverse sessies over uiteenlopende Microfocus producten:
Filr
Met Filr kunnen bestanden eenvoudig worden benaderd op elk type device en gemakkelijk worden gedeeld met zowel interne als externe personen. Voor de toekomstige versie 3.3, die uitkomt einde dit jaar, zijn de volgende zaken beschikbaar:
- Linux Client
- Multi Tennant, met name belangrijk voor Datacenter Hosting partijen waardoor zij een enkele installatie kunnen aanbieden aan diverse klanten. Elke klant heeft dan toch zijn eigen logo’s en volledig gescheiden van de andere Tennants (klanten). De hosting partij moet zich certificeren voordat zij hier gebruik van kunnen maken, het licentie-model is subscription per maand waarbij alleen de actieve gebruikers worden geteld.
- MS Office Plugin. Hiermee kunnen vanuit de Office producten bestanden worden opgehaald en opgeslagen in de Filr mappen. Ook kan samengewerkt worden in hetzelfde document met deze plugin
- Folder Upload met de Web Client. Een veelgevraagde optie die met deze versie mogelijk wordt
Verder was het integreren met de andere producten (GroupWise, Messenger, teamworks en Outlook) de belangrijkste mededeling.
Multi-Factor Authenticatie voor bijvoorbeeld externe gebruikers, is nu al beschikbaar in 3,2 !
Retain
De archiveringsoplossing voor Mail, Social en Mobiel. De belangrijkste mededeling hier was dat de acquisitie van GWAVA door Microfocus geen gevolgen heeft voor de toekomstige richting ingezet door GWAVA. De toekomst zal het uitwijzen.
Vanuit Nederland is er nog niet veel vraag naar, maar met name in Azië wordt veel gebruik gemaakt van de Social connector van Retain. Hiermee is het mogelijk bijvoorbeeld de bedrijfspagina van Facebook te archiveren. Een voorbeeld van een bank met diverse Facebook pagina’s, gericht op diverse bevolkingsgroepen, werd aangehaald. Diverse medewerkers waren dagen bezig om alle posts en de reacties daarop te archiveren door schermafdrukken te maken. Met behulp van Retain Social werd dit vele malen eenvoudiger en hadden de medewerkers de mogelijkheid de posts te doorzoeken. In de volgende versie van Retain is het ook mogelijk om Skype for Business te archiveren.
Met de overname van HPE wordt het mogelijk alle verzamelde informatie beter te analyseren (Data Insight), wat volgens de analisten de volgende grote innovatie moet worden.
De eerstvolgende release, 4.3, heeft beter Deletion Management en GDPR (General Data Protection Regulation) Compliance Rules. Hiermee wordt het eenvoudig om te voldoen aan de nieuwe wetgeving van de Europese Unie (http://www.eugdpr.org/)
Voor 2018 staat een release op stapel waarbij Retain volledig Multi Tennant in de Cloud beschikbaar komt.
GroupWise Messenger
De GroupWise Messenger is op dit moment nog het enige product wat gekoppeld moet zijn aan de eDirectory en dat beheerd moet worden via ConsoleOne. De focus van de nieuwe release is dan ook geheel gefocust op het onafhankelijker maken van de “oude” novell producten.
- De administratie vindt plaats in de GroupWise Admin Web Console
- Koppeling met Active Directory, eDirectory, GroupWise of Internal voor gebruikers authenticatie.
GroupWise Teamworks
De eerste indrukken van dit “nieuwe” programma doen terugdenken aan een eerder project van Novell: Pulse.
Door middel van teams kunnen gebruikers niet alleen chatten met elkaar, maar ook bestanden delen. De Teamworks client wordt onderdeel van GroupWise 2018. In de eerste release is er een Web en IOS Client.
Open Enterprise Server 2018
Cloud Storage is het toverwoord voor deze release van OES die gepland is einde dit jaar. De bekende Dynamic Storage Technology (DST) is uitgebreid zodat ook opslag in de Cloud gebruikt kan worden. Door middel van Policies kunnen bestanden lokaal worden opgeslagen of in de Cloud, waarbij het voor de gebruiker niet zichtbaar is waar zijn bestanden staan. 90% van de bestanden op een File Server zijn ouder dan 1 jaar en worden zeer zelden geraadpleegd. Met goedkope opslag in de Cloud is het interessant om die 90% te verplaatsen terwijl voor de gebruiker niets zichtbaar veranderd.
ZENworks 2017
De volgende release (SP2) heeft voornamelijk meer functionaliteit op het gebied van Mobile Management. De eerste versies van ZENworks 2017 hadden rudimentair beheer van Mobiele apparaten, onder andere Android werd niet ondersteund op een acceptabel niveau. Met deze release, gepland begin 2018, worden al deze hiaten in het beheer gevuld.
Full Disk Encryption heeft in deze release de mogelijkheid om buiten de boot disk ook de overige disken te encrypten. Ondersteuning voor Bitlocker voor USB drives als encryptie is ook aanwezig.
Secure Boot wordt ook (eindelijk) ondersteund met PXE imaging.
De ondersteuning voor nieuwe netwerkkaarten loopt vaak achter, waardoor nieuw aangeschafte hardware niet voorzien kan worden van een Image. De ZENworks Imaging Engine is ge-poort van Linux naar Windows, waarmee de engine dan opgestart kan worden vanaf WinPE. Dit is wel een nieuwe versie van ZMG, waarin de Native MS NTFS drivers in zijn opgenomen. Hierdoor is de ondersteuning van drivers verbeterd en is ook de Tuxera Driver niet meer nodig. De beide ZMG varianten zijn helaas (nog) niet uitwisselbaar.
De Imaging Engine op Linux blijft voorlopig ook nog ondersteund.
Joeri Klaassen
Spraken we in ons blog van dinsdag nog over de nieuwe Exchange 2019, Microsoft heeft ook de nieuwe Office 2019 aangekondigd. Deze zal samen met Exchange 2019 in de 2e helft van 2018 “General Available” zijn.
OneDrive Files On Demand
Wat we ook in ons vorige blog besproken hebben is OneDrive Files On Demand en dat dit werkt in de laatste Windows insider build. Ondertussen hebben we een sessie gevolgd om wat meer informatie te verkrijgen, en samen met OneDrive Files on Demand zal er direct een Group Policy beschikbaar zijn welke via ADMx files is uit te rollen. Deze zijn te vinden in de setup directory. In de screenshots van vandaag zie je het verschil in dataverloop van de nieuwe On demand mogelijkheden vs de traditionele OneDrive client.
OneDrive Sharing
In de nieuwe OneDrive is delen gemakkelijker gemaakt en over alle platformen gelijk getrokken. Hierdoor is het voor Microsoft gemakkelijk om nieuwe functionaliteit toe te voegen. 1 van de dingen waar op dit moment aan gewerkt wordt is het kunnen delen van documenten middels een One Time Password (OTP) welke naar de externe gebruiker gemaild wordt. Hierdoor wordt het mogelijk voor interne gebruikers om samen te werken in documenten met externe gebruikers zonder daarvoor een account nodig te hebben op Microsoft Office 365 of Microsoft Online (Outlook/Live).
Outlook 2019
Microsoft heeft bekend gemaakt in 2018 voor Outlook aan 6 pilaren te gaan werken voor verbetering:
- Quality
- Collaboration
- Trust
- People
- Intelligence
- Ecosystem
Er zal o.a. een vereenvoudiging van de interface worden doorgevoerd, ook zal Outlook een suggestie doen van ontvangers bij het versturen van een email. Daarnaast worden er diverse verbeteringen doorgevoerd m.b.t. phishing en social threats. Cortana zal Outlook slimmer maken door o.a. het verzorgen van Time to Leave notifications, deze notifications laten je weten wanneer je moet vertrekken om op tijd aanwezig te zijn voor je afspraak, rekening houdend met de verkeersdrukte.
Passthrough Authentication
Zoals we vorig jaar in ons Ignite blog vermelden, en ook op YouMeet the Experts hebben verteld, komt Microsoft met een andere manier van Authenticeren voor Office 365 naar de lokale Active Directory. Deze oplossing zit ingebakken in de AADConnect software. Dit was in preview maar is sinds kort “General Available”. Als je meer informatie wilt of Passthrough Authentication iets voor jou omgeving is, neem dan contact met ons op.
Exchange (online)
Op de tweede dag van ignite is er geen keynote en beginnen we direct met een sessie, “Exchange Tips and Tricks”. Hierin volgt een aankondiging voor Exchange 2019. In de 2e helft van 2018 zal Exchange 2019 voor iedereen beschikbaar worden gemaakt. Gezien de eerdere releases van Exchange is het waarschijnlijk dat Exchange 2019 in oktober 2018 uit zal komen. De preview zal midden 2018 al beschikbaar zijn.
Verder worden er in de sessie diverse tips gegeven voor Exchange 2016 zoals:
- Exchange 2016 was incompatible met Exchange 2016 waardoor IIS crasthe na het configureren van een DAG. Dit is opgelost in KB3206632
- Binnen IOS 11 zit een http/2 bug die er voor kan zorgen dat een mail niet te beantwoorden of door te sturen is vanuit de IOS native mail app of een andere active sync enabled mail app. Error “Cannot send mail. Message rejected by the server”. Een workaround is het uitschakelen van http/2 op Exchange.
- Er zullen het komende jaar veel verbeteringen uitkomen mbt het delen van agenda’s en de beschikbaarheid over de verschillende devices. Nu is het al mogelijk om je agenda te delen vanaf elke Outlook applicatie en kun je via elke Outlook applicatie de gedeelde agenda’s openen. Om over deze nieuwe functies te beschikken dienen reeds gedeelde agenda’s opnieuw te worden gedeeld. Nieuw gedeelde agenda’s zullen de nieuwe functionaliteit al hebben.
- Wanneer Office 365 / Exchange online de verzender van een bericht niet kan verifieren middels DKIM of SPF zal er een vraagteken (?) worden getoond in de foto van de gebruiker.
Afsluitend meld Microsoft nogmaals dat RPC over HTTP vanaf 21 oktober niet meer zal functioneren binnen Office 365. Indien dit nog gebruikt wordt dient dit omgezet te worden naar MAPI over HTTP.
OneDrive Files On Demand & Indexing.
Een andere sessie gaat over Onedrive for Business en wat we in de toekomst mogen verwachten. Microsoft laat zien hoe de nieuwe functionaliteit “Files on Demand” werkt. Met “Files on Demand” is het mogelijk alleen die bestanden van Onedrive for Business of Sharepoint te downloaden die voor jou werkzaamheden belangrijk zijn.
Degenen die de Microsoft Insider versie van Windows 10 installeren kunnen dit nu zelf al testen. Dit is dus een goed alternatief voor iedereen die nu verbinding maakt naar een SharePoint TeamSite middels WEBDAV. Zie voor meer info de screenshots.
In eerste instantie zal “Files On Demand” alleen handmatig instelbaar zijn. De verwachting is dat er in 2018 een Group Policy template zal komen voor OneDrive zodat instellingen centraal kunnen worden geregeld.
Wat betreft Indexing, OneDrive zal bestanden gaan indexeren, dus ingescande bonnetjes e.d. zijn met een paar keywords gemakkelijk terug te vinden. Voor verschillende extensies zal er een preview gegeven worden in de client. (Adobe Ilustrator, PDF etc.)
En we hebben weer een lekkere wandeling gemaakt vandaag:
12326 stappen
8,74KM
18 verdiepingen
Netflex is dit jaar weer aanwezig bij Microsoft Ignite. Dit jaar is het event in Orlando.
Aangekomen op vrijdagmiddag hebben we eerst de omgeving wat verkend. Orlando is bekend om zijn pretparken, maar omdat er vanuit Ignite al de mogelijkheid wordt gegeven om er 2 te bezoeken zijn wij op zoek gegaan naar alligators! Tijdens een airboat tour hebben we er meerdere mogen spotten.
Zondagavond hebben we een meeting van Microsoft bezocht waar we met andere partners en klanten uit Nederland gesproken hebben. Een leuk initiatief van Microsoft Nederland waardoor je een beetje bekend raakt met de andere Nederlanders die Ignite bezoeken.
Maandag begint Ignite dan echt en Microsoft start het event door het geven van een Vision Keynote.
Tijdens de Keynote spreekt Satya Nadella over “Digital Transformation”, dit is het thema voor de 2 conferenties die nu gehouden worden, Ignite en Envision.
Hierin geeft Satya een aantal speerpunten:
• Empower Employees
• Engage Customers
• Optimize Operations
• Transform Products.
Satya geeft aan dat Office 365 gestoeld is op “simplicity”, “unlocking creativity” en “Collaboration” in dynamische teams.
Microsoft is nog steeds bezig met het verbeteren van de Hololens. Er komt aan het einde van dit jaar een nieuwe versie van uit. Tijdens de keynote wordt getoond hoe Ford slim gebruik maakt van de Hololens bij het design van hun auto’s.
Bing for Business is momenteel nog in preview. Bing for Business geeft je de mogelijkheid om te zoeken in eigen data, heeft integratie met verschillende 3rd party databases, en slim kan zoeken dmv machine learning. Een private preview 
is beschikbaar via de volgende link:
https://forms.office.com/Pages/ResponsePage.aspx…
Als je de keynote volledig wilt zien, klik dan op de volgende link:
https://www.facebook.com/Microsoft/videos/10155103427648721/
Teams, Microsoft gaat groots inzetten op Microsoft Teams. Uiteindelijk zal teams Skype for Business gaan vervangen, de backend is hier al op voorbereid.
Eindstand maandag per persoon :
16514 stappen
11,3 km
17 verdiepingen
From Exchange 2016 CU6 and for Exchange Online customers it is now possible to control the “Sent Items” behaviour of delegated User Mailboxes. This control is available for shared mailboxes since 2015.
How does it work?
Let’s say you have the following scenario:
- Jack is the CEO of the company
- Iris is a delegate on Jack’s mailbox; Iris has Send As rights on Jacks mailbox
- When Iris sends an email as Jack, the mail will only be in Iris’s “Sent Items” folder.
With the new feature enabled, the email will not only be in Iris’s “Sent Items” folder but both Jack and Iris will have the message in their “Sent Items” folder.
How to enable these settings?
These settings have to be set via powershell and cannot be set via the EAC / o365 portal as with shared mailboxes.
To enable these settings for “Sent On behalf”:
Enable message copySent On Behalf of the delegator For emails Sent On Behalf of the delegator:
Set-Mailbox <delegator mailbox name> –MessageCopyForSendOnBehalfEnabled $true
Disable message copySent On Behalf of the delegator For emails Sent On Behalf of the delegator:
Set-Mailbox <delegator mailbox name> –MessageCopyForSendOnBehalfEnabled $false
To Enable these settings for “Sent As”
Enable Message copy:
Set-Mailbox <delegator mailbox name> –MessageCopyForSentAsEnabled $true
Disable Message copy:
Set-Mailbox <delegator mailbox name> –MessageCopyForSentAsEnabled $false
In this 3-part blog I will discuss SPF, DKIM and DMARC. In this second part of the blog I will discuss DKIM.
DKIM stands for DomainKeys Identified Mail.
To understand how DKIM works, you can best look at it like when you sign a letter that you send by snailmail. DKIM sets up a form of signing for email, a key is sent with the email, which can be matched by the receiving party. If there is a match, then the signature of the email is genuine, and the email is forwarded to the receiving user. If there is no match, depending on the settings in the antispam tooling of the receiving party the email will be tagged as SPAM, deleted or just delivered.
DKIM for Exchange
For Exchange onPrem there is “Exchange DKIMSigner” this is a freeware tool, which can add DKIM signing to your emails. (https://github.com/Pro/dkim-exchange).
With this tool you can easily generate a private key, and it shows you the suggested DNS record.
Setting the DNS record.
Setting the DNS record for Exchange Onprem works a bit different from setting the DNS record for Exchange Online. With Onprem you put the public key in the DNS record, so the other party can pick it up, with Exchange Online you point to another microsoft address for the public key (see DKIM for Exchange Online below).
With Exchange Onprem you only need one cname record:
Host name: selector1._domainkey.<domain> Points to address or value: <Public Key Information> TTL: 3600
For Example:
Host name: selector1._domainkey.netflex.nl Points to address or value: v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAjj7VrGHGJJzySqziW0AVReVFoTqlMo5RSTmKwZ3Fd2XY9QkJ21xweKEsxLFzSsAZiABIcAwZmWtLFlBac/CttlA6R2xA5vwZLNW5iiFhGmzOG+mi/S3aDCF7cOIuVG4G3tBh7dmdT6WwYn8SiLX3BEAjBtT2vEjiyfln4VaLet8z6+eEZvzClGBf7cQ59uKZogKycgq9fGwLseU30ckLXMWVk2ij9C978sUAL/TquyA6Xs86pozO2eD+N+yEba2hWv7ueqW6lfsQJxGWew79VWDLINWjnvFWijYDpNQL0wU6CXDCfWhCfhjenx2KHco/WoFk1y2/oXAFygeSrwyUVwIDAQAB TTL: 3600
After the DNS record has been created, you can restart the Transport service via the DKIM Signer application, and all your emails will be signed.
DKIM for Exchange Online
When you are using Exchange in the cloud or “Exchange Online”, DKIM is build into the o365 portal. You can find it in the “Exchange Management portal” under “Protection”, “dkim”.
Before you can enable DKIM on your o365 tennant, you need to add 2 cname records to your DNS:
Host name: selector1._domainkey.<domain> Points to address or value: selector1-<domainGUID>._domainkey.<initialDomain> TTL: 3600 Host name: selector2._domainkey.<domain> Points to address or value: selector2-<domainGUID>._domainkey.<initialDomain> TTL: 3600
For example:
Host name: selector1._domainkey.netflex.nl Points to address or value: selector1-netflex-nl._domainkey.Netflexbv.onmicrosoft.com TTL: 3600 Host name: selector2._domainkey.netflex.nl Points to address or value: selector2-netflex-nl._domainkey.Netflexbv.onmicrosoft.com TTL: 3600
After you have added these DNS-records, you can enable DKIM in Exchange Online, and it works.
MessageSystems.com has a very cool and grandma-approved 😉 infographic on the subject:
Next time I will discuss DMARC (Domain-based Message Authentication, Reporting, and Conformance.
More information about DKIM you can find at:
https://en.wikipedia.org/wiki/DomainKeys_Identified_Mail
Since years there are some extra “settings” you can set to make sure your email does not get tagged as SPAM, as the other party can check if the email comes from a legitimate source.
There are some things you can do to make sure your email does not get tagged as SPAM:
- Do not get blacklisted.
- Make sure your server is not an open relay.
- Setup an Sender Policy Framwork (SPF)
- Setup a Domain-based Message Authentication, Reporting and Conformance (DMARC) policy
- Setup DomainKeys Identified Email
In the coming blogs I will write about how to setup SPF, DKIM and DMARC for an exchange system.
(SPF) Sender Policy Framework.
The Sender Policy Framework is published in 2006 by the IETF and made a standard in 2014. Originally called Sender Permitted From. The framework is setup to minimize the amount of spam coming in. In the SPF record you create you let the receiver end know from which ip-address or range of ip-adresses email sent by your organization can originate from. If the sending host is not in the SPF record, receiving mailservers can block the mail completely or mark it as spam.
An SPF record is setup in your DNS. It’s a TXT record.
There are lots of sites on the internet that test your spf record, lets have a look at our (Netflex.nl) SPF record:
(From http://mxtoolbox.com/spf.aspx)
The first part of the spf record indicates the version of SPF: spf1
Then there are some includes, these are the domains that are searched for an allow when an email is accepted by a foreign server. The last option is -all, ?all or ~all depending if the email should:
Pass (+all)
Fail (-all)
SoftFail (~all)
Neutral (?all)
|
Result |
Explanation |
Intended action |
|
Pass |
The SPF record designates the host to be allowed to send |
accept |
|
Fail |
The SPF record has designated the host as NOT being allowed to send |
reject |
|
SoftFail |
The SPF record has designated the host as NOT being allowed to send but is in transition |
accept but mark |
|
Neutral |
The SPF record specifies explicitly that nothing can be said about validity |
accept |
|
None |
The domain does not have an SPF record or the SPF record does not evaluate to a result |
accept |
Our spf record is pretty strict and fails every email that does not fall in any of the includes. If you set up a spf record for the first time and do not know if every domain is accounted for in the spf record, you can set the qualifier to a setting that is less strict.
One of the best ways to create a good spf record for your environment is to check which sites sent mail for your domain, and then use a spf calculator, like the one on www.spfwizard.net
When you have created a well-defined spf record, go to your hosting provider and create a TXT record on their server with the appropriate settings.
To test your spf record you can use:
http://www.kitterman.com/spf/validate.html
I will discuss DKIM in my next blog.
Michiel Elderson
When ADFS is deployed and users are browsing to sharepoint online without configuring auto-acceleration users are required to provide their username before the can enter their Sharepoint environment.
Bas Wanrooij
Erik van der Spek
Joeri Klaassen
Michiel Elderson
Paul de Jongh
Stefan ten Hoeve
Thomas Boudesteijn
Recent Comments