Wat is een SPF-e-mailrecord? Functie, syntaxis en fouten

Wist je dat elke 39 seconden, a cyberaanval ergens ter wereld plaatsvindt, vaak beginnend met een eenvoudige vervalste e-mail? De gevolgen kunnen verwoestend zijn. Bedrijven riskeren het vertrouwen van klanten te verliezen en lopen het risico dat hun merkreputatie nooit meer herstelt. Een van de meest gebruikte trucs achter deze aanvallen is domain spoofing, waarbij criminelen zich voordoen als vertrouwde domeinen om ontvangers te misleiden.

Het goede nieuws is dat het SPF e-mailrecord, ook bekend als Sender Policy Framework, je sterkste verdedigingslinie kan zijn. In deze handleiding leert u wat het SPF e-mailrecord is, waarom het belangrijk is en hoe het uw domein kan beschermen tegen spoofing.

Wat is SPF E-mail Record?

Het SPF-beleid, gedefinieerd in het DNS-recordbevat een lijst met mailservers die namens uw domein berichten mogen verzenden. Meer specifiek is het Sender Policy Framework (SPF) een e-mailverificatieprotocol dat werkt als een gastenlijst voor je domein. Stel je voor dat je een exclusief evenement organiseert waar alleen uitgenodigde gasten naar binnen kunnen. Op dezelfde manier kunt u met SPF een lijst maken van servers die officieel namens uw domein e-mails mogen versturen.

Het primaire doel van SPF is om te voorkomen dat onbevoegde afzenders zich voordoen als jou, waardoor e-mail spoofing aanvallen worden geblokkeerd. Als bonus kan het implementeren van SPF ook je e-mail deliverability verbeteren en je afzenderreputatie versterken, waardoor het waarschijnlijker wordt dat legitieme e-mails in inboxen terechtkomen in plaats van in spammappen.

Technisch gezien is SPF een soort TXT-record dat u publiceert in het DNS (Domain Name System) van uw domein. Dit record informeert ontvangende mailservers over betrouwbare bronnen en zorgt ervoor dat de identiteit van uw domein niet eenvoudig kan worden vervalst.

Hoe werkt een SPF e-mailcontrole eigenlijk?

Met SPF kan een domeineigenaar een DNS TXT-record publiceren met een lijst van mailservers per IP of hostnaam die namens dat domein mogen verzenden. Zie het als een lijst met goedgekeurde afzenders. 

Hier wordt stap voor stap uitgelegd hoe SPF werkt:

1. Publiceer een SPF-record in uw DNS

De basis van SPF begint met het DNS (Domain Name System). DNS is de infrastructuur die door mensen leesbare domeinnamen, zoals example.com, koppelt aan de IP-adressen die computers en servers gebruiken om te communiceren. Het zorgt ervoor dat wanneer een e-mail wordt verzonden, de ontvangende server het domein waarvan de e-mail beweert afkomstig te zijn, kan vinden en verifiëren.

Om SPF te laten werken, moet de domeineigenaar een SPF-record publiceren in het DNS van zijn domein. Dit record heeft de vorm van een TXT-record dat specificeert welke mailservers, geïdentificeerd door IP-adressen of hostnamen, geautoriseerd zijn om e-mails namens het domein te verzenden.

Het publiceren van het SPF record is een verplichte eerste stap. Zonder dit record is er geen referentiepunt voor ontvangende mailservers, wat betekent dat SPF-controles helemaal niet kunnen worden uitgevoerd.

2. Stuur een e-mail vanaf uw domein

Het SPF-verificatieproces begint op het moment dat een e-mail wordt verzonden. Elk uitgaand bericht bevat informatie over het domein van de afzender, vooral in het Return-Path adres (ook wel de afzender van de envelop of het MAIL FROM adres genoemd). Dit adres geeft niet alleen aan waar gebouncede of onbestelbare e-mails naartoe moeten worden gestuurd, maar het identificeert ook het domein dat zal worden gecontroleerd met het SPF-record.

Deze stap is de trigger-event voor de hele SPF-verificatieworkflow. Zonder de handeling van het verzenden en het aangeven van het domein in het retourpad, is er niets voor de ontvangende server om te valideren. Vanaf dit punt begint de mailserver van de ontvanger te controleren of de verzendende server geautoriseerd is volgens het gepubliceerde SPF-record.

3. Het domein van de afzender identificeren aan de hand van de e-mailheader

Zodra de e-mail de mailserver van de ontvanger bereikt, is de volgende stap om te bepalen welk domein moet worden gecontroleerd. Om dit te doen, kijkt de server naar het Return-Path adres, ook bekend als de afzender van de envelop of het MAIL FROM adres. Dit veld is belangrijk omdat het aangeeft waar gebouncede of onbestelbare berichten naartoe moeten worden gestuurd.

Het is belangrijk op te merken dat SPF-controles gebaseerd zijn op het technische Return-Path-adres, niet op het zichtbare "Van"-adres dat verschijnt in de inbox van een gebruiker. Aanvallers proberen dit verschil vaak uit te buiten door het weergegeven "Van"-veld te vervalsen om ontvangers te misleiden.

4. Zoek het SPF-e-mailrecord van het domein op

Zodra het domein van de afzender is geïdentificeerd, moet de ontvangende server controleren welke servers gemachtigd zijn om e-mail voor dat domein te verzenden. Hiervoor wordt het SPF-record van het domein opgezocht in DNS. DNS, of het Domain Name System, werkt als het openbare adresboek van het internet en vertaalt domeinnamen naar informatie die servers kunnen lezen.

De server zoekt specifiek naar een TXT record dat begint met v=spf1, dat de lijst van geautoriseerde versturende servers bevat. Dit record vertelt de server of de e-mail afkomstig is van een goedgekeurde bron en is een cruciale stap in het SPF-verificatieproces.

5. Vergelijk het IP-adres van de afzender met het record

Het SPF-record bevat een beleid dat bepaalt welke servers e-mails voor het domein mogen versturen. De e-mailserver van de ontvanger vergelijkt het IP-adres van de server die de e-mail heeft verzonden met de lijst van geautoriseerde servers die in het SPF-record staat. Het e-mailadres van het retourpad wordt aan de kant van de ontvanger gecontroleerd om te verifiëren of het verzendende IP-adres wel of niet voorkomt in de SPF-records.

6. Bepaal het SPF-verificatieresultaat

Na controle van het SPF-record bepaalt de ontvangende server het authenticatieresultaat.

Mogelijke resultaten zijn onder andere:

• Pas: Het verzendende IP-adres staat vermeld als een geautoriseerde afzender.
• Mislukt: Het verzendende IP-adres is niet geautoriseerd en de e-mail moet worden geweigerd.
• SoftFail: Het verzendende IP-adres is waarschijnlijk onbevoegd, maar de e-mail wordt met voorzichtigheid geaccepteerd.
• Neutraal: Er wordt geen specifieke bewering gedaan over het verzendende IP-adres.
• Geen: Er bestaat geen SPF-record voor het domein, dus er is geen verificatie mogelijk.

7. Actie ondernemen op basis van het resultaat

De e-mailserver van de ontvanger onderneemt actie op basis van het resultaat van de SPF-controle en het DMARC-beleid van het domein (als dat bestaat). Hij kan de e-mail accepteren, als spam markeren of helemaal weigeren. Als de goedkeuring positief is, worden de e-mails meestal naar de inbox gestuurd; anders kan het leiden tot een SPF-fout.

SPF instellen met PowerDMARC!

Hoe uw SPF-e-mailrecord inschakelen en gebruiken

Voordat je kunt profiteren van SPF, is het belangrijk om te begrijpen wat het doet en om te bevestigen dat zowel je domein als je e-mailprovider het ondersteunen. SPF alleen authenticeert de verzendende server, maar het verifieert niet de werkelijke identiteit van de afzender of de inhoud van het bericht. Daarom werkt SPF het beste in combinatie met aanvullende protocollen zoals DKIM en DMARC, en zelfs BIMI, om een sterker en completer raamwerk voor e-mailverificatie te creëren.

Zodra u klaar bent om SPF te implementeren, omvat het proces het aanmaken en publiceren van een SPF-record in de DNS van uw domein. Dit record definieert duidelijk welke servers geautoriseerd zijn om e-mails te versturen met uw domeinnaam, en helpt ontvangende mailservers bij het uitfilteren van ongeautoriseerde of gespoofde berichten.

Om SPF in te schakelen voor je e-mail, moet je het volgende doen:

Bepaal de geautoriseerde e-mailservers

Identificeer de IP-adressen of hostnamen van alle e-mailservers die gemachtigd zijn om e-mails te verzenden namens uw domein. Dit omvat de e-mailservers van uw eigen organisatie, e-mailserviceproviders van derden (zoals Google Workspace, Microsoft 365, SendGrid, Mailchimp, enz.) en alle andere services die e-mail verzenden met uw domeinnaam. Verzamel een uitgebreide lijst van al deze IP-adressen en verzendende domeinen.

Definieer uw SPF-beleid

Bepaal het beleid voor SPF. Dit houdt in dat je moet specificeren welke servers e-mails voor je domein mogen versturen met SPF-mechanismen. Je moet ook beslissen hoe strikt ontvangende servers het beleid moeten afdwingen met behulp van kwalificaties (bijvoorbeeld `-all` voor Fail, `~all` voor SoftFail).

Uw SPF-formaat samenstellen

SPF records worden gepubliceerd als een TXT record in de DNS van je domein. Het record moet een specifiek formaat hebben, beginnend met `v=spf1` gevolgd door mechanismen, modifiers en een laatste `all` mechanisme met een qualifier.

Het SPF-record publiceren

Maak eerst je SPF record aan. U kunt onze gratis SPF-generator gebruiken of het record handmatig aanmaken op basis van uw geautoriseerde afzenders en beleid. Ga vervolgens naar het DNS-beheersysteem van uw domein, dat meestal wordt geleverd door uw domeinregistrar of hostingprovider. Zoek de DNS-instellingen voor uw domein en voeg een nieuw TXT-record toe. Geef de hostnaam op (meestal "@" of leeg voor het hoofddomein zelf) en plak de volledige SPF-recordstring in het veld waarde/gegevens.

SPF Record Syntax

Een SPF-record heeft een specifieke structuur die ontvangende mailservers gebruiken om geautoriseerde afzenders te verifiëren.

De belangrijkste onderdelen van een SPF-record zijn:

• v=spf1: Specificeert de SPF-versie die wordt gebruikt.
• Mechanismen: Definieer welke servers e-mail mogen versturen voor je domein. Veelgebruikte mechanismen zijn `a`, `mx`, `ip4`, `ip6`, `include`, `exists` en `all`.
• Aanduidingen: Geeft aan hoe strikt het mechanisme moet worden afgedwongen. Voorbeelden zijn `+` (Pass), `-` (Fail), `~` (SoftFail) en `?` (Neutral).
• Modifiers: Bieden aanvullende instructies of uitzonderingen op de regels, zoals `redirect` of `exp`.

Elk van deze componenten wordt in detail uitgelegd in de uitgebreide SPF syntaxisgids, die ook voorbeelden bevat van geldige SPF-records en hoe deze te structureren voor verschillende scenario's.

Hoe uw SPF Email Record controleren

Zodra je je SPF-record hebt ingesteld, kan het enige tijd duren (tot 48 uur, maar vaak veel minder) voordat de DNS-wijzigingen zich verspreiden over het internet. Gebruik onze SPF record controle om je record te valideren en te testen. Dit helpt bij het controleren van de juistheid van de syntaxis en zorgt ervoor dat het wordt herkend door DNS-servers.

Het is belangrijk op te merken dat SPF-records complex kunnen zijn, afhankelijk van de specifieke vereisten van je e-mailinfrastructuur. Als je niet zeker bent van de syntaxis of meer geavanceerde configuraties nodig hebt, is het raadzaam om je systeembeheerder, IT-ondersteuning of een e-mailverificatie-expert te raadplegen voor hulp bij het correct aanmaken van het SPF-record.

Vermijd deze veelvoorkomende SPF e-mailfouten

Verkeerde configuraties kunnen je SPF-beleid ineffectief maken of legitieme e-mails blokkeren.

Vermijd deze veelvoorkomende valkuilen:

• Meerdere SPF-records gebruiken: Combineer alle verzendservices in één record om validatiefouten te voorkomen.
• Onjuiste syntaxis: Zorg voor de juiste syntaxis en gebruik van het mechanisme om ongeldig verklaren van records te voorkomen.
• Niet inclusief alle geautoriseerde afzenders: Vermeld elke server en service van derden die e-mail verzendt voor uw domein.
• Overschrijding van de 10 DNS lookup limiet: Houd mechanismen onder de opzoeklimiet om ervoor te zorgen dat SPF correct werkt.
• Karakterlimieten overschrijden: Blijf binnen de 255 tekens per string en de totale DNS-limieten.
• Het verkeerde recordtype gebruiken: Publiceer SPF altijd als een TXT record, niet als een verouderd SPF type.
• Niet bijwerken: Werk uw SPF-record bij wanneer u e-mailservices of servers toevoegt of verwijdert.

Maak uw SPF e-mailbeleid krachtiger met PowerDMARC

Het implementeren van een SPF-e-mailrecord is een essentiële stap in het beschermen van uw domein tegen spoofing, phishing of e-mailspam. Door uw SPF-record correct in te stellen en te onderhouden, zorgt u ervoor dat alleen geautoriseerde servers namens u e-mails kunnen verzenden en beschermt u uw merkreputatie.

Als je de syntaxis van SPF begrijpt, veelvoorkomende misconfiguraties vermijdt en SPF combineert met DKIM en DMARC, versterk je je e-mailverificatiestrategie en verlaag je het risico dat frauduleuze e-mails je ontvangers bereiken.

Voor degenen die hun e-mailbeveiliging verder willen verbeteren, kan het een groot verschil maken om SPF verder uit te diepen en betrouwbare tools te gebruiken. PowerDMARC biedt gebruiksvriendelijke oplossingen voor het bewaken, beheren en optimaliseren van uw SPF-records, zodat u uw domein veilig en uw e-mails vertrouwd kunt houden.

Veelgestelde vragen

Wat zijn enkele beperkingen van SPF e-mailrecords?

SPF kan alleen de verzendende server verifiëren, niet de identiteit van de afzender of de inhoud van de e-mail. Het heeft ook een 10-DNS-lookup limiet en strikte syntax eisen.

Is SPF hetzelfde als DKIM?

SPF valideert de verzendende server, terwijl DKIM cryptografische handtekeningen gebruikt om te controleren of de inhoud van het bericht niet is gewijzigd.

Waarom zou een e-mail mislukken in SPF?

Een e-mail kan mislukken als deze is verzonden vanaf een onbevoegde server, het SPF-record syntaxfouten bevat of de DNS-opzoeklimiet is overschreden.

• Over
• Laatste berichten

Maitham Al Lawati

Cyberbeveiligingsexpert, CEO bij PowerDMARC

Maitham is een technisch ondernemer, cyberbeveiligingsexpert, CEO en oprichter van PowerDMARC met meer dan 15 jaar ervaring in de sector. Maitham heeft een Global MBA van de Universiteit van Manchester en diverse professionele certificeringen waaronder CISSP, CISM, CRISC en ISC2 CCSP.

Laatste berichten van Maitham Al Lawati (Bekijk alle berichten)

• E-mailphishing en DMARC-statistieken: beveiligingstrends voor 2025 - 6 januari 2026
• Hoe u 'Geen SPF-record gevonden' kunt oplossen in 2026 - 3 januari 2026
• SPF Permerror: wat het betekent en hoe je het kunt oplossen - 24 december 2025