E-mailfraude kost organisaties jaarlijks miljarden dollars — en het merendeel daarvan begint met een vervalst „Van“-adres. Sender Policy Framework (SPF) is, naast DKIM en DMARC, een van de drie fundamentele protocollen voor e-mailverificatie die voorkomen dat onbevoegde afzenders e-mails versturen via uw domein. Deze gids behandelt alles: wat SPF precies is, hoe het werkt, hoe je een record opstelt en valideert, wat alle mechanismen en kwalificaties betekenen, hoe je de meest voorkomende fouten oplost en hoe SPF past in een complete DMARC-strategie. Maak er een bladwijzer van – je zult er nog vaak naar teruggrijpen. Volledige implementatiehandleidingen Zoekopdrachten, softfails en uitlijning corrigeren Zorg ervoor dat SPF meetelt voor DMARC Records controleren, genereren en valideren SPF (Sender Policy Framework) is, naast DKIM en DMARC, een van de drie belangrijkste protocollen voor e-mailverificatie, die voorkomt dat onbevoegde servers e-mails versturen onder uw domeinnaam. Een SPF-record is een DNS TXT-record waarin alle IP-adressen en mailservers worden vermeld die bevoegd zijn om namens u e-mails te versturen. Zonder een dergelijk record kan elke willekeurige server op het internet zich voordoen als uw domein, en kunnen ontvangende servers het verschil niet zien. Ga naar een willekeurig onderdeel, of lees alles van begin tot eind door om een volledig beeld te krijgen: Wanneer een ontvangende mailserver een e-mail ontvangt, haalt deze het domein uit het Return-Path (afzender in de envelop), vraagt via DNS een TXT-record op dat begint met v=spf1, en controleert of het IP-adres van de verzendende server overeenkomt met de lijst van geautoriseerde adressen. Als dit het geval is, is de SPF-controle geslaagd. Zo niet, dan is het resultaat een ‘fail’, ‘softfail’ of ‘error’, en wat er vervolgens gebeurt, hangt af van uw DMARC-beleid. SPF controleert het Return-Path-domein (het technische envelopadres), niet het zichtbare "Van:"-adres. Dit betekent dat SPF op zichzelf het vervalsen van de weergavenaam niet kan voorkomen. Daarom is er DMARC-alignment, om deze leemte op te vullen. Een SPF-record begint met -all en ~all geven verschillende handhavingsniveaus aan in SPF. -all (hard fail) geeft ontvangende servers aan dat alleen de vermelde afzenders geautoriseerd zijn en dat alle andere moeten worden geweigerd. ~all (soft fail) is soepeler en markeert alle niet-geautoriseerde afzenders als verdacht, maar accepteert ze wel. Gebruik -all zodra uw afzenders volledig zijn gecontroleerd. Elke Begin met het opsommen van alle diensten die e-mails versturen vanuit uw domein, zoals: Elke aanbieder publiceert een Gebruik een SPF-controletool om te controleren of uw record syntactisch correct is, binnen de limiet van 10 opzoekingen blijft en naar de juiste IP-adressen verwijst. De SPF-opzoektool van PowerDMARC voert al deze controles direct uit. De SPF-lookup van PowerDMARC gebruiken: voer uw domein in bij de PowerDMARC SPF Checker voor een direct diagnostisch rapport met het aantal lookups, een uitsplitsing per mechanisme en eventuele fouten. De meeste SPF-fouten zijn het gevolg van afwijkingen in de configuratie, niet van het protocol zelf. Hieronder staan de fouten die we het vaakst tegenkomen en waar je ze kunt verhelpen: SPF kan slagen terwijl DMARC nog steeds faalt. Dit komt doordat SPF het Return-Path-domein valideert, maar DMARC vereist dat dit domein overeenkomt met het zichtbare "Van:"-adres. Wanneer je via een externe dienst verstuurt die een eigen Return-Path gebruikt, verifieert SPF aan de hand van hun domein, niet dat van jou, en faalt DMARC bij de overeenstemmingcontrole. De oplossing is om bij elke provider een aangepast Return-Path voor uw domein in te stellen, of in plaats daarvan gebruik te maken van DKIM-alignment (DKIM-handtekeningen blijven behouden bij doorsturen en zijn niet gebonden aan het verzendende IP-adres). Stel de alignment-modus in met de tag `aspf=` in uw DMARC-record: `aspf=r` (soepel, subdomeinen toegestaan) of `aspf=s` (strikt, exacte overeenkomst). Deze drie protocollen vullen elkaar aan, maar zijn niet onderling uitwisselbaar. SPF controleert de afzender, terwijl DKIM de integriteit van het bericht verifieert met een cryptografische handtekening. DMARC koppelt beide aan elkaar, dwingt een beleid af (geen / quarantaine / weigeren) en genereert geaggregeerde en forensische rapporten. Een e-mail voldoet aan DMARC als deze voldoet aan SPF-afstemming of DKIM-afstemming. U moet beide configureren, zodat de ene kan compenseren wanneer de andere faalt (bijvoorbeeld: SPF faalt bij doorgestuurde e-mail, maar DKIM blijft werken). Elke SaaS-tool die je aan je SPF-record toevoegt, verbruikt DNS-lookups. Zodra je de limiet van 10 lookups bereikt, werkt het hele record niet meer en geven alle SPF-controles een PermError-foutmelding. Handmatig SPF-flattening (het vervangen van includes door ruwe IP-adressen) werkt op korte termijn, maar raakt achterhaald wanneer leveranciers hun IP-reeksen wijzigen – en dat doen ze, zonder waarschuwing. PowerDMARC's automatische SPF-afvlakking lost dit op door dynamisch te omzetten Als je SPF voor het eerst instelt, begin dan met de bovenstaande providerspecifieke handleidingen en controleer je record met de gratis SPF-checker van PowerDMARC. Als je SPF al gebruikt en te maken hebt met opzoeklimieten of PermErrors, neemt geautomatiseerde SPF-flattening de onderhoudskosten weg. En als je DMARC nog niet hebt ingesteld, is dat de belangrijkste volgende stap — SPF zonder DMARC is als een slot zonder deur. Neem de controle over uw e-mailverificatie met de gratis SPF-tools van PowerDMARC. Controleer direct uw domein, maak nieuwe records aan of ontdek het volledige platform. Aanmelden is niet nodig. Controleer direct het SPF-record van uw domein, bekijk de volledige opzoekketen en spoor eventuele configuratieproblemen op. Genereer een geldig SPF-record dat is afgestemd op de afzenders van uw domein, zonder dat u de syntaxis handmatig hoeft in te voeren. Een uitgebreid platform voor het monitoren, handhaven en analyseren van e-mailverificatie binnen meerdere domeinen. Genereer authenticatierecords, controleer de DNS-configuratie en houd de e-mailactiviteit van uw domein in de gaten vanaf één enkel platform. Voorkom spoofing, verbeter de afleverbaarheid en krijg volledig inzicht in wie er namens u e-mails verstuurt. Vertrouwd door bedrijven, MSP’s en beveiligingsteams die verantwoordelijk zijn voor het handhaven van de domeinreputatie en het voorkomen van spoofing. "PowerDMARC is een zeer krachtige en uitgebreide tool die het dagelijkse werk van het monitoren van e-mailauthenticatie en beveiligingsfuncties aanzienlijk vereenvoudigt. Het biedt zichtbaarheid en duidelijkheid die anders moeilijk te bereiken zouden zijn. Ik kan PowerDMARC oprecht aanbevelen aan iedereen die zijn e-mailbeveiliging wil versterken!" SPF is slechts één van de vele factoren. Of e-mails wel of niet aankomen, hangt ook af van de reputatie van het domein en het IP-adres, de kwaliteit van de inhoud, de interactiegeschiedenis en of DKIM en DMARC zijn geconfigureerd. Het feit dat een SPF-controle wordt doorstaan, is geen garantie dat de e-mail in de inbox terechtkomt. Waarom e-mails in de spamfolder belanden en hoe je dit kunt oplossen → Ja. Ze dekken verschillende manieren waarop het systeem kan falen. DKIM blijft intact bij doorsturen, maar controleert de verzendende server niet. SPF controleert de server, maar faalt bij doorsturen. DMARC vereist dat ten minste één van beide met ‘alignment’ slaagt; als beide aanwezig zijn, betekent dit dat als de ene faalt, de andere het bericht nog steeds kan verifiëren. Kun je DMARC zonder DKIM gebruiken? → Alleen als er legitieme afzenders zijn die nog niet in je record staan vermeld. Controleer, voordat je overschakelt, de geaggregeerde DMARC-rapporten gedurende ten minste 2 tot 4 weken om alle verzenddiensten in kaart te brengen. Zodra je er zeker van bent dat het record alle legitieme bronnen omvat, is -all de juiste keuze. SPF softfail versus hardfail: wanneer moet je overschakelen → Telkens wanneer u een e-mailverzendservice toevoegt of verwijdert. In de praktijk dient u dit elk kwartaal te controleren. Leveranciers wijzigen IP-adressen, teams voegen tools toe zonder IT hiervan op de hoogte te stellen, en bovendien: domeinen vallen soms uit. Bij gehoste SPF wordt dit automatisch afgehandeld; handmatig aangemaakte records moeten volgens een vast schema worden gecontroleerd. SPF kent een aantal beperkingen. Bij diensten met gedeelde IP-adressen (zoals Mailchimp) komt elke klant binnen hetzelfde IP-bereik door uw SPF-controle heen. Bij het vervalsen van de weergavenaam wordt SPF volledig omzeild, aangezien het Return-Path hierbij niet wordt gewijzigd. En de BreakSPF-aanval heeft aangetoond hoe records die te ruim zijn opgezet met brede IP-bereiken, kunnen worden misbruikt. DMARC met strikte afstemming beperkt deze risico’s. Met SPF-delegatie kunt u de SPF-instellingen voor een subdomein vanuit een andere DNS-zone beheren. De parameter `redirect=` geeft ontvangers de instructie om volledig het SPF-record van een ander domein te gebruiken. Het vervangt uw record in plaats van het aan te vullen. Gebruik `redirect` wanneer het SPF-beleid van het ene domein op identieke wijze van toepassing moet zijn op een ander domein. De verspreiding van DNS-gegevens is afhankelijk van de TTL van uw bestaande record en de caching door tussenliggende resolvers. Meestal duurt de verspreiding 1 tot 4 uur. In het ergste geval kan dit 48 uur duren. Verlaag uw TTL naar 300 seconden voordat u wijzigingen aanbrengt, en verhoog deze weer zodra de verspreiding is voltooid.
SPF-record: wat het is, hoe het werkt en hoe je er een instelt
Belangrijkste Conclusies
PowerDMARC-informatiecentrum
Inhoudsopgave
Wat is SPF?
Wat in deze gids wordt behandeld
Hoe SPF werkt
SPF-uitslag Wat het betekent Pas Het verzenden van IP is toegestaan. Mislukt (-alles) Niet toegestaan. Moet worden afgewezen. SoftFail (~alle) Waarschijnlijk niet geautoriseerd. Accepteren, maar markeren. PermError Record is verbroken (syntaxfout, te veel zoekopdrachten). Wordt als mislukt beschouwd. Syntaxis van SPF-records: mechanismen en kwalificaties
v=spf1, geeft een overzicht van geautoriseerde afzenders met behulp van mechanismen zoals ip4:, ip6:, en omvatten:, en eindigt met een voorwaarde die ontvangers aangeeft wat ze moeten doen met afzenders die niet in de lijst staan. Hier is een voorbeeld:v=spf1 ip4:192.168.1.1 include:_spf.google.com include:sendgrid.net -all
include:, a, mx, omleiden=, en exists: dit mechanisme telt mee voor de Limiet van 10 DNS-opzoekingen. Als deze waarde wordt overschreden, wordt er een PermError gegenereerd die de authenticatie volledig verstoort. De ptr: dit mechanisme wordt niet meer ondersteund, vermijd het gebruik van.Een SPF-record aanmaken
include: waarde in hun documentatie. Stel één record samen waarin alle afzenders worden gebundeld (je kunt alleen één SPF-record per domein), publiceer het als een TXT-record in je DNS-provider, en valideer het met een SPF-checker. DNS-verspreiding duurt meestal een paar uur, maar kan tot 48 uur in beslag nemen.Aanwijzingen voor het instellen van specifieke providers
Hoe u uw SPF-record kunt controleren en valideren
Waarop een goede SPF-controle moet worden uitgevoerd:
v=spf1include: domeinenall de kwalificatie is aanwezig en correctptr:)Controle via de opdrachtregel (Linux/Mac):
dig TXT yourdomain.com +short | grep "v=spf1"
Veelvoorkomende fouten bij SPF en hoe je ze kunt oplossen
Fout Wat is er te doen? Oplossingsgids PermError: Te veel DNS-opzoekingen Het record overschrijdt de limiet van 10 zoekopdrachten SPF PermError verhelpen Meerdere SPF-records Twee v=spf1-records op hetzelfde domein Meerdere SPF-records corrigeren SPF is geslaagd, maar DMARC is mislukt Het Return-Path-veld komt niet overeen met het From:-veld: SPF-uitlijning corrigeren SoftFail. Het domein geeft de afzender niet aan Verzendend IP-adres staat niet in het SPF-record SPF SoftFail verhelpen 550 SPF-controle mislukt Foutmelding bij de ontvangende server Fout 550 SPF verhelpen Geen SPF record gevonden Ontbrekend of niet-gepubliceerd record Geen SPF-record SPF-controle mislukt bij doorgestuurde e-mail Het IP-adres van de doorstuurserver is niet geautoriseerd Handleiding voor het doorsturen van e-mails SPF validatiefout Probleem met de syntaxis of opmaak SPF-validatiefouten verhelpen E-mail geweigerd op grond van het SPF-beleid Ontvangende server die strikte SPF-controle toepast SPF-afwijzing verhelpen Het SPF-record overschrijdt het maximum aantal tekens Het record is te lang voor één DNS TXT-vermelding Het maximum aantal tekens voor SPF aanpassen SPF en DMARC: inzicht in de onderlinge afstemming
SPF versus DKIM versus DMARC: hoe ze samenwerken
Hosted SPF: het schaalbaarheidsprobleem oplossen
include: ketens omzetten in geoptimaliseerde records, wijzigingen in het IP-adres van leveranciers bijhouden en ervoor zorgen dat uw record binnen de opzoeklimiet blijft zonder handmatige DNS-aanpassingen. Voor organisaties die gebruikmaken van SPF-macro's of het beheren van SPF voor meerdere domeinen en subdomeinen, dankzij de gehoste SPF-oplossing zijn er helemaal geen onderhoudskosten meer.Checklist met aanbevolen werkwijzen voor SPF
SPF op de juiste manier instellen
De gratis tools van PowerDMARC
SPF-record controle
Belangrijkste kenmerken:
SPF Record Generator
Belangrijkste kenmerken:
PowerDMARC-toolbox
Belangrijkste kenmerken:
Bescherm en bewaak uw domein
Veelgestelde Vragen
Mijn SPF-record is geldig, maar e-mails komen nog steeds in de spamfolder terecht. Waarom?
Heb ik SPF nodig als ik al DKIM heb?
Zal het overschakelen van ~all naar -all ervoor zorgen dat mijn e-mail niet meer werkt?
Hoe vaak moeten SPF-records worden bijgewerkt?
Kunnen aanvallers SPF omzeilen?
Wat is het verschil tussen SPF-delegatie en SPF-omleiding?
Hoe lang duurt het voordat de SPF-waarde effect heeft?
Wat is SPF?
Hoe SPF werkt
Syntaxis van SPF-records: mechanismen en kwalificaties
Hoe maak je een SPF-record aan
Hoe u uw SPF-record controleert en valideert
Veelvoorkomende SPF-fouten en hoe u deze kunt oplossen
SPF en DMARC: inzicht in afstemming
SPF versus DKIM versus DMARC
Gehoste SPF: de oplossing voor het schaalbaarheidsprobleem van SPF
SPF-best practices
Veelgestelde vragen
Gebruik -all in plaats van ~all
Een harde fout geeft een duidelijk signaal af. Een softfail is dubbelzinnig.
Blijf onder de 8 zoekopdrachten
Laat ruimte over. Precies 10 is een tikkende tijdbom.
SPF publiceren voor domeinen die geen e-mails verzenden
Aanvallers vervalsen geparkeerde domeinen juist omdat er geen SPF is ingesteld.
SPF publiceren op elk subdomein
SPF op uwdomein.com geldt niet voor mail.uwdomein.com.
Gebruik 'include:' voor derden
Providers behouden hun IP-reeksen; blijft actueel.
Monitor met DMARC-rapporten
Uit RUA-rapporten blijkt dat er afzenders zijn waarvan je het bestaan niet kende. Zie ook RUA versus RUF.
Kwartaalcontrole
Verwijder leveranciers waarmee u niet meer werkt voordat ze een last gaan vormen.
10.000+Beschermde organisaties
32Gratis tools beschikbaar
4,9/5Beoordeling op G2
G2-leiderDMARC-software
SOC 2
HIPAA
PCI-DSS
GDPR
ISO 27001
