SPF (Sender Policy Framework) is een e-mailstandaard waarmee een domeineigenaar in DNS publiceert welke mailservers e-mail mogen versturen namens zijn domein. Ontvangende mailservers controleren bij elke binnenkomende e-mail of de verzendende server op die lijst staat.
Hoe werkt SPF?
Wanneer een mailserver een e-mail ontvangt die afkomstig claimt te zijn van uwbedrijf.nl, zoekt hij het SPF-record van dat domein op in DNS. Staat het IP-adres van de verzendende server in dat record, dan slaagt de SPF-controle. Staat het er niet in, dan faalt de controle en kan de mail als verdacht worden behandeld — zeker in combinatie met een handhavend DMARC-beleid.
Hoe ziet een SPF-record eruit?
Een SPF-record is een TXT-record in DNS op het domein zelf. Een voorbeeld:
v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net ip4:185.5.6.10 -allDe belangrijkste mechanismen:
| Mechanisme | Betekenis |
|---|---|
v=spf1 | Versie-aanduiding, start van elk SPF-record. |
include: | Neemt het SPF-record van een dienst over, bijv. Microsoft 365 of Mailchimp. |
ip4: / ip6: | Een specifiek IP-adres of reeks die mag versturen. |
a / mx | De web- of mailservers van het domein zelf mogen versturen. |
-all | Hardfail: al het overige is niet toegestaan. |
~all | Softfail: al het overige is verdacht, maar wordt milder behandeld. |
+all | Iedereen mag versturen — een ernstige misconfiguratie. |
De 10-lookup-limiet: de bekendste SPF-valkuil
Een SPF-controle mag maximaal 10 DNS-lookups kosten. Elke include: telt mee, en includes binnen includes ook. Organisaties die in de loop der jaren diensten toevoegen (nieuwsbrieven, CRM, helpdesk, webshop) overschrijden deze limiet ongemerkt. Het gevolg: het SPF-record wordt door ontvangers als permerror ongeldig verklaard en de bescherming valt stilletjes weg. Dit is een van de meest voorkomende problemen die wij in domein-checks tegenkomen.
Waarom SPF alléén niet genoeg is
- Doorsturen breekt SPF: wordt een e-mail doorgestuurd (forwarding), dan verstuurt een andere server de mail en faalt de SPF-controle, ook al is de mail legitiem.
- SPF controleert het verkeerde adres: SPF kijkt naar het technische afzenderadres (envelope from), niet naar het adres dat de ontvanger ziet in zijn mailprogramma. Een aanvaller kan dus een eigen domein gebruiken voor SPF en tóch uw naam tonen.
- Geen rapportage: SPF zelf geeft u geen enkel inzicht in misbruik.
Daarom bestaat DMARC: het verbindt SPF en DKIM aan het zichtbare afzenderadres (alignment), dwingt een beleid af en levert rapportages.
Klopt uw SPF-record?
Onze gratis check controleert uw SPF, DMARC en DKIM in één keer — direct resultaat, geen e-mailadres nodig.
Doe de gratis check