SPF (Sender Policy Framework) is een e-mailverificatiemethode die voorkomt dat spammers namens jouw domein e-mails kunnen versturen (e-mailspoofing). Dit werkt door een SPF-record in de DNS van je domein in te stellen, waarin je opgeeft welke mailservers gemachtigd zijn om e-mails te verzenden namens jouw domein.

Waarom is een SPF Record belangrijk?

Zonder een correct ingesteld SPF-record kunnen kwaadwillenden e-mails verzenden die lijken alsof ze van jouw domein afkomstig zijn. Dit kan leiden tot:
Bescherming tegen spoofing – Voorkomt dat anderen zich voordoen als jouw domein.
Betere e-maildeliverability – Helpt bij het verminderen van spam- en phishing-aanvallen.
Minder kans op spam-markering – Veel mailproviders (Gmail, Outlook, etc.) geven de voorkeur aan domeinen met SPF.

Hoe werkt een SPF Record technisch gezien

  • Domeineigenaar voegt een SPF-record toe aan de DNS
    • Dit record specificeert welke mailservers mogen verzenden namens het domein.
  • Verzending van een e-mail
    • De e-mail wordt verzonden met een afzenderadres, bijvoorbeeld info@mijndomein.com.
  • Ontvangende mailserver controleert SPF
    • De ontvangende server kijkt in de DNS van mijndomein.com en controleert of het verzendende IP-adres in het SPF-record staat.
  • De e-mail wordt geaccepteerd of geweigerd
    • Als het IP-adres geautoriseerd is, wordt de e-mail doorgelaten.
    • Als het IP-adres niet in het SPF-record staat, kan de e-mail als spam worden gemarkeerd of geweigerd.

Voorbeeld van een SPF Record

Een SPF-record is een TXT-record in de DNS-instellingen van je domein. Hier is een basisvoorbeeld:

v=spf1 ip4:192.168.1.1 include:companypointmail.nl -all

Uitleg:

  • v=spf1 → Dit geeft aan dat het een SPF-record is.
  • ip4:192.168.1.1 → Alleen dit specifieke IP-adres mag e-mails verzenden namens het domein.
  • include:companypointmail.com → Toestemming geven aan een externe mailserver (zoals Gmail, Outlook of een mailservice zoals SendGrid).
  • -all → Alle andere IP-adressen worden geweigerd.

SPF Syntax

SPF-elementBetekenis
v=spf1SPF-versie (altijd v=spf1)
ip4:Specifiek IPv4-adres dat e-mails mag verzenden
ip6:Specifiek IPv6-adres dat e-mails mag verzenden
aStaat e-mails toe van het IP-adres van de domeinnaam
mxAutoriseert de mailservers die in het MX-record staan
include:Verwijst naar andere geautoriseerde SPF-records (bijv. Google of Microsoft)
allHoe niet-gematchte servers worden behandeld (-all, ~all, +all)

Wat betekent -all, ~all, +all, ?all?

Het laatste deel van het SPF-record bepaalt hoe de ontvangende mailserver moet omgaan met e-mails die niet in de lijst staan:

SPF-waardeBetekenis
-allHard fail → Niet-geautoriseerde servers worden geweigerd
~allSoft fail → Niet-geautoriseerde servers worden als “verdacht” gemarkeerd (kan in spam terechtkomen)
+allAccepteer ALLE e-mails, ongeacht het IP-adres (NIET aanbevolen)
?allNeutraal → Laat de ontvangende server beslissen

Voor de meeste bedrijven wordt -all of ~all aanbevolen.

Veel voorkomende fouten

  • Te veel include: regels

    • SPF-records mogen maximaal 10 DNS-opvragingen bevatten.
    • Oplossing: Gebruik ip4: en ip6: waar mogelijk om opvragingen te verminderen.
  • Niet instellen van -all of ~all

    • Als je geen -all of ~all instelt, kan een aanvaller nog steeds namens jouw domein e-mails verzenden.
  • Oude of onjuiste IP-adressen

    • Controleer regelmatig of je SPF-record up-to-date is met je gebruikte mailservers.

Veelvoorkomende SPF-instellingen voor populaire mailproviders

SPF voor Google Workspace (Gmail)

Voor bedrijven die e-mails verzenden via Google Workspace, ziet het SPF-record er zo uit:

v=spf1 include:_spf.google.com ~all

SPF voor Microsoft 365 (Outlook, Exchange)

v=spf1 include:spf.protection.outlook.com -all

Dit geeft Microsoft toestemming om namens jouw domein e-mails te verzenden.

SPF voor SendGrid

v=spf1 include:sendgrid.net -all

SendGrid wordt vaak gebruikt voor transactionele e-mails (zoals orderbevestigingen).

SPF voor meerdere mailproviders

Soms gebruik je meerdere e-mailservices (bijv. Google én SendGrid). In dat geval kun je meerdere include: regels combineren:

v=spf1 include:_spf.google.com include:sendgrid.net -all

Hierdoor worden zowel Google als SendGrid toegestaan.

Veel voorkomende vragen over SPF

Wat is een SPF-record?

Een SPF-record is een TXT-record in het DNS van een domein dat aangeeft welke mailservers gemachtigd zijn om e-mails te verzenden namens dat domein.

Waarom is een SPF-record belangrijk?

Het helpt voorkomen dat onbevoegde servers e-mails sturen die lijken te komen van jouw domein, wat kan leiden tot phishing en spam.

Hoe stel ik een SPF-record in?

Voeg een TXT-record toe aan je DNS-instellingen met de juiste SPF-syntaxis, bijvoorbeeld: v=spf1 ip4:192.0.2.0/24 -all.

Kan ik meerdere SPF-records voor één domein hebben?

Nee, een domein mag slechts één SPF-record hebben. Meerdere records kunnen leiden tot fouten bij de e-mailverificatie.

Hoe test ik mijn SPF-record?

Gebruik online tools zoals de SPF-recordchecker van Kinsta om te controleren of je SPF-record correct is ingesteld.

Hoe snel is mijn SPF-record actief?

Na het toevoegen of wijzigen van een SPF-record kan het enkele minuten duren voordat de wijziging wereldwijd is doorgevoerd, afhankelijk van de TTL (Time to Live) instellingen van je DNS.

Wat gebeurt er als mijn SPF-record niet correct is ingesteld?

E-mails die niet voldoen aan het SPF-record kunnen door ontvangende mailservers als spam worden gemarkeerd of zelfs worden geweigerd.

Wat is het verschil tussen een 'softfail' en een 'hardfail' in een SPF-record?

Een 'softfail' (~all) betekent dat e-mails van niet-gemachtigde servers worden geaccepteerd maar mogelijk als spam worden gemarkeerd. Een 'hardfail' (-all) betekent dat e-mails van niet-gemachtigde servers worden geweigerd.

Wat is het verschil tussen SPF, DKIM en DMARC?

SPF controleert of een e-mail afkomstig is van een geautoriseerde server. DKIM voegt een digitale handtekening toe aan e-mails om de integriteit en authenticiteit te waarborgen. DMARC bouwt voort op SPF en DKIM door beleid te definiëren voor hoe om te gaan met e-mails die deze controles niet doorstaan.

Wat is DNSSEC en hoe beschermt het mijn SPF-record?

DNSSEC (Domain Name System Security Extensions) voegt beveiliging toe aan het DNS door te zorgen voor de integriteit en authenticiteit van DNS-gegevens, inclusief SPF-records.