Hoe controleer ik SPF-records in Exchange Online?

Gebruik een SPF-controletool zoals de PowerDMARC SPF Checker, voer je domein in en controleer het record, de syntaxis en het aantal lookups. Je kunt dit ook controleren in het Microsoft 365-beheercentrum onder Instellingen → Domeinen → DNS-records. Voor verificatie aan de kant van de ontvanger controleer je de header Authentication-Results in een extern verzonden testbericht.

Welk SPF-record heb ik nodig voor Microsoft 365?

Minimaal: v=spf1 include:spf.protection.outlook.com -all. Als je nog andere verzendservices gebruikt (HubSpot, SendGrid, Salesforce, Zendesk), voeg dan hun includes toe vóór -all. Zorg ervoor dat het totale aantal DNS-lookups onder de 10 blijft, inclusief geneste lookups binnen elke include.

Waarom werkt SPF niet, ook al ziet mijn record er correct uit?

Veelvoorkomende oorzaken: het overschrijden van de limiet van 10 DNS-lookups (PermError), meerdere SPF-records op hetzelfde domein, doorgestuurde e-mails (SPF werkt bij het doorsturen per definitie niet) of een leverancier die zijn geautoriseerde IP-bereiken wijzigt zonder u hiervan op de hoogte te stellen. Controleer de header `Authentication-Results` voor het specifieke `spf=`-resultaat.

Wat is het verschil tussen -all en ~all?

-all (hard fail) geeft ontvangers de opdracht om berichten van niet-geautoriseerde IP-adressen te weigeren of af te wijzen. ~all (soft fail) is soepeler. In 2026, wanneer DMARC is geïmplementeerd, bepaalt het DMARC-beleid de handhaving, ongeacht de kwalificatie. Als u nog geen DMARC hebt, biedt -all aanzienlijk betere bescherming.

Hoeveel DNS-lookups voert include:spf.protection.outlook.com uit?

De Microsoft-include telt als één opzoekactie, maar leidt tot geneste includes die ongeveer 2 tot 4 extra opzoekacties vereisen. Het exacte aantal varieert naarmate Microsoft zijn infrastructuur bijwerkt. Controleer dit altijd met een tool die geneste opzoekacties recursief telt.

Is SPF voldoende om e-mailspoofing te voorkomen?

Nee. SPF alleen voorkomt geen vervalsing van het zichtbare ‘Van:’-adres (header ‘From’). Het controleert alleen de afzender van de envelop (Return-Path). Voor volledige bescherming is DKIM nodig voor ondertekening op berichtniveau, plus DMARC om naleving af te dwingen. De combinatie van deze drie protocollen, die continu worden gecontroleerd, is de norm in 2026.

Hoe MSP’s DMARC sneller kunnen beheren met MCP Server

Belangrijkste Conclusies

Het beheren van DMARC voor tientallen klantdomeinen wordt lastig wanneer MSP’s gebruikmaken van afzonderlijke dashboards en handmatige DNS-controles.
Een MCP-server koppelt AI-tools zoals Claude of Cursor aan realtime PowerDMARC-gegevens, waardoor MSP’s domeinen kunnen opvragen en beheren via eenvoudige opdrachten.
MSP’s kunnen binnen hun volledige klantenbestand snel domeinen opsporen die voor spoofing vatbaar zijn, SPF-problemen, zwakke DMARC-beleidsregels en tekortkomingen in de authenticatie.
De MCP-server helpt de operationele kosten te verlagen door inzicht, probleemoplossing en het genereren van DNS-records in één workflow te combineren.

DMARC beheren voor een handvol domeinen is nog wel te doen. Maar als het gaat om 50, 100 of 300 klantdomeinen, is dat een heel ander verhaal.

De meeste MSP’s kennen het wel: heen en weer schakelen tussen dashboards, DNS-records handmatig controleren, de SPF-syntaxis in aparte tools valideren, DMARC-rapporten per klant doornemen en proberen bij te houden welke klant nog steeds in de monitoringmodus zit. Voeg daar nog meerdere beheerders, verschillende DNS-providers en onderling niet-geïntegreerde beveiligingstools aan toe, en zelfs eenvoudige controles gaan al snel uren in beslag nemen.

Het probleem is niet een gebrek aan tools. Het is het ontbreken van een centraal operationeel platform dat MSP’s belemmert om snel informatie op te vragen, problemen op te lossen en actie te ondernemen voor hun gehele klantenbestand.

En daar komt de MCP-server om de hoek kijken.

De MCP-server van PowerDMARC biedt MSP’s de mogelijkheid om rechtstreeks via AI-tools zoals Claude of Cursor met actuele DMARC-gegevens te werken. In plaats van tussen tabbladen en portals te moeten schakelen, kunnen teams vragen stellen in gewone taal en direct concrete antwoorden op accountniveau ontvangen.

Wat is MCP – en waarom is dit belangrijk voor MSP’s?

MCP staat voor Model Context Protocol. Eenvoudig gezegd is het een standaard waarmee AI-assistenten verbinding kunnen maken met externe platforms en met realtime gegevens kunnen werken.

Zonder een MCP kan een AI-assistent alleen algemene aanwijzingen geven op basis van wat hij al weet. Hij kan uitleggen wat SPF of DMARC is, maar hij kan je klantdomeinen niet inzien, hun DNS-records niet controleren en niet vaststellen welke domeinen kwetsbaar zijn voor spoofing.

Met MCP wordt de AI gekoppeld aan uw werkelijke omgeving.

Dat betekent dat een MSP vragen kan stellen als:

“Welke klantdomeinen hebben nog steeds p=none?”
“Toon mij domeinen met een SPF PermError -risico.”
“Maak een gecorrigeerd SPF-record aan voor deze klant.”
“Geef een overzicht van alle domeinen met een lage gezondheidsscore.”

In plaats van standaardantwoorden haalt de AI actuele informatie rechtstreeks op van het gekoppelde platform en kan hij helpen bij het uitvoeren van taken in realtime.

Voor MSP’s die zich bezighouden met e-mailbeveiliging voor meerdere organisaties is dit van belang omdat het de operationele lasten vermindert. De AI is niet langer alleen een assistent, maar wordt een interface waarmee echte omgevingen sneller kunnen worden beheerd.

Waarom PowerDMARC een MCP-server heeft gebouwd

MSP’s en MSSP’s die grote domeinportfolio’s beheren, worden vaak geconfronteerd met hetzelfde operationele knelpunt: het overzicht is versnipperd. Dit betekent dat de ene klant zich in de DMARC-handhavingsfase bevindt, terwijl een andere nog in de monitoringfase zit; dat het ene domein een probleem heeft met de SPF-lookup, terwijl bij een ander domein ongeautoriseerde afzenders in de rapporten verschijnen. Om al deze informatie te achterhalen, moet men doorgaans inloggen op verschillende dashboards, records handmatig controleren en gegevens uit verschillende tools bij elkaar puzzelen.

PowerDMARC heeft zijn MCP-server ontwikkeld om die drempel weg te nemen.

Het doel was niet om bestaande werkprocessen te vervangen. Het was bedoeld om MSP’s in staat te stellen te blijven werken met de AI-tools die ze al gebruiken, terwijl ze tegelijkertijd toegang behouden tot realtime DMARC- en DNS-gegevens uit hun PowerDMARC-omgeving.

Zonder MCP-connectiviteit kunnen zelfs geavanceerde AI-tools slechts theoretisch advies geven:

Uw vraag: "Waarom werkt SPF niet voor het domein van mijn klant?"

Het antwoord: „Het kan zijn dat het domein van uw klant om verschillende redenen niet voldoet aan de SPF-vereisten. Zo werkt SPF…”

Met MCP-connectiviteit wordt dezelfde prompt bruikbaar:

Het antwoord: „Uw klantdomein overschrijdt de limieten voor SPF-opzoekingen vanwege geneste include-instructies. Hier is het gecorrigeerde SPF-record.“

Het verschil zit hem in de context.

Door de AI rechtstreeks te koppelen aan de gegevens van live accounts, kunnen MSP’s de gezondheidsscores van domeinen opvragen, risico’s op spoofing opsporen, records valideren, de handhavingsstatus controleren en oplossingen genereren zonder handmatig door elk klantaccount te hoeven bladeren.

Voor teams die tientallen of honderden domeinen beheren, wordt die operationele snelheid al snel van groot belang.

De twee MSP-problemen die het direct oplost

Probleem 1: Het beheren van meer dan 50 klantdomeinen zonder centraal overzicht

Naarmate MSP-portfolio's groeien, wordt het steeds moeilijker om het overzicht te behouden. Elke klant heeft verschillende domeinen, verschillende DNS-providers, verschillende handhavingsfasen en verschillende verzendbronnen. Sommige worden mogelijk volledig gehandhaafd met strikte DMARC-beleidsregels, terwijl andere nog steeds in de monitoringmodus staan met onvolledige SPF-afstemming. Dit alles handmatig bijhouden is niet schaalbaar.

De MCP-server biedt MSP’s de mogelijkheid om hun volledige portfolio via één interface te doorzoeken met behulp van eenvoudige, begrijpelijke vragen. Bijvoorbeeld:

“Geef een overzicht van alle klantdomeinen met hun DMARC-beleid, handhavingsstatus en gezondheidsscore.”

In plaats van huurders één voor één te controleren, kan de AI binnen enkele seconden een gecentraliseerd overzicht van de gehele portefeuille genereren.

Dit is vooral handig bij het identificeren van:

Domeinen zijn nog steeds kwetsbaar voor spoofing
Klanten met een gebrekkig handhavingsbeleid
Domeinen met onjuiste SPF-instellingen
Accounts die moeten worden gecorrigeerd voordat ze naar de quarantaine worden verplaatst of worden geweigerd

Voor MSP’s die zich bezighouden met e-mailbeveiliging voor meerdere klanten, vormt gecentraliseerd inzicht vaak de ontbrekende schakel tussen reactieve probleemoplossing en proactief beheer.

Je kunt ook meer te weten komen over DMARC voor meerdere domeinen en hoe gecentraliseerd domeinbeheer de operationele efficiëntie op grote schaal verbetert.

Probleem 2: Schakelen tussen te veel losstaande tools

De meeste MSP-omgevingen zitten al vol met tools. Teams schakelen regelmatig heen en weer tussen RMM-platforms, ticketsystemen, DNS-providers, beveiligingsdashboards en portalen voor e-mailverificatie. Deze systemen wisselen onderling geen contextinformatie uit, waardoor zelfs eenvoudige probleemoplossing veel tijd kost.

Een veelvoorkomend voorbeeld:

Een klant meldt dat e-mails niet worden afgeleverd
De technicus controleert de SPF-syntaxis apart
DNS-opzoekingen vinden plaats in een ander programma
DMARC-rapporten worden elders bekeken
Vervolgens wordt handmatig een gecorrigeerd document aangemaakt

De MCP-server maakt van de AI de verbindende laag tussen die workflows. Een MSP kan een prompt gebruiken zoals:

“Controleer dit domein op SPF-problemen, zoek de oorzaak van de PermError en genereer een gecorrigeerd SPF-record.”

Het resultaat is een sneller probleemoplossingsproces zonder dat je voortdurend tussen platforms hoeft te schakelen.

Wat je daadwerkelijk kunt doen met de MCP-server van PowerDMARC

1. Krijg volledig inzicht in uw klantenportefeuille

MSP’s kunnen via één enkele interface een volledige lijst van beheerde domeinen opvragen, samen met de status van het DMARC-beleid, de handhavingsfase en de gezondheidsscores. De MCP-server kan ook vaststellen wie er op dat moment namens elk klantdomein e-mails verstuurt, waardoor het eenvoudiger wordt om ongeautoriseerde of onverwachte afzenders te herkennen.

Teams kunnen de geschiedenis van het e-mailverkeer bekijken, DKIM-statistieken analyseren en authenticatietrends in verschillende klantomgevingen volgen zonder elke tenant handmatig te hoeven openen.

2. Problemen opsporen voordat klanten ze opmerken

De MCP-server helpt MSP’s bij het opsporen van domeinen die nog steeds voor spoofing vatbaar zijn en bij het achterhalen van de precieze redenen waarom deze kwetsbaar blijven. De server kan SPF-configuraties valideren, problemen met opzoeklimieten opsporen en potentiële PermError-risico’s signaleren voordat deze de e-mailstroom verstoren. Teams kunnen bovendien forensische storingsrapporten opvragen voor mislukte berichten en auditlogboeken bekijken om recente configuratiewijzigingen te controleren die mogelijk tot problemen hebben geleid.

In plaats van te wachten tot een klant het probleem aan de orde stelt, kunnen MSP’s proactief zwakke plekken in hun portfolio opsporen.

3. Oplossingen bedenken en direct actie ondernemen

MSP’s kunnen DNS-klare DMARC-, SPF- en DKIM-records rechtstreeks vanuit de interface genereren, zonder dat ze de syntaxis handmatig hoeven op te stellen. De MCP-server ondersteunt bovendien DNS-lookups voor verschillende recordtypes, waardoor technici configuraties snel kunnen controleren tijdens het oplossen van problemen.

Ook operationele handelingen kunnen via dezelfde interface worden uitgevoerd. Zo kunnen MSP’s bijvoorbeeld een nieuw klantdomein toevoegen en dit in de bewakingsmodus configureren zonder het dashboard apart te hoeven openen. Dit vermindert het aantal repetitieve administratieve taken waarmee technici dagelijks te maken hebben.

4. Beheer MSSP-subaccounts vanuit één interface

Voor grotere MSSP’s en partneromgevingen biedt de MCP-server ook ondersteuning voor accountbeheer op portfolioniveau. Teams kunnen vanuit één geïntegreerde interface subaccounts van klanten weergeven en beheren, gebruikers toevoegen of verwijderen en domeingroepen binnen de volledige klantomgeving overzien.

Voor organisaties die grootschalige e-mailbeveiligingsactiviteiten beheren, helpt dit de administratieve complexiteit te verminderen die gepaard gaat met het beheer van meerdere tenants.

MSP’s die geïnteresseerd zijn in het opschalen van e-mailverificatiediensten voor meerdere klanten, kunnen ook het MSP/MSSP-partnerprogramma van PowerDMARC bekijken.

Laatste woorden

Voor MSP’s is het grootste probleem bij het beheer van DMARC zelden het begrijpen van de protocollen zelf. Het gaat erom zicht en controle te behouden over tientallen klantomgevingen zonder dat dit ten koste gaat van de operationele tijd.

Op dit moment kunnen sommige domeinen van klanten nog steeds worden vervalst zonder dat iemand dit opmerkt. Andere domeinen kampen mogelijk al met SPF-problemen of een zwakke DMARC-handhaving, wat onopgemerkt de beveiligingsstatus aantast. Hoe langer deze tekortkomingen verborgen blijven, hoe groter het risico wordt. Tools die het schakelen tussen dashboards verminderen, actuele domeinrisico’s sneller aan het licht brengen en herstelprocedures vereenvoudigen, worden in rap tempo een operationele noodzaak voor moderne MSP’s die e-mailbeveiliging op grote schaal beheren.

Over
Laatste berichten

Ahona Rudra

Expert domein- en e-mailbeveiliging bij PowerDMARC

Ahona is marketingmanager bij PowerDMARC en heeft meer dan vijf jaar ervaring met het schrijven over cybersecurity, gespecialiseerd in domein- en e-mailbeveiliging. Ahona heeft een masterdiploma in journalistiek en communicatie, en heeft sinds 2019 haar carrière in de beveiligingssector verder uitgebouwd.

Laatste berichten van Ahona Rudra (Bekijk alle berichten)

Hoe MSP’s de DMARC-instellingen van elke klant sneller kunnen beheren met de MCP-server van PowerDMARC