SPF mislukt: Wat betekent het en hoe los je het op?

Sender Policy Framework (SPF) is een e-mailverificatieprotocol dat is ontworpen om e-mailspoofing te voorkomen door te controleren of berichten worden verzonden vanaf geautoriseerde mailservers. Wanneer SPF correct is geconfigureerd, helpt het spam en phishingpogingen te verminderen door ontvangende mailservers in staat te stellen te controleren of een e-mail afkomstig is van een legitieme bron. 

Als er echter iets misgaat tijdens het instellen of tijdens het verificatieproces, kan er een SPF-fout optreden. Een SPF-fout betekent dat de server van de ontvanger de autorisatie van de afzender niet kon bevestigen, wat er vaak toe leidt dat e-mails als spam worden gemarkeerd of helemaal worden geweigerd.

In dit bericht kijken we naar de meest voorkomende oorzaken van SPF-fouten en hoe deze kunnen worden opgelost.

Wat is SPF in e-mailverificatie?

Sender Policy Framework (SPF) is een e-mailverificatiemethode die helpt verifiëren of een e-mail van een geautoriseerde mailserver afkomstig is. Zie het als een lijst met "goedgekeurde afzenders" die in de DNS-records van een domein wordt gepubliceerd.

De belangrijkste rol van SPF is het voorkomen van e-mailspoofing, waarbij kwaadwillenden het "Van"-adres vervalsen om ontvangers te laten geloven dat de e-mail legitiem is. Door SPF records te controleren, kunnen ontvangende mailservers bevestigen of een bericht echt afkomstig is van het domein dat het beweert te vertegenwoordigen.

Hier wordt uitgelegd hoe SPF werkt tijdens het afleveren van e-mails:

• Het verzendende domein publiceert een SPF-record in zijn DNS, waarin wordt gespecificeerd welke mailservers namens hem e-mail mogen verzenden.
• Wanneer een e-mail wordt ontvangen, zoekt de mailserver van de ontvanger het SPF-record van het domein op.
• De server controleert of het IP-adres van de verzendende server overeenkomt met de geautoriseerde bronnen in de lijst.
• Op basis van het resultaat beslist de server of de e-mail wordt geaccepteerd, gemarkeerd of geweigerd.

Kortom, SPF werkt als een controlepost om frauduleuze e-mails uit inboxen te houden.

Wat betekent "SPF Fail"?

Een SPF-fail treedt op wanneer de mailserver van de ontvanger bepaalt dat de verzendende server niet gemachtigd is om e-mail te verzenden namens het domein. Dit gebeurt als het IP-adres van de verzendende server niet overeenkomt met de bronnen in het SPF-record van het domein.

E-mailservers interpreteren SPF-resultaten met behulp van mechanismen die zijn gedefinieerd door het SPF-beleid. De belangrijkste resultaten zijn:

• Pas: De e-mail komt van een geautoriseerde server.
• Mislukt: De e-mail is expliciet niet geautoriseerd en wordt vaak geweigerd.
• Softfail: De server staat niet in de lijst, maar de domeineigenaar laat het bericht met argusogen passeren (vaak gemarkeerd als spam).
• Neutraal: Er is geen duidelijk beleid, dus de server neemt geen strikte beslissing.

Als SPF faalt, zullen veel e-mailproviders de e-mail weigeren of naar de map met ongewenste e-mail sturen, waardoor de deliverability aanzienlijk afneemt.

Stop SPF-fouten met PowerDMARC!

Waarom mislukt SPF? 

SPF kan mislukken om de volgende redenen:

• De ontvangende MTA kan geen SPF-record vinden dat in jouw DNS is gepubliceerd.
• U hebt meer dan één SPF-record voor hetzelfde domein geconfigureerd. 
• Je e-mailserviceproviders hebben nieuwe IP-adressen gewijzigd of toegevoegd die je niet hebt opgenomen in je SPF-record.
• Je hebt de limiet van 10 DNS-opzoekingen voor SPF overschreden.
• U overschrijdt het maximum aantal toegestane opzoekingen van 2.
• De lengte van uw afgevlakte SPF-record overschrijdt de limiet van 255 SPF-karakters.

Wanneer SPF niet werkt voor je e-mail, is je volgende stap om de reden te achterhalen zodat je het kunt oplossen. Dit is mogelijk door regelmatige controle van DMARC-rapporten. PowerDMARC helpt je om rapporten over mislukte SPF-authenticatie eenvoudig te lezen met onze DMARC-analyzer.

Soorten SPF-fouten

De volgende typen SPF mislukt qualifiers die elk worden toegevoegd als een prefix voor het SPF mechanisme:

"+" "Geslaagd
"-" "Niet geslaagd
"~" "Softfail
"?" "Neutraal

Waarom zijn deze zaken belangrijk?In een situatie waarin uw e-mail wordt geweigerd, kunt u kiezen hoe streng u wilt dat ontvangers ermee omgaan. U kunt een kwalificatie opgeven om berichten door te laten die een SPF 'Fail' hebben ontvangen, door te laten, of een 'neutraal' standpunt innemen (niets doen).

1. SPF Geen Resultaat teruggestuurd

In het eerste geval, als de ontvangende e-mailserver een DNS-opzoeking uitvoert en de domeinnaam niet kan vinden in de DNS, wordt er geen resultaat geretourneerd. Geen wordt ook geretourneerd als er geen SPF-record wordt gevonden in het DNS van de afzender, wat betekent dat de afzender geen SPF-verificatie heeft geconfigureerd voor dit domein. In dit geval mislukt de SPF-authenticatie voor je e-mails, wat wordt aangegeven met "-all".

Genereer nu uw foutloze SPF record met onze gratis SPF record generator om dit te voorkomen.

2. SPF Neutraal resultaat teruggestuurd

Als u bij het configureren van SPF voor uw domein een "?all"-mechanisme aan uw SPF-record hebt toegevoegd, betekent dit dat de ontvangende MTA een neutraal resultaat retourneert, ongeacht de uitkomst van de SPF-authenticatiecontroles voor uw uitgaande e-mails. Dit gebeurt omdat u, wanneer uw SPF in neutrale modus staat, niet de IP-adressen opgeeft die bevoegd zijn om namens u e-mails te verzenden, waardoor ook onbevoegde IP-adressen e-mails kunnen verzenden.

3. SPF Softfail resultaat teruggestuurd

Net als SPF neutraal, wordt SPF softfail geïdentificeerd door ~all mechanisme, wat betekent dat de ontvangende MTA de mail zou accepteren en afleveren in de inbox van de ontvanger, maar het zou worden gemarkeerd als spam, in het geval dat het IP-adres niet is opgenomen in het SPF record in de DNS, wat een reden kan zijn waarom SPF authenticatie mislukt voor je e-mail. Hieronder staat een voorbeeld van SPF softfail:

 v=spf1 include:spf.google.com ~all

4. SPF Hardfail resultaat teruggestuurd

SPF hardfail is wanneer ontvangende MTA's e-mails verwijderen die afkomstig zijn van een verzendende bron die niet in je SPF record staat. We raden je aan om SPF hardfail te configureren in je SPF record als je bescherming wilt tegen domain impersonation en email spoofing. 

Voorbeeld: v=spf1 include:spf.google.com -all

Leer het specifieke verschil tussen SPF softfail vs hardfail

5. SPF Temperror (tijdelijke SPF-fout)

Een veel voorkomende en vaak onschuldige reden waarom SPF-authenticatie mislukt, is SPF Temperror (tijdelijke fout). Dit wordt veroorzaakt door een DNS fout zoals een DNS time-out. Het is dus, zoals de naam al zegt, een tijdelijke fout die een 4xx statuscode retourneert die een tijdelijke SPF mislukking kan veroorzaken. Het zal een SPF pass resultaat opleveren wanneer het later opnieuw wordt geprobeerd.

6. SPF Permerror (SPF permanente fout)

Een andere veel voorkomende fout waar domeinen mee te maken krijgen is een SPF Permerror. Dit is wanneer er een fout optreedt met een permanente fout. Dit gebeurt wanneer je SPF-record ongeldig wordt gemaakt door de ontvangende MTA. Er zijn veel redenen waarom SPF kan breken en ongeldig kan worden gemaakt door de MTA tijdens het uitvoeren van DNS lookups:

• Overschrijding van de zoeklimiet van 10 SPF
• Onjuiste SPF-record-syntaxis
• Meer dan één SPF-record voor hetzelfde domein
• Overschrijding van de SPF record lengte limiet van 255 tekens
• Als je SPF-record niet up-to-date is met wijzigingen door je ESP's

Opmerking: Als een MTA een SPF controleert uitvoert op een e-mail, bevraagt het de DNS of voert het een DNS lookup uit om de authenticiteit van de e-mailbron te controleren. Idealiter zijn er maximaal 10 DNS lookups toegestaan in SPF, als deze overschreden worden zal SPF breken en een Permerror resultaat teruggeven. Dit is een veel voorkomend probleem dat ertoe leidt dat SPF mislukt.

Een SPF-fout oplossen voor e-mails

Voor een goede bezorgbaarheid is het belangrijk om ervoor te zorgen dat SPF niet mislukt voor je e-mails. Om SPF fail te verhelpen, kun je deze best practices volgen: 

1. Blijf binnen de SPF-limieten

Als je verificatie mislukt door DNS lookups die RFC-limieten overschrijden, probeer dan binnen de limiet te blijven om mislukking te voorkomen. PowerDMARC helpt klanten hun SPF-records te optimaliseren om onder deze harde limieten te blijven door middel van macro's. Vaak zijn deze macro's vele malen effectiever dan de SPF-records. Vaak zijn ze vele malen effectiever dan SPF afvlakken. Als u er echter voor kiest om SPF-afvlakking te gebruiken, SPF-afvlakkingstools het proces vereenvoudigen, hoewel ze nog steeds handmatige updates vereisen wanneer je e-mailprovider zijn infrastructuur wijzigt. Macro's in je SPF DNS record helpen je te allen tijde te voorkomen dat je DNS void en lookup limieten overschrijdt.

2. Syntax- en configuratiefouten vermijden

Het handmatig implementeren van SPF-records leidt vaak tot syntaxfouten en zorgt ervoor dat ze mislukken. Om er zeker van te zijn dat je de juiste syntax gebruikt voor SPF, genereer je je record met behulp van een geautomatiseerde SPF record generator tool.

Gebruik bij het configureren van SPF in je DNS altijd het resourcetype "TXT". Als je het verkeerde resourcetype configureert, zoals "CNAME" of zelfs "SPF", zal dit leiden tot configuratiefouten en een SPF-fout. 

3. Alle verzendbronnen autoriseren

Zorg ervoor dat je al je verzendbronnen, inclusief je externe leveranciers, correct autoriseert in je SPF-record. Je leveranciers veranderen vaak hun lijst met versturende IP's of voegen er nieuwe toe. Je moet ervoor zorgen dat je op de hoogte bent van dergelijke wijzigingen en ze implementeren in je eigen SPF-record. Het missen van geautoriseerde verzendbronnen leidt vaak tot onterechte SPF fouten. 

4. Meerdere SPF-records combineren 

Meer dan één SPF record voor hetzelfde domein kan je SPF implementatie ongeldig maken en leiden tot SPF falen. In zulke gevallen is het beter om meerdere records te combineren tot één record door het "include" mechanisme te gebruiken. 

Beste praktijken om mislukte SPF te voorkomen

Domeineigenaren die zich houden aan de bovenstaande SPF best practices kunnen de kans op een onterechte SPF fail aanzienlijk verkleinen. 

Daarnaast volgen hier enkele aanbevolen praktijken die bedrijven zouden moeten volgen om hun algehele e-mailbeveiliging te versterken:

• Gebruik DKIM om te voorkomen dat SPF mislukt bij doorgestuurde e-mails: Doorsturen verbreekt vaak SPF, maar DomainKeys Identified Mail (DKIM) kan helpen de authenticatie te behouden.
• Gebruik DMARC en DKIM samen: zelfs als SPF faalt maar DKIM slaagt, kan Domain-based Message Authentication, Reporting, and Conformance (DMARC) de e-mail nog steeds valideren.
• DMARC-rapportage inschakelen: Monitor SPF-fouten en identificeer de hoofdoorzaken via gedetailleerde DMARC-rapporten.
• Houd SPF-records bijgewerkt: Controleer en update uw SPF-record telkens wanneer u e-mailservices van derden toevoegt of verwijdert.
• Regelmatig DNS-records controleren en testen: Plan periodieke controles om ervoor te zorgen dat uw DNS-records correct en consistent zijn en de SPF-opzoeklimieten niet overschrijden.

Mislukte e-mailverificatie is nooit goed nieuws voor de reputatie en geloofwaardigheid van je domein. Als u deze werkwijzen volgt, minimaliseert u het risico op SPF-fouten en zorgt u voor een betere e-mail deliverability.

Conclusie

Het repareren van SPF-fouten is cruciaal voor het behouden van vertrouwen, het beschermen van je merkreputatie en het garanderen van een betrouwbare e-mailaflevering. Zonder de juiste SPF-configuraties is de kans groter dat uw e-mails als spam worden gemarkeerd, worden geweigerd of door aanvallers worden misbruikt voor spoofing.

De beste aanpak is proactief: monitor je domein regelmatig, houd SPF-records up-to-date en gebruik meerdere e-mailverificatieprotocollen zoals SPF, DKIM en DMARC samen. Deze gelaagde verdediging verbetert uw kansen om verificatiecontroles te doorstaan en uw e-mailkanaal te beveiligen aanzienlijk.

Wilt u er zeker van zijn dat uw SPF correct is geconfigureerd en kostbare fouten voorkomen? Probeer de functies van PowerDMARC vandaag nog uit om je e-mailbeveiliging te versterken en je domein te beschermen tegen misbruik.

Veelgestelde Vragen

Hoe weet ik of mijn e-mails niet voldoen aan SPF?

Je kunt de e-mailheaders controleren op SPF-resultaten of tools gebruiken zoals DMARC-rapporten en SPF-checkers. Deze laten zien of je berichten de SPF-validatie doorstaan of niet.

Kan SPF falen ertoe leiden dat e-mails worden geweigerd?

Ja. Als SPF faalt met een "hard fail" resultaat, weigeren ontvangende servers het bericht vaak volledig, wat leidt tot bounces. In andere gevallen accepteren ze het bericht wel, maar wordt het doorgestuurd naar de spammap.

Heb ik DKIM en DMARC nodig als ik SPF heb?

Absoluut. SPF alleen kan doorgestuurde e-mails niet beschermen en biedt geen rapportage op domeinniveau. DKIM waarborgt de integriteit van e-mails en DMARC koppelt SPF en DKIM aan elkaar, waardoor u zichtbaarheid en betere bescherming tegen spoofing krijgt.

• Over
• Laatste berichten

Maitham Al Lawati

Cyberbeveiligingsexpert, CEO bij PowerDMARC

Maitham is een technisch ondernemer, cyberbeveiligingsexpert, CEO en oprichter van PowerDMARC met meer dan 15 jaar ervaring in de sector. Maitham heeft een Global MBA van de Universiteit van Manchester en diverse professionele certificeringen waaronder CISSP, CISM, CRISC en ISC2 CCSP.

Laatste berichten van Maitham Al Lawati (Bekijk alle berichten)

• E-mailphishing en DMARC-statistieken: trends op het gebied van e-mailbeveiliging in 2026 - 6 januari 2026
• Hoe u 'Geen SPF-record gevonden' kunt oplossen in 2026 - 3 januari 2026
• SPF Permerror: Hoe te veel DNS-lookups te verhelpen - 24 december 2025