Hoe een SPF-record voor Gmail instellen

Zonder een correct Google SPF-record kunnen de mailtransferagenten van Gmail uw legitieme e-mails ten onrechte classificeren als phishing of spam. Dat is een probleem als u een bedrijf runt op Google Workspace.

SPF (Sender Policy Framework) is een DNS TXT-record dat aangeeft welke mailservers bevoegd zijn om e-mails namens uw domein te versturen. Het fungeert als een poortwachter en zorgt ervoor dat alleen aangewezen servers namens u e-mails kunnen versturen. Google vereist nu e-mailverificatie voor alle afzenders, waardoor SPF-configuratie onvermijdelijk is.

Deze handleiding beschrijft precies hoe u SPF in Gmail en Google Workspace kunt instellen, de juiste syntaxis voor Google Mail SPF-records, verificatiestappen, veelgemaakte fouten die u moet vermijden en hoe u DKIM en DMARC kunt toevoegen voor volledige bescherming.

Wat zijn Gmail SPF-records?

Een SPF-record (Sender Policy Framework) geeft aan welke mailservers bevoegd zijn om e-mails namens uw domein te verzenden. Wanneer een e-mail wordt ontvangen, controleert de ontvangende server het SPF-record van het domein in het 'Van'-adres om te verifiëren of de e-mail afkomstig is van een geautoriseerde server.

Het wordt gepubliceerd in de DNS van uw domein als een SPF TXT-record. Het bevat een lijst met IP-adressen of hostnamen van de servers die namens uw domein e-mails mogen verzenden. Dit record kan meerdere servers en diensten van derden bevatten.

Als een e-mail wordt verzonden vanaf een niet-geautoriseerde bron, controleert de ontvangende server het SPF-record van het domein met behulp van het DNS TXT-record.

Het belang van een Gmail SPF Record

Google vereist dat alle e-mailverzenders authenticatie implementeren, en bulkverzenders (meer dan 5.000 berichten per dag) moeten SPF, DKIM en DMARC geconfigureerd hebben. Het negeren van deze vereisten heeft reële gevolgen. Zonder een Google Workspace SPF-record:

• Uw e-mails kunnen als spam worden gemarkeerd door ontvangende servers die de legitimiteit van uw domein niet kunnen verifiëren.
• Uw domein of IP-adres kan op een blokkeerlijst worden geplaatst, waardoor het herstel van de leverbaarheid aanzienlijk moeilijker wordt dan het instellen van authenticatie in eerste instantie.
• De reputatie van uw domein krijgt een deuk als het aantal klachten over spam-e-mails toeneemt, wat zich in de loop van de tijd opstapelt en van invloed is op alle toekomstige verzendingen.

SPF-records vormen een cruciale verdedigingslinie voor uw domein tegen kwaadwillige acties zoals e-mailspoofing en phishingaanvallen.

Naast veiligheid kan het implementeren van een SPF-record de geloofwaardigheid en betrouwbaarheid van een domein bij grote e-mailproviders zoals Gmail, Outlook en Yahoo aanzienlijk verbeteren. Dit vergroot direct de kans dat uw e-mails in de inbox terechtkomen in plaats van in de spamfolder.

Hoe werkt een SPF Record?

Een SPF-record wordt in de DNS van uw domein gepubliceerd als een TXT-record. Het is een enkele regel platte tekst die bestaat uit tags die de IP-adressen en domeinnamen van uw geautoriseerde verzendbronnen specificeren.

SPF-records kunnen maximaal 255 tekens per DNS-string bevatten en de totale bestandsgrootte van het TXT-record mag niet groter zijn dan 512 bytes.

Wanneer een e-mail wordt verzonden, controleert de ontvangende server het SPF-record van het domein in het 'Van'-adres om te verifiëren of de e-mail afkomstig is van een geautoriseerde server. Dit gebeurt door het IP-adres van de verzendende server te vergelijken met de lijst van toegestane IP-adressen die in uw SPF-record is gepubliceerd. Gmail controleert inkomende berichten automatisch aan de hand van het SPF-record van het verzendende domein om de legitimiteit te verifiëren als onderdeel van dit proces.

Op basis van deze controle wijst de ontvangende mailserver een van de volgende resultaten toe:

• Pass betekent dat het IP-adres van de verzendende server in het SPF-record staat vermeld en geautoriseerd is om e-mail voor het domein te verzenden.
• Fout betekent dat het IP-adres niet geautoriseerd is, wat wijst op mogelijke e-mailvervalsing, en het bericht kan direct worden geweigerd.
• Softfail betekent dat het IP-adres niet expliciet is geautoriseerd, maar dat de domeineigenaar de ~all gebruikt om aan te geven dat servers berichten van niet-vermelde IP-adressen moeten accepteren, maar waarschijnlijk wel moeten markeren.
• Neutraal betekent dat het domein geen uitspraak doet over de vraag of het IP-adres geautoriseerd is of niet.
• Geen betekent er geen SPF-record voor het domein gevonden, dus er kon geen authenticatiecontrole worden uitgevoerd.

SPF helpt e-mailspoofing te voorkomen door een e-mailverificatiemechanisme te bieden dat controleert of het IP-adres van de verzendende mailserver overeenkomt met de toegestane IP-adressen voor het domein.

Als het IP-adres niet overeenkomt en het record een harde foutmelding gebruikt (-all), wordt het bericht geweigerd. Bij een soft fail (~all) wordt het bericht geaccepteerd, maar gemarkeerd als verdacht.

Onderdelen van een SPF-record

Om een SPF-record voor Gmail of Google Workspace correct op te stellen en te interpreteren, moet u de belangrijkste mechanismen en kwalificaties begrijpen waaruit het record bestaat.

SPF-mechanismen

Elk SPF-record is opgebouwd uit mechanismen die bepalen welke servers bevoegd zijn om namens uw domein e-mails te versturen.

Elk mechanisme telt mee voor de limiet van 10 DNS-lookups, behalve ip4 dat rechtstreeks naar een IP-adres verwijst en geen lookup activeert. Zorg er bij het toevoegen van een SPF-record voor dat u dit maximum niet overschrijdt om validatiefouten te voorkomen.

SPF-kwalificaties

Elk mechanisme kan worden voorafgegaan door een kwalificatie die de ontvangende server vertelt hoe het resultaat moet worden verwerkt.

Voor de meeste Google Workspace-configuraties is het aanbevolen SPF-record v=spf1 include:_spf.google.com ~all.

De soft fail-kwalificatie ~all aan het einde geeft aan dat servers berichten van niet-vermelde IP-adressen moeten accepteren, maar waarschijnlijk wel moeten markeren. Dit geeft u inzicht in ongeautoriseerde afzenders zonder dat legitieme e-mail die mogelijk verkeerd is geconfigureerd, onmiddellijk wordt geweigerd.

Vereisten voordat u een SPF-record instelt

Voordat u een SPF-record voor Gmail instellen, moet u ervoor zorgen dat u:

• Volledige inventaris van e-mailverzenders: Maak een lijst van alle diensten die namens u e-mails versturen (Google Workspace, marketingplatforms, CRM-systemen, enz.).
• Toegang tot DNS-beheer: Geef beheerders toegang tot de DNS-instellingen van uw domein.
• Inzicht in uw domeinstructuur: Zorg ervoor dat u volledig op de hoogte bent van de subdomeinen die e-mails versturen.
• Huidige SPF-recordcontrole: Controleer of er al een SPF-record bestaat
• Documentatie van externe diensten: Voeg verklaringen van uw e-mailserviceproviders toe.

💡 Pro-tip: Voor organisaties met meerdere externe afzenders kunt u een spreadsheet maken waarin u de SPF-vereisten van elke dienst bijhoudt. Zo voorkomt u dat de limiet van 10 DNS-lookups wordt overschreden.

Hoe maak en voeg je een SPF-record toe voor Gmail

Het instellen van een Google Mail SPF-record is heel eenvoudig. Het hele proces vindt plaats buiten Google, in de DNS-instellingen van uw domeinregistrar. Hieronder vindt u een stapsgewijze handleiding voor het instellen van SPF in Gmail.

Stap 1: Log in bij uw domeinregistrar

Om een SPF-record voor Google Workspace aan te maken, logt u in op uw domeinaccount waar u uw domein hebt gekocht en beheert: GoDaddy, Namecheap, Cloudflare of welke domeinprovider u ook gebruikt.

Als u niet zeker weet waar uw domein is geregistreerd, neem dan contact op met uw IT-team of zoek het WHOIS-record van uw domein op.

Stap 2: Ga naar uw DNS-instellingen

Nadat u bent ingelogd, gaat u naar het gedeelte voor DNS-beheer.

Zoek in de DNS-instellingen naar het gedeelte met TXT-records. Hier voegt u uw SPF-record toe. Een SPF-record wordt in de DNS van uw domein gepubliceerd als een TXT-record, dus bij de meeste registrars vindt u geen apart recordtype 'SPF'.

Stap 3: Controleer op bestaande SPF-records

Controleer voordat u iets nieuws toevoegt of uw domein al een SPF-record heeft. U kunt slechts één SPF-record voor Gmail per domein hebben. Als u meerdere SPF-records voor één domein heeft, kan dit leiden tot fouten bij de e-mailverificatie.

Als er al een bestaat, bewerk je deze in de volgende stap in plaats van een nieuwe aan te maken.

Stap 4: Maak uw Google Mail SPF-record aan

Voeg een nieuw TXT-record toe met deze waarden:

• Gastheer / Naam: @ (of leeg, afhankelijk van uw provider)
• Recordtype: TXT
• Waarde: v=spf1 include:_spf.google.com ~all
• TTL: Standaard (meestal 3600)

Het aanbevolen SPF-record voor Google Workspace is v=spf1 include:_spf.google.com ~all.

Als u andere e-maildiensten gebruikt om e-mails te verzenden, moet u deze opnemen in uw SPF-record. Aangezien u slechts één record per domein kunt hebben, voegt u alles samen in één regel:

v=spf1 include:_spf.google.com include:servers.mcsv.net include:sendgrid.net ~all

Een paar dingen om op te letten: Overschrijd niet het maximum van 10 DNS-lookups, elk include: ten minste één trigger, en geneste includes tellen ook mee. SPF-records kunnen maximaal 255 tekens per DNS-string bevatten. Als uw record dit aantal overschrijdt, zullen de meeste providers het automatisch splitsen.

Stap 5: Opslaan en tijd geven voor propagatie

Nadat u uw SPF-record hebt aangemaakt, slaat u de wijzigingen op en wacht u maximaal 48 uur totdat het record is doorgevoerd.

De meeste providers propageren binnen enkele uren, maar het volledige venster houdt rekening met tragere DNS-netwerken. Breng tijdens deze periode geen verdere wijzigingen aan, tenzij u een duidelijke fout opmerkt.

Stap 6: Controleer uw SPF-record

Zodra de verspreiding is voltooid, kunt u uw SPF-record controleren met een SPF-checkertool om te zien of het geldig en correct geconfigureerd is. Dit kunt u op twee manieren doen:

• SPF-opzoektool: Met MXToolbox, Dmarcian of Kitterman kunt u uw domein invoeren en direct controleren of uw Google Mail SPF-record is gepubliceerd, syntactisch geldig is en binnen de limiet van 10 opzoekingen valt.
• Test-e-mail: Stuur een bericht naar een Gmail-adres, open het, klik op het menu met de drie puntjes, selecteer 'Origineel weergeven' en zoek naar spf=pass in de Authentication-Results-header.

Stap 7: SPF instellen voor subdomeinen (indien van toepassing)

Als u subdomeinen gebruikt om e-mails te versturen (bijvoorbeeld marketing.uwdomein.com), moet u voor elk subdomein afzonderlijk SPF-records instellen, als uw provider dit toestaat.

Het SPF-beleid wordt niet overgenomen van het hoofddomein. Elk subdomein heeft zijn eigen TXT-record nodig. Het installatieproces is identiek; wijzig gewoon het veld Host/Naam van @ naar het subdomein.

Veelvoorkomende fouten bij SPF-records en hoe u deze kunt vermijden

Zelfs een kleine verkeerde configuratie kan de e-mailverificatie volledig verstoren. Vermijd bij het instellen van SPF veelvoorkomende fouten, zoals meerdere records of onjuiste syntaxis. Hieronder volgen de meest voorkomende fouten.

Meerdere SPF-records op één domein

Je kunt slechts één SPF-record per domein hebben.

Als een ontvangende server er twee of meer vindt, geeft deze een permanente foutmelding en mislukt de controle. Als u aanvullende services moet autoriseren, voeg dan alle include: mechanismen samenvoegen tot één record; maak geen tweede TXT-vermelding aan.

+all gebruiken in plaats van ~all

De +all -kwalificatie vertelt ontvangende servers om e-mails van elk IP-adres te accepteren, wat het doel van SPF volledig tenietdoet. Gebruik altijd:

• ~alles (soft fail): door Google aanbevolen standaardinstelling
• -alle (hard fail): strenger, weigert ongeautoriseerde afzenders zonder meer

Overschrijding van de limiet van 10 DNS-lookups

SPF-records zijn beperkt tot maximaal 10 DNS-lookups; als deze limiet wordt overschreden, mislukt de authenticatie. Elk include, een, mx, en redirect mechanisme telt als een lookup, en geneste includes tellen ook mee. Als u de limiet nadert, gebruik dan SPF-flatteningtools om includes om te zetten in directe IP-adressen.

Vergeten nieuwe verzendbronnen op te nemen

Heb je een nieuw CRM-systeem, marketingtool of transactionele e-maildienst toegevoegd? Als je je SPF-record niet bijwerkt om deze toe te voegen, zullen e-mails die via deze diensten worden verzonden, de authenticatie niet doorstaan. Door je SPF-record regelmatig te controleren, kun je mogelijke problemen opsporen voordat ze de afleverbaarheid van e-mails beïnvloeden.

Problemen met SPF-fouten in Gmail oplossen

Heb je je SPF-record ingesteld, gewacht tot deze is doorgevoerd, maar komen e-mails nog steeds in de spamfolder terecht of mislukt de authenticatie? Hier is een korte checklist om veelvoorkomende SPF-problemen te diagnosticeren en op te lossen.

• Controleer de e-mailheaders: Stuur een test-e-mail naar een Gmail-adres, klik op 'Origineel weergeven' en zoek naar spf=pass, spf=softfailof spf=fail in de Authentication-Results-header.
• Voer een SPF-lookup uit: Gebruik MXToolbox of Dmarcian om te controleren of uw record is gepubliceerd, syntactisch correct is en binnen de limiet van 10 lookups valt.
• Controleer of alle afzenders zijn opgenomen: Zorg ervoor dat alle externe diensten (CRM's, helpdesks, marketingplatforms) in uw record staan. Als een e-mail wordt verzonden vanaf een niet-vermelde bron, controleert de ontvangende server uw SPF-record en wordt het bericht geweigerd.
• Controleer op dubbele records: Controleer of er slechts één TXT-record is dat begint met v=spf1 voor uw domein bestaat; meerdere SPF-records voor één domein leiden tot authenticatiefouten.
• Controleer regelmatig: Controleer uw SPF-record nadat u nieuwe tools hebt toegevoegd of van provider bent veranderd. Problemen komen niet altijd meteen aan het licht, en door ze vroegtijdig op te sporen voorkomt u leveringsproblemen.

Uw SPF-record valideren en controleren

Het instellen van uw SPF-record is slechts het halve werk. Als het record een syntaxfout bevat, de limiet van 10 lookups overschrijdt of verouderd raakt nadat u een nieuwe verzendservice hebt toegevoegd, kunnen uw e-mails stilzwijgend beginnen te falen bij de authenticatie. Regelmatige validatie en monitoring zorgen ervoor dat uw SPF-record voor Gmail functioneel blijft en uw deliverability intact blijft.

Eerste verificatiestappen

• U kunt onze SPF-zoekfunctie om de instellingen van uw Gmail SPF-record direct te controleren.
• Controleer de TXT-vermelding van uw geïmplementeerde SPF-record om te zien of de status geldig is.
• Controleer nogmaals of het record alle geautoriseerde IP-adressen en externe leveranciers bevat die u gebruikt om uw e-mails te verzenden.
• Zorg ervoor dat u geen meerdere SPF-records voor één domein. Als u naast Google Workspace nog andere externe leveranciers gebruikt voor e-mailmarketing, kunt u het 'include'-mechanisme in hetzelfde SPF-record gebruiken.
• Zorg ervoor dat u de juiste opmaak behoudt.

Als er discrepanties worden gevonden in uw SPF-record, werk deze dan bij om deze fouten te verwijderen en controleer uw instellingen opnieuw.

Best practices voor voortdurende monitoring

• Periodieke SPF-controles: Controleer uw SPF-gegevens maandelijks op juistheid en volledigheid.
• E-mailheaderanalyse: Controleer regelmatig e-mailheaders op SPF-authenticatieresultaten.
• DMARC-rapportage monitoring: Gebruik DMARC-rapporten om SPF-fouten en ongeautoriseerde afzenders te identificeren.
• Veranderingsbeheer: Werk SPF-records bij wanneer u nieuwe e-maildiensten toevoegt of van provider verandert.
• Geautomatiseerde monitoring: Stel waarschuwingen in voor mislukte SPF-authenticaties.

Aanbevolen lectuur: DMARC instellen: stapsgewijze configuratiehandleiding

Implementeer DMARC en SPF met PowerDMARC

Door SPF samen met DKIM en DMARC te implementeren, creëert u een uitgebreide beschermingslaag die ervoor zorgt dat elk bericht dat vanaf uw domein wordt verzonden, zowel geverifieerd als vertrouwd is. Samen beschermen deze protocollen uw domein tegen cyberaanvallen via e-mail, zoals spoofing, phishing en BEC.

PowerDMARC helpt u daar sneller te komen met:

• Geautomatiseerde foutdetectie: Detecteer SPF-configuratiefouten, syntaxisproblemen en overschrijdingen van opzoeklimieten voordat ze invloed hebben op de bezorging van e-mails.
• Realtime monitoring: Ontvang direct een melding wanneer SPF-, DKIM- of DMARC-authenticatie mislukt, zodat u actie kunt ondernemen voordat de deliverability daalt.
• Compliance-rapportage: Genereer auditklare rapporten die voldoen aan de nalevingsvereisten van de sector en die u volledig inzicht geven in wie er namens u e-mails verstuurt.
• 24/7 deskundige ondersteuning: Neem contact op met gecertificeerde e-mailbeveiligingsspecialisten wanneer u hulp nodig hebt bij configuratie, probleemoplossing of handhaving.

Een klant vertelt: "Met PowerDMARC hebben we SPF-configuratiefouten ontdekt voordat ze problemen met de afleverbaarheid veroorzaakten. Hun ondersteuning is uitstekend!" – IT-manager, SaaS-bedrijf

Het instellen van een Google Workspace SPF-record is slechts de eerste stap om uw domein te beveiligen. Start vandaag nog een gratis proefperiode van 15 dagen met PowerDMARC!

Veelgestelde vragen (FAQ's)

1. Wat is een SPF-record voor e-mail?

Een SPF-record (Sender Policy Framework) is een DNS TXT-record dat aangeeft welke mailservers bevoegd zijn om e-mails namens uw domein te verzenden. Het voorkomt e-mailspoofing en verbetert de leverbaarheid door ontvangende servers in staat te stellen te verifiëren dat e-mails afkomstig zijn van legitieme bronnen.

2. Hoe los ik een SPF-fout in Gmail op?

Om SPF-fouten in Gmail te verhelpen:

• Controleer of uw SPF-record "include:_spf.google.com" bevat.
• Zorg ervoor dat u slechts één SPF-record per domein hebt.
• Controleer of uw SPF-syntaxis correct is
• Zorg ervoor dat u de limiet van 10 DNS-lookups niet hebt overschreden.
• Wacht op DNS-propagatie na het aanbrengen van wijzigingen

3. Is SPF nog steeds relevant voor e-mailbeveiliging?

Ja, SPF blijft zeer relevant voor e-mailbeveiliging. Google vereist dat alle e-mailverzenders SPF of DKIM implementeren, en SPF is een fundamenteel onderdeel van e-mailverificatie in combinatie met DKIM en DMARC.

4. Kan ik meerdere SPF-records hebben voor verschillende subdomeinen?

Ja. Hoewel u slechts één SPF-record per domein kunt hebben, kan elk subdomein zijn eigen afzonderlijke SPF-record hebben. Als u subdomeinen gebruikt om e-mail te verzenden, moet u voor elk subdomein afzonderlijk SPF-records instellen, mits uw provider dit toestaat, aangezien het SPF-beleid niet wordt overgenomen van het hoofddomein.

5. Wat is het verschil tussen ~all en -all in SPF-records?

~all (softfail) betekent dat e-mails van niet-geautoriseerde bronnen moeten worden geaccepteerd, maar als verdacht moeten worden gemarkeerd, terwijl -all (hardfail) betekent dat e-mails van niet-geautoriseerde bronnen moeten worden geweigerd. Begin met ~all om de resultaten te controleren en ga vervolgens over op -all voor strengere handhaving zodra u er zeker van bent dat uw SPF-record volledig is.