SPF (Sender Policy Framework) is een e-mailverificatiemethode die voorkomt dat spammers namens jouw domein e-mails kunnen versturen (e-mailspoofing). Dit werkt door een SPF-record in de DNS van je domein in te stellen, waarin je opgeeft welke mailservers gemachtigd zijn om e-mails te verzenden namens jouw domein.
Waarom is een SPF Record belangrijk?
Zonder een correct ingesteld SPF-record kunnen kwaadwillenden e-mails verzenden die lijken alsof ze van jouw domein afkomstig zijn. Dit kan leiden tot:
✅ Bescherming tegen spoofing – Voorkomt dat anderen zich voordoen als jouw domein.
✅ Betere e-maildeliverability – Helpt bij het verminderen van spam- en phishing-aanvallen.
✅ Minder kans op spam-markering – Veel mailproviders (Gmail, Outlook, etc.) geven de voorkeur aan domeinen met SPF.

Hoe werkt een SPF Record technisch gezien

- Domeineigenaar voegt een SPF-record toe aan de DNS
- Dit record specificeert welke mailservers mogen verzenden namens het domein.
- Verzending van een e-mail
- De e-mail wordt verzonden met een afzenderadres, bijvoorbeeld
info@mijndomein.com
.
- De e-mail wordt verzonden met een afzenderadres, bijvoorbeeld
- Ontvangende mailserver controleert SPF
- De ontvangende server kijkt in de DNS van
mijndomein.com
en controleert of het verzendende IP-adres in het SPF-record staat.
- De ontvangende server kijkt in de DNS van
- De e-mail wordt geaccepteerd of geweigerd
- Als het IP-adres geautoriseerd is, wordt de e-mail doorgelaten.
- Als het IP-adres niet in het SPF-record staat, kan de e-mail als spam worden gemarkeerd of geweigerd.
Voorbeeld van een SPF Record
Een SPF-record is een TXT-record in de DNS-instellingen van je domein. Hier is een basisvoorbeeld:
v=spf1 ip4:192.168.1.1 include:companypointmail.nl -all
Uitleg:
v=spf1
→ Dit geeft aan dat het een SPF-record is.ip4:192.168.1.1
→ Alleen dit specifieke IP-adres mag e-mails verzenden namens het domein.include:companypointmail.com
→ Toestemming geven aan een externe mailserver (zoals Gmail, Outlook of een mailservice zoals SendGrid).-all
→ Alle andere IP-adressen worden geweigerd.
SPF Syntax
SPF-element | Betekenis |
---|---|
v=spf1 | SPF-versie (altijd v=spf1 ) |
ip4: | Specifiek IPv4-adres dat e-mails mag verzenden |
ip6: | Specifiek IPv6-adres dat e-mails mag verzenden |
a | Staat e-mails toe van het IP-adres van de domeinnaam |
mx | Autoriseert de mailservers die in het MX-record staan |
include: | Verwijst naar andere geautoriseerde SPF-records (bijv. Google of Microsoft) |
all | Hoe niet-gematchte servers worden behandeld (-all , ~all , +all ) |
Wat betekent -all, ~all, +all, ?all?
Het laatste deel van het SPF-record bepaalt hoe de ontvangende mailserver moet omgaan met e-mails die niet in de lijst staan:
SPF-waarde | Betekenis |
---|---|
-all | Hard fail → Niet-geautoriseerde servers worden geweigerd |
~all | Soft fail → Niet-geautoriseerde servers worden als “verdacht” gemarkeerd (kan in spam terechtkomen) |
+all | Accepteer ALLE e-mails, ongeacht het IP-adres (NIET aanbevolen) |
?all | Neutraal → Laat de ontvangende server beslissen |
Voor de meeste bedrijven wordt -all
of ~all
aanbevolen.


Veel voorkomende fouten
Te veel
include:
regels- SPF-records mogen maximaal 10 DNS-opvragingen bevatten.
- Oplossing: Gebruik
ip4:
enip6:
waar mogelijk om opvragingen te verminderen.
Niet instellen van
-all
of~all
- Als je geen
-all
of~all
instelt, kan een aanvaller nog steeds namens jouw domein e-mails verzenden.
- Als je geen
Oude of onjuiste IP-adressen
- Controleer regelmatig of je SPF-record up-to-date is met je gebruikte mailservers.
Veelvoorkomende SPF-instellingen voor populaire mailproviders
SPF voor Google Workspace (Gmail)
Voor bedrijven die e-mails verzenden via Google Workspace, ziet het SPF-record er zo uit:
v=spf1 include:_spf.google.com ~all
SPF voor Microsoft 365 (Outlook, Exchange)
v=spf1 include:spf.protection.outlook.com -all
Dit geeft Microsoft toestemming om namens jouw domein e-mails te verzenden.
SPF voor SendGrid
v=spf1 include:sendgrid.net -all
SendGrid wordt vaak gebruikt voor transactionele e-mails (zoals orderbevestigingen).
SPF voor meerdere mailproviders
Soms gebruik je meerdere e-mailservices (bijv. Google én SendGrid). In dat geval kun je meerdere include:
regels combineren:
v=spf1 include:_spf.google.com include:sendgrid.net -all
Hierdoor worden zowel Google als SendGrid toegestaan.