SPF-records instellen voor Gmail en Google Workspace

Blog, SPF

Stel uw Gmail SPF-record in om uw Google Workspace te beschermen tegen phishing- en spoofingaanvallen. Volg onze stapsgewijze SPF-configuratiehandleiding voor Gmail.

door YunesTarada

Leestijd: 6 min
SPF-records instellen voor Gmail en Google Workspace
Inhoudsopgave-

Talloze phishing- en scam-e-mails vinden momenteel hun weg naar de inboxen van gebruikers, waardoor gegevens in gevaar komen. Bij het gebruik van Gmail of Gmail for Business is het instellen van een SPF-record cruciaal geworden voor het verbeteren van e-mailbeveiliging. In 2024 rolde Google zijn bijgewerkte richtlijnen voor afzendervereisten uit, waardoor e-mailverificatie verplicht werd voor alle afzenders!

Hier is een kort overzicht van de huidige stand van zaken: 

  • Google vereist dat alle e-mailverzenders SPF of DKIM implementeren. 
  • Google vereist dat bulkverzenders daarnaast een DMARC-beleid van ten minste p=none implementeren, bovenop een SPF- of DKIM-instelling.

Een Gmail SPF-record voorkomt dat onbevoegden e-mails verzenden vanaf uw Google Workspace-domein. Dit record werkt als een controlepunt voor e-mails die vanaf uw domein worden verzonden voordat ze de inbox van uw klant kunnen bereiken. Als u uw Google Workspace SPF-record goed implementeert, verkleint u de kans dat e-mails vanaf uw domein als spam worden gemarkeerd.

Als je dus een SPF-record wilt aanmaken voor Google Workspace, ben je hier aan het juiste adres. In dit artikel wordt uitgelegd hoe je een SPF-record instelt voor Google Workspace en waarom een goede implementatie noodzakelijk is.

Belangrijkste conclusies

  1. Het implementeren van een SPF-record is essentieel voor e-mailbeveiliging in Google Workspace om onbevoegde e-mailverzending te voorkomen.
  2. Google verplicht alle e-mailverzenders om een SPF- of DKIM-record aan te maken om veilige e-mailpraktijken te garanderen.
  3. Het niet instellen van een SPF-record kan ertoe leiden dat e-mails als spam worden gemarkeerd en kan de reputatie van uw domein beschadigen.
  4. SPF-records moeten nauwkeurig worden opgemaakt in de DNS-instellingen van uw domein om mailservers effectief te autoriseren.
  5. De combinatie van SPF met een DMARC-beleid verbetert de bescherming tegen e-mailspoofing en phishingaanvallen.

Gmail SPF Records begrijpen

Een SPF-record (Sender Policy Framework) specificeert welke mailservers geautoriseerd zijn om e-mails te versturen namens uw domein. Wanneer een e-mail wordt ontvangen, controleert de ontvangende server het SPF-record van het domein in het "Van"-adres om te controleren of de e-mail afkomstig is van een geautoriseerde server.

Het SPF-record wordt gepubliceerd in het DNS van je domein als een TXT-record. Het bevat een lijst met IP-adressen of hostnamen van de servers die namens uw domein e-mails mogen verzenden. Dit record kan meerdere servers en services van derden bevatten.

Als een e-mail wordt verzonden door een onbevoegde bron, controleert de ontvangende server het SPF-record van het domein met behulp van het DNS TXT-record.

Vereenvoudig SPF Records met PowerDMARC!

15 dagen op proefBoek een demo

Het belang van een Gmail SPF Record

Als u zich niet houdt aan de nieuwe regels voor e-mailverificatie voor verzenders, kan dit je in de problemen brengen! Dit is wat er kan gebeuren als je Google Workspace SPF Record niet implementeert:

  1. Uw e-mails kunnen als spam worden gemarkeerd 
  2. Uw domein/IP-adres kan geblokkeerd worden 
  3. De reputatie van uw domein kan een klap krijgen door meer klachten over e-mailspam

Het mechanisme van SPF: hoe het werkt

Een SPF-record is een enkele regel platte tekst met verschillende tags. De tags bevatten de overeenkomstige waarden, voornamelijk de IP-adressen en domeinnamen voor geautoriseerde verzendbronnen.

Een SPF-record wordt als een TXT-record toegevoegd aan je domeinprovider. Het kan maximaal 255 tekens bevatten. De grootte van een TXT-recordbestand moet kleiner zijn dan of gelijk aan 512 bytes.

Wanneer een e-mail wordt verzonden, controleert de mailserver van de ontvanger het SPF-record van het domein van de afzender. Dit wordt gedaan om te controleren of het IP-adres van de mailserver die de e-mail heeft verzonden in het SPF-record staat.

Op basis van de controle wijst de ontvangende mailserver een van de volgende resultaten toe:

  • Pas: Het IP-adres is geautoriseerd om e-mails voor het domein te verzenden.
  • Storing: Het IP-adres is niet geautoriseerd, wat wijst op mogelijke e-mailspoofing.
  • Softfail: Het IP-adres is niet geautoriseerd, maar de domeineigenaar verzoekt om de e-mail toch te accepteren, maar als verdacht te markeren.
  • Neutraal: Het domein bevestigt geen authenticatie-informatie over het IP.
  • Geen SPF record gevonden.

Een SPF-record instellen voor Google Workspace: Stap-voor-stap handleiding

Dit is wat je moet doen om een SPF-record voor Google Workspace.

1. Aanmelden bij uw domeinaccount

De eerste stap in het toevoegen van je Google Workspace SPF-record is je aanmelden bij je DNS-beheerconsole. Je zou toegang moeten hebben tot de DNS-instellingen van je domein. Hier kunt u uw DNS-records bijwerken om SPF voor Google Workspace toe te voegen. Dit proces is ook afhankelijk van je serviceprovider en kan per DNS-provider verschillen.

Als u deze optie niet kunt vinden in uw DNS-beheerconsole, neem dan contact op met uw DNS-provider om uw DNS-instelling te achterhalen.

2. Uw Google Workspace SPF TXT-record maken

Nadat u zich hebt aangemeld bij de DNS-beheerconsole, navigeert u naar de sectie TXT-records om een nieuw TXT-record toe te voegen met de volgende waarden.

  • Type: TXT
  • Gastheer: @ (of het specifieke subdomein als je een SPF record instelt voor een subdomein)
  • Waarde: Voor domeinen die e-mails verzenden vanuit Google Workspace, moet het SPF-record "v=spf1 include: _spf.google.com ~all" worden gebruikt. Voor degenen die extra e-mailverzenders gebruiken, moet je één geconsolideerd SPF-record voor het domein hebben dat al je verzendbronnen omvat, inclusief andere e-mailleveranciers van derden. Dit kan gedaan worden met meerdere "include:" mechanismen.
  • TTL: Stel dit in op 1 uur of 3600 seconden.

3. Google Workspace SPF Record instellen voor subdomeinen

Het toevoegen van een SPF-record aan het hoofddomein betekent niet dat het van toepassing is op uw subdomeinen. Dit komt omdat het SPF-beleid niet automatisch wordt geërfd door subdomeinen. Als je subdomeinen gebruikt, moet je dus op elk subdomein afzonderlijk SPF-records voor Gmail instellen. Dit kan echter alleen als je domeinprovider het instellen van SPF direct voor subdomeinen toestaat.

Zoals eerder vermeld, zijn de stappen voor het instellen van SPF op subdomeinen vergelijkbaar. Sommige domeinproviders ondersteunen de directe toepassing van SPF op subdomeinen niet. In dat geval kun je een Gmail SPF-record aanmaken op het hoofddomein en later de Host-instelling aanpassen om naar het subdomein te wijzen in plaats van "@".

4. Het SPF-bestand opslaan

Sla de wijzigingen op nadat u uw SPF-record hebt gemaakt. Het record zou binnen 48 uur na het opslaan geactiveerd moeten zijn, afhankelijk van de tijd die je DNS provider nodig heeft om de wijzigingen te propageren. 

Uw SPF-record voor Gmail controleren

Het controleren van Gmail SPF-records nadat je ze hebt ingesteld, houdt in dat je moet controleren of je domein correct is geverifieerd met SPF.

 De verificatie kan worden uitgevoerd door de volgende stappen te volgen.

Je kunt onze SPF opzoeken gebruiken om de instellingen van je Gmail SPF-record direct te controleren.

Ga door de TXT entry van je geïmplementeerde SPF record om te zien of de status geldig is.

Controleer opnieuw of het record alle geautoriseerde IP-adressen en externe leveranciers bevat die je gebruikt om je e-mails te versturen.

Zorg ervoor dat je niet meerdere SPF-records voor één domein hebt gepubliceerd. Als u andere externe leveranciers dan Google Workspace gebruikt voor e-mailmarketing, kunt u het "include"-mechanisme gebruiken in hetzelfde SPF-record om hen te autoriseren zoals in het onderstaande voorbeeld: 

v=spf1 include: _spf.google.com include:spf.thirdpartydomain1.com include:spf.thirdpartydomain2.com ~all

Zorg ervoor dat je de juiste opmaak behoudt.

Als er afwijkingen worden gevonden in je SPF-record, werk dan het SPF-record voor Gmail bij om deze fouten te verwijderen en controleer de instelling opnieuw. 

DMARC en SPF implementeren met PowerDMARC 

Tot slot kun je door het implementeren van SPF-records voor Gmail succesvol voldoen aan de vereisten van Google om een soepele deliverability te garanderen en spamklachten te verminderen. Door dit te combineren met een DMARC-instelling kunnen verzendende organisaties je domein beschermen tegen cyberaanvallen op basis van e-mail, zoals spoofing, phishing en BEC. 

Het instellen van een Google Workspace SPF-record is slechts de eerste stap naar het beschermen van uw domein. Voor verbeterde domeinbeveiliging en -zichtbaarheid begint u uw reis met een 15-daagse gratis proefversie van PowerDMARC!

Laatste berichten van Yunes Tarada (Bekijk alle berichten )
De rol van automatisering bij het beschermen van e-mailsystemenDMARC-Oplossingsfasen - Wat te verwachten en hoe voor te bereidenDMARC implementatiefasen: Wat u kunt verwachten en hoe u zich kunt voorbereiden