← Kennisbank

Wat is SPF?

Wat is SPF?

SPF (Sender Policy Framework) bepaalt welke servers e-mail mogen versturen namens jouw domein. Het is de eerste van drie e-mailauthenticatie-standaarden, samen met DKIM en DMARC.

In het kort

Stel je voor dat iemand jouw bedrijfsnaam onder een brief zet zonder dat jij dat weet — vervelend, toch? SPF doet hetzelfde voor e-mail. Je publiceert een lijstje met IP-adressen die namens jou e-mail mogen versturen, en ontvangende mailservers kunnen die lijst controleren.

Komt de e-mail van een IP dat niet in jouw lijst staat? Dan weet de ontvanger dat het waarschijnlijk een vervalsing is.

Hoe werkt SPF in 3 stappen?

  1. Iemand verstuurt namens jouwbedrijf.nl een e-mail naar een klant.
  2. De mailserver van de klant kijkt in het DNS van jouwbedrijf.nl naar het SPF-record.
  3. Staat het IP-adres van de verzendende server in dat record? Pass. Zo niet, dan fail — en wordt de mail vermoedelijk geweigerd of in spam gezet.

Hoe ziet een SPF-record eruit?

Een SPF-record is een gewone TXT-record in DNS op je hoofd-domein. Voorbeeld voor een bedrijf dat alleen via Microsoft 365 verzendt: 

jouwbedrijf.nl.   IN  TXT  "v=spf1 include:spf.protection.outlook.com -all"
Wat staat er?
  • v=spf1 — versie van SPF (er is maar één versie).
  • include:spf.protection.outlook.com — neem de toegestane IP's van Microsoft 365 over.
  • -all — alle andere servers? Hard fail, niet versturen.
Veelgebruikte mechanismen
MechanismeWat doet het?
ip4:1.2.3.4Een specifiek IPv4-adres mag verzenden.
ip6:2a01::1Een specifiek IPv6-adres mag verzenden.
include:_spf.google.comNeem de IP's van een andere partij over (Google Workspace).
mxDe MX-servers van het domein mogen verzenden.
aHet A-record van het domein mag verzenden.
-allHard fail — strikt afwijzen.
~allSoft fail — markeren als verdacht.
?allNeutral — geen oordeel. Niet aanbevolen.

Veelgemaakte fouten

  • Meerdere SPF-records. Eén domein mag maar één SPF-record hebben. Voeg extra verzenders toe binnen hetzelfde record via include:.
  • Te veel DNS-lookups. SPF staat maximaal 10 lookups toe (elke include:, a, mx telt). Eroverheen? Dan wordt het record als permerror gezien en negeren ontvangers het.
  • +all of ?all. Hiermee staat het record wagenwijd open. Gebruik -all (hard) of minimaal ~all (soft) tijdens een transitie.
  • Vergeten verzenders. Klantenservice-tools, nieuwsbriefdiensten, CRM-systemen — iedereen die mail verstuurt namens jouw domein moet toegevoegd.
Controleer je SPF-record

Voer een Postwachter scan uit om te zien of jouw SPF correct staat, binnen het lookup-limiet blijft en aligneert met DMARC.

Scan mijn domein
Lees ook