SPF-record: wat het is, hoe het werkt en hoe je er een instelt

E-mailfraude kost organisaties jaarlijks miljarden dollars — en het merendeel daarvan begint met een vervalst „Van“-adres. Sender Policy Framework (SPF) is, naast DKIM en DMARC, een van de drie fundamentele protocollen voor e-mailverificatie die voorkomen dat onbevoegde afzenders e-mails versturen via uw domein.

Belangrijkste Conclusies

  • SPF is een van de drie fundamentele protocollen voor e-mailverificatie, naast DKIM en DMARC. Het is een DNS-TXT-record waarin alle IP-adressen en mailservers worden vermeld die bevoegd zijn om e-mail namens uw domein te verzenden. Zonder dit record kan elke willekeurige server op het internet zich voordoen als uw domein.
  • SPF controleert alleen het Return-Path-domein (envelop), niet het zichtbare "Van:"-adres, en kan dus op zichzelf geen misbruik van de weergavenaam voorkomen. Om uw domein volledig te beschermen, moet dit worden afgestemd op DMARC.
  • De afsluitende kwalificatie bepaalt de handhavingsregels: -all (hard fail) weigert elke niet-geregistreerde afzender, terwijl ~all (soft fail) deze alleen markeert. Schakel over naar -all zodra u al uw legitieme verzendbronnen hebt gecontroleerd.
  • Elk `include`-, `a`-, `mx`-, `redirect`- en `exists`-mechanisme telt mee voor de limiet van 10 DNS-lookups van SPF. Als je deze limiet overschrijdt, geeft het hele record een `PermError`-foutmelding. Houd het record compact (of gebruik automatische afvlakking) om onder de limiet te blijven.

PowerDMARC-informatiecentrum

Deze gids behandelt alles: wat SPF precies is, hoe het werkt, hoe je een record opstelt en valideert, wat alle mechanismen en kwalificaties betekenen, hoe je de meest voorkomende fouten oplost en hoe SPF past in een complete DMARC-strategie. Maak er een bladwijzer van – je zult er nog vaak naar teruggrijpen.

Stapsgewijze handleidingen voor het instellen van SPF

Volledige implementatiehandleidingen

Fouten oplossen

Zoekopdrachten, softfails en uitlijning corrigeren

Afstemming van SPF en DMARC

Zorg ervoor dat SPF meetelt voor DMARC

Gratis SPF-tools

Records controleren, genereren en valideren

Wat is SPF?

SPF (Sender Policy Framework) is, naast DKIM en DMARC, een van de drie belangrijkste protocollen voor e-mailverificatie, die voorkomt dat onbevoegde servers e-mails versturen onder uw domeinnaam. Een SPF-record is een DNS TXT-record waarin alle IP-adressen en mailservers worden vermeld die bevoegd zijn om namens u e-mails te versturen. Zonder een dergelijk record kan elke willekeurige server op het internet zich voordoen als uw domein, en kunnen ontvangende servers het verschil niet zien.

Wat in deze gids wordt behandeld

Ga naar een willekeurig onderdeel, of lees alles van begin tot eind door om een volledig beeld te krijgen:

Hoe SPF werkt

Wanneer een ontvangende mailserver een e-mail ontvangt, haalt deze het domein uit het Return-Path (afzender in de envelop), vraagt via DNS een TXT-record op dat begint met v=spf1, en controleert of het IP-adres van de verzendende server overeenkomt met de lijst van geautoriseerde adressen. Als dit het geval is, is de SPF-controle geslaagd. Zo niet, dan is het resultaat een ‘fail’, ‘softfail’ of ‘error’, en wat er vervolgens gebeurt, hangt af van uw DMARC-beleid.

SPF controleert het Return-Path-domein (het technische envelopadres), niet het zichtbare "Van:"-adres. Dit betekent dat SPF op zichzelf het vervalsen van de weergavenaam niet kan voorkomen. Daarom is er DMARC-alignment, om deze leemte op te vullen.

SPF-uitslagWat het betekent
PasHet verzenden van IP is toegestaan.
Mislukt (-alles)Niet toegestaan. Moet worden afgewezen.
SoftFail (~alle)Waarschijnlijk niet geautoriseerd. Accepteren, maar markeren.
PermErrorRecord is verbroken (syntaxfout, te veel zoekopdrachten). Wordt als mislukt beschouwd.

Syntaxis van SPF-records: mechanismen en kwalificaties

Een SPF-record begint met v=spf1, geeft een overzicht van geautoriseerde afzenders met behulp van mechanismen zoals ip4:, ip6:, en omvatten:, en eindigt met een voorwaarde die ontvangers aangeeft wat ze moeten doen met afzenders die niet in de lijst staan. Hier is een voorbeeld:

v=spf1 ip4:192.168.1.1 include:_spf.google.com include:sendgrid.net -all

-all en ~all geven verschillende handhavingsniveaus aan in SPF. -all (hard fail) geeft ontvangende servers aan dat alleen de vermelde afzenders geautoriseerd zijn en dat alle andere moeten worden geweigerd. ~all (soft fail) is soepeler en markeert alle niet-geautoriseerde afzenders als verdacht, maar accepteert ze wel. Gebruik -all zodra uw afzenders volledig zijn gecontroleerd.

Elke include:, a, mx, omleiden=, en exists: dit mechanisme telt mee voor de Limiet van 10 DNS-opzoekingen. Als deze waarde wordt overschreden, wordt er een PermError gegenereerd die de authenticatie volledig verstoort. De ptr: dit mechanisme wordt niet meer ondersteund, vermijd het gebruik van.

Een SPF-record aanmaken

Begin met het opsommen van alle diensten die e-mails versturen vanuit uw domein, zoals:

  • Uw primaire e-mailserver
  • Google Workspace of Microsoft 365
  • Marketingtools (Mailchimp, HubSpot, Klaviyo)
  • Transactiediensten (SendGrid, Mailgun, Amazon SES) en alle CRM- of helpdesksystemen die namens u e-mails versturen.

Elke aanbieder publiceert een include: waarde in hun documentatie. Stel één record samen waarin alle afzenders worden gebundeld (je kunt alleen één SPF-record per domein), publiceer het als een TXT-record in je DNS-provider, en valideer het met een SPF-checker. DNS-verspreiding duurt meestal een paar uur, maar kan tot 48 uur in beslag nemen.

Aanwijzingen voor het instellen van specifieke providers

Hoe u uw SPF-record kunt controleren en valideren

Gebruik een SPF-controletool om te controleren of uw record syntactisch correct is, binnen de limiet van 10 opzoekingen blijft en naar de juiste IP-adressen verwijst. De SPF-opzoektool van PowerDMARC voert al deze controles direct uit.

Waarop een goede SPF-controle moet worden uitgevoerd:

  • Het nummer begint met v=spf1
  • Er is slechts één SPF-record voor het domein
  • Het totale aantal DNS-opzoekingen bedraagt 10 of minder
  • Geen syntaxfouten of onoplosbare include: domeinen
  • Die all de kwalificatie is aanwezig en correct
  • Geen verouderde mechanismen (bijv., ptr:)

Controle via de opdrachtregel (Linux/Mac):

dig TXT yourdomain.com +short | grep "v=spf1"

De SPF-lookup van PowerDMARC gebruiken: voer uw domein in bij de PowerDMARC SPF Checker voor een direct diagnostisch rapport met het aantal lookups, een uitsplitsing per mechanisme en eventuele fouten.

Veelvoorkomende fouten bij SPF en hoe je ze kunt oplossen

De meeste SPF-fouten zijn het gevolg van afwijkingen in de configuratie, niet van het protocol zelf. Hieronder staan de fouten die we het vaakst tegenkomen en waar je ze kunt verhelpen:

FoutWat is er te doen?Oplossingsgids
PermError: Te veel DNS-opzoekingenHet record overschrijdt de limiet van 10 zoekopdrachtenSPF PermError verhelpen
Meerdere SPF-recordsTwee v=spf1-records op hetzelfde domeinMeerdere SPF-records corrigeren
SPF is geslaagd, maar DMARC is misluktHet Return-Path-veld komt niet overeen met het From:-veld:SPF-uitlijning corrigeren
SoftFail. Het domein geeft de afzender niet aanVerzendend IP-adres staat niet in het SPF-recordSPF SoftFail verhelpen
550 SPF-controle misluktFoutmelding bij de ontvangende serverFout 550 SPF verhelpen
Geen SPF record gevondenOntbrekend of niet-gepubliceerd recordGeen SPF-record
SPF-controle mislukt bij doorgestuurde e-mailHet IP-adres van de doorstuurserver is niet geautoriseerdHandleiding voor het doorsturen van e-mails
SPF validatiefoutProbleem met de syntaxis of opmaakSPF-validatiefouten verhelpen
E-mail geweigerd op grond van het SPF-beleidOntvangende server die strikte SPF-controle toepastSPF-afwijzing verhelpen
Het SPF-record overschrijdt het maximum aantal tekensHet record is te lang voor één DNS TXT-vermeldingHet maximum aantal tekens voor SPF aanpassen

SPF en DMARC: inzicht in de onderlinge afstemming

SPF kan slagen terwijl DMARC nog steeds faalt. Dit komt doordat SPF het Return-Path-domein valideert, maar DMARC vereist dat dit domein overeenkomt met het zichtbare "Van:"-adres. Wanneer je via een externe dienst verstuurt die een eigen Return-Path gebruikt, verifieert SPF aan de hand van hun domein, niet dat van jou, en faalt DMARC bij de overeenstemmingcontrole.

De oplossing is om bij elke provider een aangepast Return-Path voor uw domein in te stellen, of in plaats daarvan gebruik te maken van DKIM-alignment (DKIM-handtekeningen blijven behouden bij doorsturen en zijn niet gebonden aan het verzendende IP-adres). Stel de alignment-modus in met de tag `aspf=` in uw DMARC-record: `aspf=r` (soepel, subdomeinen toegestaan) of `aspf=s` (strikt, exacte overeenkomst).

SPF versus DKIM versus DMARC: hoe ze samenwerken

Deze drie protocollen vullen elkaar aan, maar zijn niet onderling uitwisselbaar. SPF controleert de afzender, terwijl DKIM de integriteit van het bericht verifieert met een cryptografische handtekening. DMARC koppelt beide aan elkaar, dwingt een beleid af (geen / quarantaine / weigeren) en genereert geaggregeerde en forensische rapporten. Een e-mail voldoet aan DMARC als deze voldoet aan SPF-afstemming of DKIM-afstemming. U moet beide configureren, zodat de ene kan compenseren wanneer de andere faalt (bijvoorbeeld: SPF faalt bij doorgestuurde e-mail, maar DKIM blijft werken).

Hosted SPF: het schaalbaarheidsprobleem oplossen

Elke SaaS-tool die je aan je SPF-record toevoegt, verbruikt DNS-lookups. Zodra je de limiet van 10 lookups bereikt, werkt het hele record niet meer en geven alle SPF-controles een PermError-foutmelding. Handmatig SPF-flattening (het vervangen van includes door ruwe IP-adressen) werkt op korte termijn, maar raakt achterhaald wanneer leveranciers hun IP-reeksen wijzigen – en dat doen ze, zonder waarschuwing.

PowerDMARC's automatische SPF-afvlakking lost dit op door dynamisch te omzetten include: ketens omzetten in geoptimaliseerde records, wijzigingen in het IP-adres van leveranciers bijhouden en ervoor zorgen dat uw record binnen de opzoeklimiet blijft zonder handmatige DNS-aanpassingen. Voor organisaties die gebruikmaken van SPF-macro's of het beheren van SPF voor meerdere domeinen en subdomeinen, dankzij de gehoste SPF-oplossing zijn er helemaal geen onderhoudskosten meer.

Checklist met aanbevolen werkwijzen voor SPF

Een harde fout geeft een duidelijk signaal af. Een softfail is dubbelzinnig.
Blijf onder de 8 zoekopdrachten
Laat ruimte over. Precies 10 is een tikkende tijdbom.
Aanvallers vervalsen geparkeerde domeinen juist omdat er geen SPF is ingesteld.
SPF publiceren op elk subdomein
SPF op uwdomein.com geldt niet voor mail.uwdomein.com.
Providers behouden hun IP-reeksen; blijft actueel.
Gebruik ptr nooit :
Verouderd volgens RFC 7208. Traag, onbetrouwbaar, verspilt een opzoekactie.
Monitor met DMARC-rapporten
Uit RUA-rapporten blijkt dat er afzenders zijn waarvan je het bestaan niet kende. Zie ook RUA versus RUF.
Kwartaalcontrole
Verwijder leveranciers waarmee u niet meer werkt voordat ze een last gaan vormen.
Combineer met DKIM en DMARC
SPF alleen zorgt niet voor handhaving. DKIM regelt het doorsturen. DMARC zorgt voor handhaving.

SPF op de juiste manier instellen

Als je SPF voor het eerst instelt, begin dan met de bovenstaande providerspecifieke handleidingen en controleer je record met de gratis SPF-checker van PowerDMARC. Als je SPF al gebruikt en te maken hebt met opzoeklimieten of PermErrors, neemt geautomatiseerde SPF-flattening de onderhoudskosten weg. En als je DMARC nog niet hebt ingesteld, is dat de belangrijkste volgende stap — SPF zonder DMARC is als een slot zonder deur.

De gratis tools van PowerDMARC

Neem de controle over uw e-mailverificatie met de gratis SPF-tools van PowerDMARC. Controleer direct uw domein, maak nieuwe records aan of ontdek het volledige platform. Aanmelden is niet nodig.

SPF-record controle

Controleer direct het SPF-record van uw domein, bekijk de volledige opzoekketen en spoor eventuele configuratieproblemen op.

Belangrijkste kenmerken:

  • Directe uitbreiding van de opzoekketen: bekijk elk IP-adres en zie naar welk record het verwijst.
  • Opzoekteller: geeft aan wanneer de limiet van 10 DNS-opzoekingen is bereikt, voordat de e-mailverwerking wordt onderbroken.
  • Foutdetectie: detecteert PermError-, TempError- en syntaxfouten.
  • Onbeperkt en gratis: voer onbeperkt controles uit zonder dat u zich hoeft aan te melden.
Gebruik de SPF-checker

SPF Record Generator

Genereer een geldig SPF-record dat is afgestemd op de afzenders van uw domein, zonder dat u de syntaxis handmatig hoeft in te voeren.

Belangrijkste kenmerken:

  • Stapsgewijze wizard: voeg in een paar eenvoudige stappen afzenders en mechanismen toe.
  • Uitvoer als één dossier: voegt al uw verzenders samen tot één conform dossier.
  • Foutloze uitvoer: levert telkens correct opgemaakte SPF-bestanden op.
  • Beginnersvriendelijk: een eenvoudige interface die is ontworpen voor een snelle en moeiteloze installatie.
Gebruik de SPF-generator

PowerDMARC-toolbox

Een uitgebreid platform voor het monitoren, handhaven en analyseren van e-mailverificatie binnen meerdere domeinen.

Belangrijkste kenmerken:

  • Alles-in-één overzicht: controleer SPF-, DKIM-, DMARC-, BIMI-, MTA-STS-, TLS-RPT-, MX- en NS-records vanuit één dashboard.
  • Inzichten in de reputatie: bekijk WHOIS-gegevens, de status op de blokkeerlijst, PTR en FCrDNS om risico’s voor de afleverbaarheid te signaleren.
Verken Toolbox

Bescherm en bewaak uw domein

Genereer authenticatierecords, controleer de DNS-configuratie en houd de e-mailactiviteit van uw domein in de gaten vanaf één enkel platform. Voorkom spoofing, verbeter de afleverbaarheid en krijg volledig inzicht in wie er namens u e-mails verstuurt.

10.000+Beschermde organisaties
32Gratis tools beschikbaar
4,9/5Beoordeling op G2
G2-leiderDMARC-software

Vertrouwd door bedrijven, MSP’s en beveiligingsteams die verantwoordelijk zijn voor het handhaven van de domeinreputatie en het voorkomen van spoofing.

SOC 2 HIPAA PCI-DSS GDPR ISO 27001

"PowerDMARC is een zeer krachtige en uitgebreide tool die het dagelijkse werk van het monitoren van e-mailauthenticatie en beveiligingsfuncties aanzienlijk vereenvoudigt. Het biedt zichtbaarheid en duidelijkheid die anders moeilijk te bereiken zouden zijn. Ik kan PowerDMARC oprecht aanbevelen aan iedereen die zijn e-mailbeveiliging wil versterken!"

— Yves P., systeemingenieur

Veelgestelde Vragen

Mijn SPF-record is geldig, maar e-mails komen nog steeds in de spamfolder terecht. Waarom?

SPF is slechts één van de vele factoren. Of e-mails wel of niet aankomen, hangt ook af van de reputatie van het domein en het IP-adres, de kwaliteit van de inhoud, de interactiegeschiedenis en of DKIM en DMARC zijn geconfigureerd. Het feit dat een SPF-controle wordt doorstaan, is geen garantie dat de e-mail in de inbox terechtkomt. Waarom e-mails in de spamfolder belanden en hoe je dit kunt oplossen →

Heb ik SPF nodig als ik al DKIM heb?

Ja. Ze dekken verschillende manieren waarop het systeem kan falen. DKIM blijft intact bij doorsturen, maar controleert de verzendende server niet. SPF controleert de server, maar faalt bij doorsturen. DMARC vereist dat ten minste één van beide met ‘alignment’ slaagt; als beide aanwezig zijn, betekent dit dat als de ene faalt, de andere het bericht nog steeds kan verifiëren. Kun je DMARC zonder DKIM gebruiken? →

Zal het overschakelen van ~all naar -all ervoor zorgen dat mijn e-mail niet meer werkt?

Alleen als er legitieme afzenders zijn die nog niet in je record staan vermeld. Controleer, voordat je overschakelt, de geaggregeerde DMARC-rapporten gedurende ten minste 2 tot 4 weken om alle verzenddiensten in kaart te brengen. Zodra je er zeker van bent dat het record alle legitieme bronnen omvat, is -all de juiste keuze. SPF softfail versus hardfail: wanneer moet je overschakelen →

Hoe vaak moeten SPF-records worden bijgewerkt?

Telkens wanneer u een e-mailverzendservice toevoegt of verwijdert. In de praktijk dient u dit elk kwartaal te controleren. Leveranciers wijzigen IP-adressen, teams voegen tools toe zonder IT hiervan op de hoogte te stellen, en bovendien: domeinen vallen soms uit. Bij gehoste SPF wordt dit automatisch afgehandeld; handmatig aangemaakte records moeten volgens een vast schema worden gecontroleerd.

Kunnen aanvallers SPF omzeilen?

SPF kent een aantal beperkingen. Bij diensten met gedeelde IP-adressen (zoals Mailchimp) komt elke klant binnen hetzelfde IP-bereik door uw SPF-controle heen. Bij het vervalsen van de weergavenaam wordt SPF volledig omzeild, aangezien het Return-Path hierbij niet wordt gewijzigd. En de BreakSPF-aanval heeft aangetoond hoe records die te ruim zijn opgezet met brede IP-bereiken, kunnen worden misbruikt. DMARC met strikte afstemming beperkt deze risico’s.

Wat is het verschil tussen SPF-delegatie en SPF-omleiding?

Met SPF-delegatie kunt u de SPF-instellingen voor een subdomein vanuit een andere DNS-zone beheren. De parameter `redirect=` geeft ontvangers de instructie om volledig het SPF-record van een ander domein te gebruiken. Het vervangt uw record in plaats van het aan te vullen. Gebruik `redirect` wanneer het SPF-beleid van het ene domein op identieke wijze van toepassing moet zijn op een ander domein.

Hoe lang duurt het voordat de SPF-waarde effect heeft?

De verspreiding van DNS-gegevens is afhankelijk van de TTL van uw bestaande record en de caching door tussenliggende resolvers. Meestal duurt de verspreiding 1 tot 4 uur. In het ergste geval kan dit 48 uur duren. Verlaag uw TTL naar 300 seconden voordat u wijzigingen aanbrengt, en verhoog deze weer zodra de verspreiding is voltooid.