SPF (Sender Policy Framework): wat het is en hoe het werkt
door
Laatst bijgewerkt: 7 leestijd: 7 minuten
Belangrijkste Conclusies
- SPF (Sender Policy Framework) is een protocol voor e-mailverificatie waarmee domeineigenaren een lijst met geautoriseerde mailservers in hun DNS kunnen publiceren.
- Een SPF-record is een DNS TXT-record waarin geautoriseerde IP-adressen en verzendende diensten worden vermeld. Het moet beginnen met v=spf1, de juiste SPF-syntaxis volgen en als één enkel record worden gepubliceerd.
- SPF kent reële beperkingen. Het werkt niet bij doorgestuurde e-mails, biedt geen bescherming voor het ‘Van’-adres dat zichtbaar is voor gebruikers, en kent een strikte limiet van 10 DNS-lookups. Als die limiet wordt overschreden, ontstaat er een PermError die ertoe kan leiden dat legitieme e-mails ongemerkt worden geweigerd.
- SPF alleen is niet voldoende. Het moet worden gecombineerd met DKIM en DMARC voor volledige bescherming tegen e-mailspoofing, phishingaanvallen en domeinmisbruik.
E-mailspoofing is een van de oudste trucs uit het arsenaal van aanvallers, en het werkt nog steeds omdat te veel domeinen het te gemakkelijk maken. Sender Policy Framework (SPF) vormt de eerste verdedigingslinie. Het is een fundamenteel protocol voor e-mailverificatie dat ontvangende mailservers laat weten welke IP-adressen daadwerkelijk bevoegd zijn om namens u e-mails te versturen.
In deze handleiding wordt uitgelegd wat SPF is, hoe het SPF-protocol werkt, hoe je het correct instelt en wat de beperkingen ervan zijn.
Wat is SPF (Sender Policy Framework)?
Sender Policy Framework (SPF) is een protocol voor e-mailverificatie dat is ontworpen om e-mailspoofing, een van de meest gebruikte technieken bij phishingaanvallen en spamcampagnes.
Het werkt doordat domeineigenaren een lijst met geautoriseerde mailservers in hun DNS kunnen publiceren, zodat ontvangende servers kunnen controleren of een binnenkomend bericht daadwerkelijk afkomstig is van een goedgekeurde bron.
SPF vormt een essentieel onderdeel van e-mailverificatie omdat het ontvangende systemen een duidelijk, gezaghebbend antwoord geeft op een eenvoudige vraag: mag deze server e-mail verzenden voor dit domein?
De rol van SPF in het bredere plaatje van e-mailbeveiliging
SPF werkt niet op zichzelf. Het is een van de drie belangrijkste protocollen voor e-mailverificatie, naast DomainKeys Identified Mail (DKIM) en Domain-based Message Authentication, Reporting, and Conformance (DMARC). Samen vormen deze protocollen een complete verdediging tegen e-mailfraude.
| Protocol | Wat er wordt gecontroleerd |
|---|---|
| SPF | Of de verzendende server door de domeineigenaar is geautoriseerd |
| DKIM | Of de inhoud van het bericht tijdens de verzending is gewijzigd |
| DMARC | Of SPF en DKIM overeenkomen met het ‘Van’-adres, en wat te doen als dat niet het geval is |
SPF is ook een vereiste component voor het instellen van DMARC. Zonder een geldig SPF-record kan DMARC niet correct functioneren.
Aanbevolen lectuur: SPF, DKIM en DMARC: hoe ze samenwerken
Hoe het SPF-protocol werkt
SPF werkt volledig via DNS. Wanneer er een e-mail wordt verzonden, voert de ontvangende mailserver een reeks controles uit om te bepalen of het bericht betrouwbaar is. Hieronder wordt uitgelegd hoe dat proces van begin tot eind verloopt.
Het SPF-verificatieproces
- Er wordt een e-mail verzonden vanaf een server, waarbij het domein van de afzender in het Return-Path-adres staat
- De ontvangende server identificeert het domein van de afzender aan de hand van dat Return-Path-adres
- De ontvangende server voert een SPF-recordopzoeking in de DNS van het domein om het gepubliceerde SPF-record te vinden
- Het IP-adres van de verzendende server wordt vergeleken met de lijst van geautoriseerde IP-adressen in het SPF-record
- Als er een overeenkomst is, doorstaat de e-mail de SPF-verificatie. Als er geen overeenkomst is, kan de e-mail worden gemarkeerd als verdacht of worden geweigerd, afhankelijk van het beleid van het domein
Resultaten van SPF-verificatie
| Resultaat | Betekenis |
|---|---|
| Pas | Het verzenden van IP-adressen is toegestaan in het SPF-record |
| Storing | Het verzenden van IP is niet toegestaan |
| SoftFail | IP-adres is niet geautoriseerd, maar het domein weigert de toegang niet |
| Neutraal | De domeineigenaar heeft geen uitspraken gedaan over het verzendende IP-adres |
| Geen | Er is geen SPF-record gevonden voor het domein |
| Tijdelijke fout | Tijdens de controle is er een fout opgetreden bij het opzoeken van het DNS-adres |
| PermError | Het SPF-record bevat een syntaxfout of overschrijdt de opzoeklimiet |
Het is belangrijk om te weten dat SPF alleen het IP-adres van de verzendende server controleert. Het verifieert niet de daadwerkelijke identiteit van de afzender of de inhoud van het bericht. Daar komen DKIM en DMARC de leemtes opvullen.
Hoe ziet een SPF-record eruit?
Een SPF-record is een DNS TXT-record dat in de DNS-instellingen van uw domein wordt gepubliceerd. Het volgt een specifieke syntaxis van mechanismen en kwalificaties die bepalen welke servers bevoegd zijn om e-mail te verzenden voor uw domein.
Basisstructuur van een SPF-record
v=spf1 ip4:192.0.2.0/24 include:mailprovider.com -all
| Component | Betekenis |
|---|---|
| v=spf1 | Versietag, moet als eerste in elk SPF-record voorkomen |
| ip4: | Geeft toestemming voor een specifiek IPv4-adres of -adresbereik |
| ip6: | Geeft toestemming voor een specifiek IPv6-adres of -bereik |
| omvatten: | Geeft toestemming voor het SPF-record van een externe afzender |
| a: | Geeft het IP-adres van het A-record van het domein vrij |
| mx: | Geeft de mail-exchange-servers van het domein toestemming |
| -all | Absolute fout: alle e-mails die niet overeenkomen met het record worden geweigerd |
| ~alles | Zachte fout: markeren, maar e-mail verzenden die niet overeenkomt met het record |
| ?alles | Neutraal: geen beleid voor post die niet overeenkomt |
SPF-records voor domeinen die geen e-mails verzenden
Voor domeinen die nooit e-mail versturen, moet er toch een restrictief SPF-record worden gepubliceerd om te voorkomen dat ze worden gespoofed:
v=spf1 - alle
Hierdoor krijgen ontvangende servers de opdracht om alle e-mails die beweren afkomstig te zijn van dat domein te weigeren.
De limiet van 10 DNS-zoekopdrachten
SPF heeft een limiet van 10 DNS-lookups per recordevaluatie. Elk omvat:, a:, mx:, en redirect: mechanisme activeert een opzoekactie.
Als deze limiet wordt overschreden, ontstaat er een PermError, waardoor legitieme e-mails de SPF-authenticatie zonder dat dit wordt gemeld. Dit is een van de meest voorkomende en vaak over het hoofd geziene SPF-configuratieproblemen, met name voor organisaties met complexe e-mailomgevingen.
SPF instellen met PowerDMARC!Waarom zou je PowerDMARC verkiezen boven andere SPF-tools?
|
Een SPF-record aanmaken en publiceren
Het aanmaken en publiceren van een SPF-record is een van de belangrijkste stappen bij het beveiligen van de e-mail van uw domein.
Als je dit goed doet, laat het elke ontvangende mailserver precies weten welke afzenders bevoegd zijn om namens jou te verzenden. Als je dit verkeerd doet, kan het er stilletjes voor zorgen dat de authenticatie van je eigen legitieme e-mails niet meer werkt. Hier lees je hoe je het goed aanpakt.
Stap 1: Controleer al je bronnen voor het versturen van e-mails
Voordat u ook maar één regel van uw SPF-record schrijft, moet u alle diensten en systemen in kaart brengen die e-mail versturen vanuit uw domein. Dit is de stap die de meeste organisaties overhaast uitvoeren, en het is de meest voorkomende reden waarom SPF-records na publicatie niet werken.
Uw audit moet het volgende omvatten:
- Uw primaire e-mailserver
- E-mailmarketingplatforms
- CRM- en verkooptools
- Helpdesk- en ondersteuningssoftware
- E-maildiensten voor facturering en transacties
- Externe leveranciers die namens u verzenden
Verzamel voor elke bron ofwel de specifieke verzendende IP-adressen, ofwel de SPF-inclusiestring die door die dienst wordt verstrekt.
Stap 2: Stel je SPF-record op
Voeg alle geautoriseerde afzenders samen in één DNS TXT-record met behulp van de juiste SPF-syntaxis. Een eenvoudig voorbeeld ziet er als volgt uit:
v=spf1 ip4:192.0.2.1 include:sendingservice.com include:marketingplatform.com -all
Belangrijke regels die je bij het opstellen moet volgen:
| Regel | Waarom het belangrijk is |
|---|---|
| Begin altijd met v=spf1 | Dit is de verplichte versietag. Zonder deze tag is het record ongeldig |
| Gebruik slechts één record | Meerdere SPF -records op hetzelfde domein leiden tot een PermError en verstoren de authenticatie |
| Blijf binnen de 10 DNS-lookups | Elk `include:`, `a:` en `mx:`-mechanisme telt mee voor de limiet. Als deze limiet wordt overschreden, leidt dit tot een PermError |
| Eindig op -all of ~all | Bepaalt wat er gebeurt met e-mailberichten die niet voldoen aan de criteria. Gebruik -all om een strikte afwijzing af te dwingen |
Stap 3: Publiceer het record in je DNS
Zodra je record is opgesteld, log je in bij je DNS-provider en voeg je het toe als een TXT-record bij je hoofddomein.
Het record moet worden toegevoegd op @ of uwdomein.com, niet bij een subdomein, tenzij u specifiek een apart record voor een subdomein aanmaakt.
Als u voor verschillende verzendservices afzonderlijke subdomeinen gebruikt, moet elk subdomein een eigen SPF-record hebben. Dit is ook een handige methode om binnen de limiet van 10 zoekopdrachten te blijven wanneer u meerdere externe afzenders beheert.
Stap 4: Test je record na publicatie
Het publiceren van je record is niet de laatste stap. Controleer het na publicatie altijd om te verifiëren dat:
- Het bestand is correct opgemaakt en bevat geen syntaxfouten
- Alle geautoriseerde IP-adressen en opnametekens zijn aanwezig
- De limiet voor DNS-zoekopdrachten is niet overschreden
- Er zijn geen dubbele SPF-records op hetzelfde domein
Gebruik de SPF-lookup-tool van PowerDMARC om deze controle direct na publicatie uit te voeren, en opnieuw telkens wanneer u wijzigingen aanbrengt.
Stap 5: Houd je administratie up-to-date
Een SPF-record is geen instelling die je eenmaal instelt en vervolgens kunt vergeten.
Telkens wanneer u een nieuw verzendplatform toevoegt, van e-mailprovider verandert of een oud platform buiten gebruik stelt, moet uw SPF-record worden bijgewerkt. Een verouderd record dat verwijst naar oude IP-adressen of niet-bestaande diensten is een van de meest voorkomende oorzaken waardoor legitieme e-mails de SPF-authenticatie niet doorstaan.
Stel een vast schema op om uw SPF-record te controleren, met name na wijzigingen in uw e-mailinfrastructuur.
SPF en e-mailbezorgbaarheid
Een van de meest directe voordelen van het implementeren van SPF is een betere afleverbaarheid van e-mails. Hieronder leest u hoe SPF de reis van uw e-mails van verzending tot in de inbox beïnvloedt.
Hoe SPF de afleverbaarheid verbetert
- Ontvangende mailservers en e-mailproviders gebruiken SPF als een vertrouwenssignaal bij het bepalen of inkomende e-mail moet worden afgeleverd, gefilterd of geweigerd
- Een geldig SPF-record verkleint de kans dat legitieme e-mails als spam worden gemarkeerd
- Door consequent gebruik te maken van SPF-authenticatie bouwt u in de loop van de tijd een goede domeinreputatie op, waardoor de kans kleiner wordt dat uw e-mails worden geblokkeerd of naar de spamfolder worden doorgestuurd
- Het implementeren van SPF geeft internetproviders blijk van uw toewijding aan e-mailbeveiliging, wat een positieve invloed heeft op de reputatie van de afzender
Hoe een verkeerd geconfigureerde SPF-instelling de afleverbaarheid kan schaden
| Probleem | Impact |
|---|---|
| Ontbrekend SPF-record | Het domein kan vrijelijk worden vervalst; er is geen vertrouwenssignaal voor ontvangers |
| PermError (opzoeklimiet overschreden) | Legitieme e-mails kunnen de SPF-verificatie niet doorstaan |
| Verouderde geautoriseerde IP-adressen | E-mails van nieuwe of gewijzigde afzenders slagen niet voor de SPF-controle |
| Meerdere SPF-records | Veroorzaakt een PermError, waardoor de authenticatie volledig wordt onderbroken |
| Te toegeeflijk ~alles of ?alles | Vermindert de beschermende waarde van het document |
Het bijhouden van een nauwkeurig en actueel SPF-record is van cruciaal belang om de reputatie van uw domein te beschermen en een consistente afleverbaarheid van e-mails te garanderen.
De beperkingen van SPF
SPF is een fundamentele methode voor e-mailverificatie , maar het heeft goed gedocumenteerde beperkingen die elke domeineigenaar moet begrijpen. Als u alleen op SPF vertrouwt, ontstaan er aanzienlijke hiaten in uw e-mailbeveiliging.
Wat SPF niet kan
| Beperking | Waarom het belangrijk is |
|---|---|
| Het zichtbare 'Van'-adres kan niet worden verborgen | SPF verifieert het Return-Path, niet de From-header die ontvangers te zien krijgen |
| Onderbrekingen in doorgestuurde e-mails | Het IP-adres van de doorstuurserver staat niet in het oorspronkelijke SPF-record, wat tot fouten leidt |
| De inhoud van het bericht kan niet worden geverifieerd | SPF controleert alleen het verzendende IP-adres, niet of het bericht is gewijzigd |
| Phishing via domeinen die op het doelwit lijken, kan niet worden geblokkeerd | Aanvallers kunnen een soortgelijk domein registreren met een eigen geldig SPF-record |
| Onder voorbehoud van een limiet van 10 DNS-zoekopdrachten | In complexe omgevingen kan de limiet worden overschreden, wat tot PermErrors leidt |
SPF is het begin, niet het einde
SPF alleen biedt geen bescherming voor het „Van“-adres dat zichtbaar is voor gebruikers, gaat verloren bij het doorsturen en kan de inhoud van berichten niet verifiëren.
Voor volledige bescherming tegen domeinspoofing en phishingaanvallen moet SPF worden gecombineerd met DKIM en DMARC. DMARC vult specifiek de leemte aan die SPF laat bestaan door te eisen dat het „Van“-adres overeenkomt met de geauthenticeerde afzendergegevens.
| Advies van een expert: Ik adviseer klanten altijd om een SPF-wijzigingslogboek bij te houden waarin alle wijzigingen worden vastgelegd, vooral in complexe omgevingen met meerdere e-maildiensten. Dit voorkomt configuratieafwijkingen en maakt het oplossen van problemen veel eenvoudiger. |
Bescherm uw domein met SPF en PowerDMARC
SPF vormt het startpunt van e-mailverificatie, maar het is slechts één stukje van de puzzel.
Door uw SPF-record correct in te stellen, dit up-to-date te houden naarmate uw verzendinfrastructuur zich ontwikkelt, en het te combineren met DKIM en DMARC, beschermt u uw domein daadwerkelijk tegen spoofing, phishing en bezorgingsproblemen.
Een klant vertelt:
“PowerDMARC heeft het SPF-beheer voor ons IT-team een stuk eenvoudiger gemaakt. De afleverbaarheid en beveiliging van onze e-mails zijn van de ene op de andere dag verbeterd.” – CISO, financiële instelling
PowerDMARC maakt dat hele proces overzichtelijk. Van het genereren en valideren van uw SPF-record tot het monitoren van authenticatieresultaten voor al uw verzendende domeinen en het streven naar volledige DMARC-handhaving: PowerDMARC biedt u het inzicht en de controle om het vanaf het begin goed aan te pakken en dit op de lange termijn te handhaven.
Ga vandaag nog aan de slag met PowerDMARC vandaag nog!
FAQs
1. Wat is het SPF-framework voor afzenderbeleid?
Het SPF (Sender Policy Framework) is een protocol voor e-mailverificatie waarmee domeineigenaren kunnen aangeven welke mailservers bevoegd zijn om namens hun domein e-mails te versturen. Dit gebeurt door een DNS TXT-record te publiceren met een lijst van goedgekeurde afzenders, waardoor ontvangende servers de authenticiteit van e-mails kunnen controleren en spoofing kunnen voorkomen.
2. Waarin verschilt SPF van DKIM en DMARC?
SPF controleert het IP-adres van de verzendende server, DKIM gebruikt cryptografische handtekeningen om de integriteit van het bericht te verifiëren en DMARC zorgt voor de handhaving van het beleid en rapportage. SPF controleert de afzender van de envelop, DKIM controleert of de inhoud van het bericht niet is gewijzigd en DMARC geeft ontvangende servers aan wat ze moeten doen als SPF of DKIM faalt. Alle drie werken ze samen voor een uitgebreide e-mailverificatie.
3. Hoe gebruik ik Sender Policy Framework?
Breng alle diensten in kaart die e-mails versturen vanuit uw domein, verzamel hun geautoriseerde IP-adressen en publiceer één DNS TXT-record dat begint met v=spf1. Test het na publicatie en houd het up-to-date naarmate uw verzendinfrastructuur verandert.
4. Wat zijn enkele beperkingen van SPF-e-mailrecords?
SPF controleert alleen de verzendende server, niet de identiteit van de afzender of de inhoud van het bericht. Het werkt niet bij doorgestuurde e-mails en hanteert een strikte limiet van 10 DNS-zoekopdrachten, waardoor de authenticatie ongemerkt kan mislukken als deze limiet wordt overschreden.
5. Is SPF hetzelfde als DKIM?
Nee. SPF controleert het IP-adres van de verzendende server. DKIM maakt gebruik van een cryptografische handtekening om te controleren of de inhoud van het bericht tijdens de verzending niet is gewijzigd.
6. Waarom zou een e-mail niet door de SPF-controle komen?
De meest voorkomende oorzaken zijn een niet-geautoriseerde verzendende server, een verouderd SPF-record waarin een legitieme afzender ontbreekt, syntaxfouten in het record of het overschrijden van de limiet van 10 DNS-lookups.
Cyberbeveiligingsexpert, CEO bij PowerDMARC
Maitham is een technisch ondernemer, cyberbeveiligingsexpert, CEO en oprichter van PowerDMARC met meer dan 15 jaar ervaring in de sector. Maitham heeft een Global MBA van de Universiteit van Manchester en diverse professionele certificeringen waaronder CISSP, CISM, CRISC en ISC2 CCSP.
Laatste berichten van Maitham Al Lawati (Bekijk alle berichten)
- E-mailphishing en DMARC-statistieken: trends op het gebied van e-mailbeveiliging in 2026 - 6 januari 2026
- Hoe u 'Geen SPF-record gevonden' kunt oplossen in 2026 - 3 januari 2026
- SPF Permerror: Hoe te veel DNS-lookups te verhelpen - 24 december 2025
