Mag ik meerdere SPF-records hebben in één domein?

Nee. Een domein mag volgens de RFC slechts één geldig SPF-record bevatten. Heb je meerdere TXT-records die beginnen met **v=spf1** Combineer ze dan tot één regel, anders faalt SPF voor alle verzenders. Een veelgemaakte fout is dat partij A en partij B beide hun eigen SPF-record toevoegen in plaats van te combineren.

Werkt SPF nog wanneer mijn e-mail wordt doorgestuurd?"

Niet altijd. Wanneer een e-mail wordt doorgestuurd, blijft het originele From-adres staan, maar verandert de verzendende server. Het ontvangende systeem ziet dan een IP-adres dat niet in jouw SPF-record staat en de SPF-check faalt. Dit is precies waarom DKIM en DMARC zo belangrijk zijn als aanvulling: DKIM blijft wel geldig na een forward, omdat de handtekening aan de e-mail zelf hangt.

Hoe los ik een 'too many DNS lookups' fout op?

Deze fout betekent dat je SPF-record (inclusief alle geïmporteerde records) boven de 10 lookups uitkomt. Verwijder verzenders die je niet meer gebruikt.

Hoe stel ik een SPF-record in op mijn Google Workspace domein

Vraag: Hoe stel ik een SPF-record in op mijn Google Workspace domein?

Uitleg: Een SPF (Sender Policy Framework) record is een stukje tekst (TXT-record) dat je toevoegt aan de DNS van je domein bij je domeinprovider. Simpel gezegd: jouw domein geeft toestemming aan een verzendende mailserver (bijvoorbeeld Google, Brevo of je eigen website) om vanaf hun server (IP-adres) namens jouw domein e-mail te mogen versturen.

In het domein staat namelijk een stuk tekst waarin jij toestemming geeft aan de server, en andere mailservers herkennen dit. Dit zorgt ervoor dat e-mails die jij verstuurt via Google of een andere partij via jouw domein niet worden gemarkeerd als SPAM. Je kunt zelf controleren welke TXT-records er in je domein staan door naar de Dig (Domain Information Groper) tool van Google te gaan.

info

Hoe werkt SPF technisch?

Wanneer een mailserver een e-mail van jouw domein ontvangt, doet hij een DNS lookup naar het SPF-record van het verzendende domein. Vervolgens vergelijkt hij het IP-adres van de verzendende server met de IP-adressen en hosts die in dat SPF-record zijn toegestaan.

Match, het IP staat in de lijst: de e-mail slaagt voor de SPF-check.
Geen match: afhankelijk van het beleid aan het einde van het record (~all of -all) wordt de mail gemarkeerd als verdacht of geweigerd.

SPF werkt op basis van de envelope sender (de Return-Path), niet op het zichtbare From-adres. Dat is een belangrijk verschil met DKIM en DMARC, en de reden dat je SPF alléén niet voldoende is om spoofing volledig tegen te gaan.

lightbulb

SPF in combinatie met DKIM en DMARC

SPF is één van de drie pijlers van e-mailauthenticatie. Voor optimale bescherming en bezorgbaarheid wil je alle drie inrichten:

SPF (Sender Policy Framework) geeft aan welke servers namens jouw domein mogen versturen.
DKIM (DomainKeys Identified Mail) verifieert via een digitale handtekening dat de e-mail onderweg niet is gewijzigd.
DMARC (Domain-based Message Authentication, Reporting and Conformance) vertelt ontvangende servers wat ze moeten doen wanneer SPF of DKIM faalt, en stuurt rapportages terug naar de domeineigenaar.

Sinds februari 2024 verplichten Google en Yahoo bulk-verzenders om alle drie correct in te richten. Ook voor reguliere zakelijke verzenders is dit inmiddels een de facto standaard.

Oplossing:

Voor het instellen van het SPF-record heb je toegang nodig tot de DNS-omgeving van het domein. Dit kan bijvoorbeeld via TransIP, MijnDomein, Plesk of DirectAdmin. Daar kun je TXT-records aanpassen via de DNS-gegevens van het domein.

Meestal staat er al een SPF-record in het domein, toegevoegd door de DNS-host of een andere beheerder. Vaak is het mogelijk om Google daaraan toe te voegen door

include:_spf.google.com

in het bestaande record op te nemen, tussen v=spf1 en ~all (of -all).

Heeft je domein nog géén SPF-record? Voeg dan het volgende toe:

v=spf1 include:_spf.google.com ~all

Log in bij je DNS-provider

Ga naar de website van de partij waar je je domein hebt geregistreerd (bijvoorbeeld TransIP, MijnDomein, HostNet, Cloudflare of GoDaddy) en open de DNS-instellingen van het gewenste domein.

Controleer of er al een SPF-record bestaat

Zoek tussen de TXT-records of er een regel staat die begint met

v=spf1

warning

Een domein mag maar één SPF-record hebben. Bestaan er meerdere

v=spf1

records naast elkaar? Dan faalt SPF voor alle verzenders. Combineer in dat geval alle toegestane verzenders in één enkel record.

Voeg Google toe of maak een nieuw record aan

Bestaand SPF-record uitbreiden: voeg

include:_spf.google.com

toe vóór ~all of -all. Een record dat eerst alleen Brevo toestond, ziet er dan bijvoorbeeld zo uit:

v=spf1 include:spf.brevo.com include:_spf.google.com ~all

Nieuw SPF-record aanmaken: voeg een nieuw TXT-record toe met de volgende waarden:

Veld	Waarde
Type	TXT
Naam/Host	@ (of laat leeg, afhankelijk van je provider)
Waarde	v=spf1 include:_spf.google.com ~all
TTL	Standaardwaarde (vaak 3600 seconden)

Wacht op DNS-propagatie en valideer

Het kan tot 72 uur duren voordat DNS-wijzigingen wereldwijd zijn doorgevoerd, in de praktijk meestal binnen 15 minuten tot enkele uren. Controleer daarna of je SPF-record geldig is via:

check_circle

Test je verzending

Stuur een testmail naar een Gmail-account, open het bericht en klik op de drie puntjes rechtsboven en daarna op 'Origineel weergeven'. Bij

SPF:

moet 'PASS' staan met jouw domein.

Onderdelen van een SPF-record uitgelegd:

Mechanisme	Beschrijving en waarden	Uitleg
v	SPF-versie, moet de eerste tag in de record zijn: v=spf1	Zo herkent de server het protocol.
ip4	Autoriseert e-mailservers via IPv4-adres of -adresbereik. Voorbeeld: ip4:192.168.0.1	Hier kan je bijvoorbeeld je webserver toegang geven via het IPv4-adres.
ip6	Autoriseert e-mailservers via IPv6-adres of -adresbereik	Hier kan je bijvoorbeeld je webserver toegang geven via het IPv6-adres.
a	Autoriseert e-mailservers op basis van de domeinnaam	Je wilt vanaf je webserver versturen, dan kan je deze a toevoegen om dit toe te laten staan.
mx	Autoriseert Mail eXchange-records van domeinen	Wil je je mailserver laten versturen met bijvoorbeeld één IP-adres, voeg dan mx toe aan de regel.
include	Autoriseert e-mailafzenders van derden per domein. Voorbeeld: include:servers.mail.net	Een extern SPF-record kan worden geïmporteerd en gebruikt in je eigen domein.
all	Alle inkomende berichten moeten overeenkomen met de record	Niet van toepassing.
~all	Softfail kwalificatie, ontvangende mailservers accepteren berichten maar markeren ze als verdacht	E-mails krijgen het voordeel van de twijfel.
-all	Fail kwalificatie, ontvangende mailservers weigeren berichten mogelijk	E-mails die niet voldoen aan het SPF-record worden direct afgewezen.

warning

Maximaal 10 DNS lookups

Een TXT-record voor SPF mag niet meer dan 10 verwijzingen naar andere domeinen of servers bevatten. Deze verwijzingen worden lookups genoemd. Elke include, a, mx, ptr of exists in je record telt mee, ook lookups die binnen geïmporteerde records gebeuren.

Kom je boven de 10? Dan resulteert dat in een

permerror

en faalt SPF volledig. Oplossingen zijn onder andere SPF flattening (statische IP-adressen gebruiken in plaats van

include

) of een dienst zoals een SPF-macro tool.

Hoe stel ik een SPF-record in op mijn Google Workspace domein

Veelgestelde vragen

Koekje erbij?

Externe Link