SPF-afstemming mislukt: oorzaken, oplossingen en hoe u aan de DMARC-normen blijft voldoen
door
Laatst bijgewerkt: 8 leestijd: 8 minuten
Belangrijkste Conclusies
- Fouten bij de SPF-afstemming komen vaak voor doordat de strikte afstemmingsmodus niet overeenkomt met de domeinen in de e-mailheaders, wat vooral gevolgen heeft voor organisaties met complexe subdomeinstructuren.
- Door de uitlijningsmodus van SPF te wijzigen van 'strict' naar 'relaxed' kunnen de meeste uitlijningsproblemen worden opgelost, terwijl de beveiliging van bedrijfskritische e-mailsystemen gewaarborgd blijft.
- DMARC vereist zowel SPF- als DKIM-configuraties om de e-mailbeveiliging te versterken en de bezorgingspercentages te verbeteren, wat vooral belangrijk is voor gereguleerde sectoren waar naleving van de regelgeving vereist is.
- Domeinspoofing kan leiden tot fouten bij de SPF-verificatie, aangezien vervalste e-mails niet overeenkomen met het legitieme domein, wat veiligheidsrisico’s voor organisaties met zich meebrengt.
- Het gebruik van DMARC-rapportagetools kan helpen om aan de vereisten te voldoen en afstemmingsfouten als gevolg van verkeerde configuraties te voorkomen, wat van cruciaal belang is voor MSP’s die meerdere klantdomeinen beheren.
SPF-afstemming is zo’n ding dat stilletjes op de achtergrond werkt, totdat het ineens niet meer werkt.
Wanneer de SPF-afstemming mislukt, komen legitieme e-mails in de spamfolder terecht, worden ze direct geweigerd of slagen ze niet voor de DMARC-controles, en de oorzaak is niet altijd duidelijk.
In deze handleiding komt alles aan bod wat u moet weten over SPF-afstemming: wat het is, waarom het misgaat, hoe u het kunt oplossen en hoe u ervoor zorgt dat het correct blijft werken voor al uw verzendende domeinen.
Inzicht van expertsIk ben al meer dan 15 jaar actief in de cyberbeveiliging en heb gezien hoe fouten in de SPF-afstemming tot ernstige bedrijfsverstoringen kunnen leiden. Bij PowerDMARC werken we regelmatig samen met organisaties die cruciale communicatie met klanten mislopen door problemen die voorkomen hadden kunnen worden. Mijn ervaring leert dat het cruciaal is om te beseffen dat SPF-afstemming essentieel is voor het behoud van vertrouwen en het naleven van de regelgeving. |
Wat is SPF-afstemming?
SPF, of Sender Policy Framework, is een e-mailverificatieprotocol dat controleert of een e-mail is verzonden vanaf een IP-adres dat is geautoriseerd door het verzendende domein. Maar het doorstaan van een SPF-controle alleen is niet voldoende voor DMARC-compliance, omdat het domein ook moet worden afgestemd, en daar helpt SPF-afstemming bij.
SPF-afstemming is het proces waarbij wordt gecontroleerd of het domein dat wordt gebruikt in de MAIL FROM-header van een e-mail – ook wel het envelopdomein of retourpad genoemd – overeenkomt met het domein dat is opgegeven in het zichtbare ‘Van’-adres.
Als deze twee headers hetzelfde domein hebben, is de SPF-afstemming geslaagd. Als dat niet het geval is, mislukt de SPF-afstemming, zelfs als de SPF-controle zelf geslaagd is.
Waarom dit onderscheid belangrijk is
Een e-mail kan technisch gezien een SPF-controle doorstaan, terwijl de SPF-afstemming toch niet klopt. Dit komt doordat SPF het domein van de envelop controleert, en niet het ‘Van’-adres dat ontvangers daadwerkelijk te zien krijgen
Als een externe e-maildienstverlener namens u e-mails verstuurt via zijn eigen retourdomein, kan de SPF-controle voor hun domein weliswaar slagen, maar komt dit niet overeen met uw domein. DMARC (Domain-based Message Authentication, Reporting, and Conformance) vereist afstemming, wat betekent dat dit scenario nog steeds zal resulteren in een DMARC-fout.
SPF-afstemming vormt daarom een cruciale laag in uw e-mailauthenticatie . Het zorgt ervoor dat het domein dat de e-mail verstuurt overeenkomt met het domein dat uw ontvangers zien, waardoor het een belangrijk teken van legitimiteit is en een directe factor in de vraag of uw e-mails de inbox bereiken.
Strikte versus soepele SPF-afstemming: de belangrijkste verschillen
Wanneer u DMARC configureertkunt u de SPF-alignmentmodus instellen op 'strict' of 'relaxed'. De modus die u kiest, bepaalt in hoeverre het envelopdomein en het 'Van'-domein met elkaar moeten overeenkomen om de alignmenttest te doorstaan.
| Strikte SPF-afstemming | Flexibele SPF-afstemming | |
|---|---|---|
| DMARC-tag | aspf=s | aspf=r |
| Aan de vereisten voldoen | Exacte overeenkomst tussen het domein van de afzender en het ‘Van’-domein | Het e-mailadres van de afzender en het domein van de afzender moeten tot hetzelfde organisatiedomein behoren |
| Ondersteuning voor subdomeinen | Nee, subdomeinen zullen niet worden uitgelijnd | Ja, subdomeinen van het hoofddomein worden doorgelaten |
| Voorbeeld (geslaagd) | Van: uwdomein.com / Return-path: uwdomein.com | Van: uwdomein.com / Return-path: mail.uwdomein.com |
| Voorbeeld (mislukt) | Van: uwdomein.com / Return-path: mail.uwdomein.com | Van: uwdomein.com / Return-path: derde-domein.com |
| Het beste voor | Organisaties die volledige controle hebben over hun verzendinfrastructuur | Organisaties die via meerdere subdomeinen of platforms van derden verzenden |
| Bescherming tegen spoofing | Hoger | Matig |
| Standaardinstelling in DMARC | Geen | Ja |
Hoe SPF-afstemming binnen DMARC werkt
SPF, DKIM en DMARC werken samen als een gelaagd framework voor e-mailverificatie. Inzicht in hoe SPF-afstemming in dit geheel past, is essentieel om storingen correct te diagnosticeren en op te lossen.
DMARC vereist dat aan ten minste één van de twee voorwaarden wordt voldaan voordat een e-mail wordt goedgekeurd:
- SPF-controle is geslaagd en het domein van de afzender komt overeen met het 'From'-domein
- DKIM is goedgekeurd en het DKIM-ondertekeningsdomein komt overeen met het 'Van'-domein
Dit betekent dat SPF-afstemming niet de enige manier is om aan de DMARC-normen te voldoen.
Als de SPF-afstemming mislukt, maar er een geldige, afgestemde DKIM-handtekening aanwezig is, kan de e-mail nog steeds DMARC doorstaan. Dit is een belangrijke fallback om te begrijpen, met name bij scenario's met e-maildoorsturing, waarbij de SPF-afstemming bijna altijd mislukt.
De rol van het retourpad
Het retouradres, ook wel de afzender van de envelop of het MAIL FROM-adres genoemd, is het adres waar retourberichten naartoe worden gestuurd wanneer een e-mail niet kan worden afgeleverd. Dit adres staat los van het zichtbare ‘Van’-adres en is het domein dat daadwerkelijk door SPF wordt gecontroleerd.
Wanneer een externe afzender zijn eigen domein in het retouradres gebruikt, wordt de SPF-controle voor zijn domein goedgekeurd, maar mislukt de afstemming met uw domein omdat de twee domeinen niet overeenkomen.
Strikte versus soepele afstemming in DMARC
Wanneer u DMARC configureert, kunt u de SPF-afstemmingsmodus specificeren met behulp van de aspf-tag in uw DMARC-record. Met de instelling aspf=s wordt strikte afstemming afgedwongen, terwijl aspf=r soepele afstemming afdwingt.
Als er geen tag is opgegeven, wordt DMARC standaard in de versoepelde modus ingesteld.
| Tip van de expert: Ons team ziet vaak afstemmingsfouten in omgevingen met complexe subdomeinen. Controleer je configuratie zorgvuldig om veelvoorkomende fouten te voorkomen. Voor organisaties die meerdere domeinen of klanten beheren, kan het implementeren van geautomatiseerde monitoring deze problemen voorkomen voordat ze invloed hebben op e-mailbezorging. |
Waarom SPF-afstemming mislukt
Voordat u probeert een SPF-afstemmingsfout te verhelpen, is het handig om eerst te begrijpen waarom deze fout zich voordoet. In de meeste gevallen gaat het om een veelvoorkomend configuratie- of e-mailverwerkingsprobleem. Zaken als e-maildiensten van derden, doorsturen, DNS-beperkingen of simpele fouten in de recordconfiguratie kunnen allemaal de SPF-afstemming verstoren.
Hieronder staan de meest voorkomende redenen waarom SPF-afstemming mislukt en wat er achter de schermen precies gebeurt.
Externe e-maildienstverleners die hun eigen retouradres gebruiken
Dit is de meest voorkomende oorzaak van fouten bij de uitlijning van de SPF.
Wanneer u e-mails verstuurt via een platform van een derde partij, zoals een CRM-systeem, een marketingtool of een dienst voor massale verzending, voegt dat platform standaard vaak zijn eigen domein toe aan het retouradres. SPF zal voor hun domein worden goedgekeurd, maar dit komt niet overeen met uw ‘Van’-domein, waardoor DMARC de SPF-controle niet doorstaat.
E-mail doorsturen
Wanneer een e-mail wordt doorgestuurd, geldt het oorspronkelijke SPF-record niet voor het IP-adres van de doorstuurserver. Het retourpad verandert tijdens het doorsturen, waardoor de SPF-afstemming vrijwel altijd wordt verstoord. Dit is een bekende beperking van SPF en een van de belangrijkste redenen DKIM-afstemming wordt aanbevolen als aanvullend mechanisme.
Verkeerd geconfigureerde SPF-records
Als je SPF-record onjuist is geconfigureerd, kan dit zowel SPF-authenticatiefouten als uitlijningsproblemen veroorzaken. Veelvoorkomende fouten in de configuratie zijn onder andere:
- Meer dan tien DNS-lookup limiet, waardoor SPF een permerror retourneert
- Typefouten in de syntaxis van het record
- Ontbrekende of verouderde IP-adressen van servers die namens u berichten versturen
- waaronder mechanismen die met elkaar in strijd zijn
Conflicten tussen subdomeinen
Als u e-mails verstuurt vanaf een subdomein, maar uw DMARC-afstemming is ingesteld op ‘strict’, zal het subdomein niet worden afgestemd op het organisatiedomein. Dit is een veelvoorkomend probleem bij organisaties die verschillende subdomeinen gebruiken voor transactionele en marketingmails, zonder hun afstemmingsmodus hierop aan te passen.
Vertragingen bij DNS-propagatie
Nadat u wijzigingen in uw SPF-record hebt aangebracht, kan het enkele minuten tot 48 uur duren voordat deze wijzigingen in het DNS-systeem zijn doorgevoerd.
Gedurende deze periode kunnen sommige ontvangende servers nog steeds naar uw oude record verwijzen, wat tijdelijke synchronisatieproblemen kan veroorzaken die vanzelf verdwijnen zodra de verspreiding is voltooid.
Voorbeelden van SPF-uitlijning
Soms is het makkelijker om SPF-afstemming te begrijpen aan de hand van een paar eenvoudige voorbeelden. Afhankelijk van of DMARC is ingesteld op strikte of soepele afstemming, kan die overeenkomst exact zijn of alleen binnen hetzelfde organisatiedomein vallen.
De onderstaande voorbeelden laten zien hoe de uitlijning in verschillende situaties wel of niet goed verloopt.
| Scenario | Uit de koptekst | Retourpad | Strikte modus | Ontspannen modus |
|---|---|---|---|---|
| Exacte overeenkomst | [email protected] | [email protected] | ✓ GESLAAGD | ✓ GESLAAGD |
| Subdomein | [email protected] | [email protected] | ✗ MISLUKT | ✓ GESLAAGD |
| Een ander domein | [email protected] | [email protected] | ✗ MISLUKT | ✗ MISLUKT |
Hoe SPF-uitlijningsfouten te verhelpen
Als je SPF-afstemmingsfouten ziet in je DMARC-rapporten, is het goede nieuws dat deze meestal eenvoudig op te lossen zijn zodra u de oorzaak hebt vastgesteld. De meeste problemen komen neer op configuratieproblemen met uw SPF-record, externe afzenders of afstemmingsinstellingen.
De onderstaande stappen helpen u bij de meest voorkomende oplossingen.
Stap 1: Controleer je SPF-record
Begin met het controleren van uw verzenddomein via een SPF-recordchecker om te zien wat er precies is gepubliceerd.
Controleer of alle IP-adressen en diensten van derden die momenteel namens u berichten verzenden, in de lijst staan, of de syntaxis correct is en of u de limiet van tien DNS-lookups niet overschrijdt.
Stap 2: Stel je e-mailprovider in
Als de afstemmingsfout wordt veroorzaakt doordat een externe afzender zijn eigen retourpad-domein gebruikt, neem dan contact op met uw e-mailserviceprovider en laat hen een aangepast retourpad onder uw domein instellen.
De meeste grote platforms ondersteunen dit, en hiervoor moet een CNAME-record aan je DNS toe te voegen dat naar de servers van de provider verwijst, terwijl je domein in het retourpad blijft staan.
Stap 3: Stel je DMARC-afstemmingsmodus in
Controleer uw DMARC-record en kijk of uw aspf-tag is ingesteld op 'strict' of 'relaxed'.
Als u gegevens verstuurt via subdomeinen of platforms van derden, zorgt het overschakelen naar een soepelere afstemming ervoor dat subdomeinen de afstemmingscontroles doorstaan zonder dat er een exacte overeenkomst nodig is.
U kunt uw DMARC-record controleren en bijwerken met behulp van een DMARC-recordchecker.
Stap 4: Scenario’s voor het doorsturen van e-mail behandelen
Aangezien de SPF-verificatie bijna altijd mislukt tijdens het doorsturen, wordt DKIM-verificatie je belangrijkste alternatief.
Zorg ervoor dat uw DKIM correct is geconfigureerd en is afgestemd op uw ‘Van’-domein, zodat doorgestuurde e-mails nog steeds via DKIM door DMARC kunnen worden geverifieerd, zelfs als de SPF-afstemming mislukt.
Stap 5: Werk je SPF-record bij voor alle verzendbronnen
Controleer en werk uw SPF-record regelmatig bij, zodat het alle huidige afzenders weergeeft.
Telkens wanneer u een nieuw platform van een derde partij toevoegt of uw verzendinfrastructuur wijzigt, moet uw SPF-record worden bijgewerkt om deze wijzigingen weer te geven. Als u dit niet doet, zullen er SPF-fouten optreden bij e-mails die vanaf onbekende IP-adressen worden verzonden.
Stap 6: Wacht tot de DNS-wijzigingen zijn doorgevoerd
Nadat u wijzigingen hebt aangebracht in uw SPF- of DMARC-record, moet u voldoende tijd inplannen voor DNS-propagatie voordat u gaat testen.
Gebruik een online SPF-validatietool om te controleren of het bijgewerkte record live is en correct wordt omgezet, voordat u conclusies trekt uit uw DMARC-rapporten.
Hoe SPF-afstemming de afleverbaarheid van e-mails beïnvloedt
De SPF-configuratie is rechtstreeks van invloed op de vraag of uw e-mails in de inbox terechtkomen of worden gefilterd. Wanneer de SPF-gegevens niet overeenkomen met het ‘Van’-domein, kan DMARC het bericht als niet-geverifieerd beschouwen, wat gevolgen heeft voor de manier waarop ontvangende servers het bericht verwerken. Hieronder wordt dit nader toegelicht.
Plaatsing en afwijzing van spam
E-mails waarbij de SPF-verificatie mislukt, worden vaker als spam gemarkeerd of door ontvangende servers geweigerd. Wanneer DMARC mislukt omdat noch SPF, noch DKIM de verificatie doorstaat, past de ontvangende server het beleid toe dat in uw DMARC-record is opgegeven, of dat nu ‘geen’, ‘quarantaine’ of ‘weigeren’ is.
E-mails die in de spamfolder terechtkomen, worden aanzienlijk minder vaak geopend, leiden tot een lagere betrokkenheid en schaden op den duur de verzendreputatie van uw domein.
Schade aan de reputatie van de afzender
Herhaaldelijke fouten bij de SPF-afstemming zijn voor e-mailproviders een teken dat er iets mis is met uw verzendconfiguratie.
Na verloop van tijd tast dit uw afzenderreputatie aan, wat gevolgen heeft voor de e-mails die niet aankomen en voor alle toekomstige e-mails die vanaf uw domein worden verzonden. Een beschadigde afzenderreputatie is moeilijk te herstellen en het kan weken of maanden van consistent, geauthenticeerd verzenden vergen om deze weer op te bouwen.
Het bouncepercentage stijgt
Wanneer e-mails direct worden geweigerd vanwege problemen met de opmaak, leidt dit tot bounceberichten.
Hoge bouncepercentages verergeren het probleem met de afleverbaarheid doordat ze uw afzenderreputatie verder schaden en de kans vergroten dat toekomstige e-mails van uw domein door ontvangende servers met argwaan worden bekeken.
Los SPF-uitlijningsproblemen voorgoed op met PowerDMARC
Fouten in de SPF-configuratie lossen zich zelden vanzelf op. Als u er niets aan doet, tasten ze stilletjes uw reputatie als afzender aan, zorgen ze ervoor dat legitieme e-mails in de spamfolder terechtkomen en veroorzaken ze DMARC-fouten die zich in de loop van de tijd opstapelen.
De uitdaging is dat je voor het opsporen van afstemmingsproblemen inzicht moet hebben in alle bronnen die namens jou gegevens versturen, en dat is iets wat je niet kunt achterhalen met een eenmalige controle van de gegevens.
PowerDMARC biedt u continue monitoring van uw SPF-afstemming voor al uw verzendende domeinen, met DMARC-overzichtsrapporten die ruwe authenticatiegegevens omzetten in duidelijke, bruikbare inzichten.
U kunt precies zien welke bronnen niet aan de vereisten voldoen, of uw strikte of soepele configuratie naar behoren werkt en waar uw SPF-record moet worden bijgewerkt. Combineer dit met de SPF-, DKIM- en DMARC-beheertools van PowerDMARC en u hebt alles wat u nodig hebt om de afstemming op orde te krijgen en te houden.
Start vandaag nog uw gratis proefperiode van 15 dagen vandaag nog.
FAQs
1. Hoe los ik een SPF-fout op?
Controleer eerst uw SPF-record met behulp van een SPF-recordchecker om te achterhalen wat het probleem is. De meest voorkomende oplossingen zijn onder meer het toevoegen van ontbrekende IP-adressen of externe verzendbronnen aan uw record, het corrigeren van syntaxfouten en ervoor zorgen dat u de limiet van tien DNS-lookups niet overschrijdt.
2. Wat betekent het als de SPF-test mislukt?
Een SPF-fout betekent dat de ontvangende e-mailserver heeft vastgesteld dat de verzendende server niet bevoegd is om e-mails namens uw domein te verzenden. Dit kan ertoe leiden dat e-mails worden geweigerd, als spam worden gemarkeerd of de DMARC-authenticatie niet doorstaan, wat de zakelijke communicatie kan verstoren.
3. Is SPF-afstemming belangrijk?
Ja, SPF-configuratie is van cruciaal belang voor de veiligheid en afleverbaarheid van e-mails. Het helpt domeinspoofing te voorkomen, zorgt ervoor dat legitieme e-mails de ontvangers bereiken en houdt de reputatie van de afzender op peil. Bovendien is het vaak een vereiste om te voldoen aan de regelgeving in sectoren zoals de financiële sector en de gezondheidszorg.
4. Wat zijn de oorzaken van storingen in het SPF-systeem?
SPF-fouten worden vaak veroorzaakt door: ontbrekende SPF-records, syntaxfouten, niet-geautoriseerde afzenders van derden, overschrijding van de limieten voor DNS-lookups, meerdere SPF-records, vertragingen bij de DNS-propagatie, en het gebruik van strikte afstemming terwijl een soepelere instelling beter zou passen bij uw e-mailinfrastructuur.
Cyberbeveiligingsexpert, CEO bij PowerDMARC
Maitham is een technisch ondernemer, cyberbeveiligingsexpert, CEO en oprichter van PowerDMARC met meer dan 15 jaar ervaring in de sector. Maitham heeft een Global MBA van de Universiteit van Manchester en diverse professionele certificeringen waaronder CISSP, CISM, CRISC en ISC2 CCSP.
Laatste berichten van Maitham Al Lawati (Bekijk alle berichten)
- E-mailphishing en DMARC-statistieken: trends op het gebied van e-mailbeveiliging in 2026 - 6 januari 2026
- Hoe u 'Geen SPF-record gevonden' kunt oplossen in 2026 - 3 januari 2026
- SPF Permerror: Hoe te veel DNS-lookups te verhelpen - 24 december 2025
