SPF (Sender Policy Framework) is een e-mailstandaard waarmee een domeineigenaar in DNS publiceert welke mailservers e-mail mogen versturen namens zijn domein. Ontvangende mailservers controleren bij elke binnenkomende e-mail of de verzendende server op die lijst staat.SPF (Sender Policy Framework) is an email standard that lets a domain owner publish in DNS which mail servers may send email on behalf of their domain. For every incoming email, receiving mail servers check whether the sending server is on that list.
Hoe werkt SPF?How does SPF work?
Wanneer een mailserver een e-mail ontvangt die afkomstig claimt te zijn van uwbedrijf.nl, zoekt hij het SPF-record van dat domein op in DNS. Staat het IP-adres van de verzendende server in dat record, dan slaagt de SPF-controle. Staat het er niet in, dan faalt de controle en kan de mail als verdacht worden behandeld — zeker in combinatie met een handhavend DMARC-beleid.When a mail server receives an email claiming to come from yourcompany.com, it looks up that domain's SPF record in DNS. If the sending server's IP address is in that record, the SPF check passes. If it isn't, the check fails and the mail can be treated as suspicious — especially combined with an enforcing DMARC policy.
Hoe ziet een SPF-record eruit?What does an SPF record look like?
Een SPF-record is een TXT-record in DNS op het domein zelf. Een voorbeeld:An SPF record is a TXT record in DNS on the domain itself. An example:
v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net ip4:185.5.6.10 -allDe belangrijkste mechanismen:The main mechanisms:
| MechanismeMechanism | BetekenisMeaning |
|---|---|
v=spf1 | Versie-aanduiding, start van elk SPF-record.Version marker, the start of every SPF record. |
include: | Neemt het SPF-record van een dienst over, bijv. Microsoft 365 of Mailchimp.Incorporates a service's SPF record, e.g. Microsoft 365 or Mailchimp. |
ip4: / ip6: | Een specifiek IP-adres of reeks die mag versturen.A specific IP address or range allowed to send. |
a / mx | De web- of mailservers van het domein zelf mogen versturen.The domain's own web or mail servers may send. |
-all | Hardfail: al het overige is niet toegestaan.Hardfail: everything else is not allowed. |
~all | Softfail: al het overige is verdacht, maar wordt milder behandeld.Softfail: everything else is suspicious, but treated more leniently. |
+all | Iedereen mag versturen — een ernstige misconfiguratie.Anyone may send — a serious misconfiguration. |
De 10-lookup-limiet: de bekendste SPF-valkuilThe 10-lookup limit: the best-known SPF pitfall
Een SPF-controle mag maximaal 10 DNS-lookups kosten. Elke include: telt mee, en includes binnen includes ook. Organisaties die in de loop der jaren diensten toevoegen (nieuwsbrieven, CRM, helpdesk, webshop) overschrijden deze limiet ongemerkt. Het gevolg: het SPF-record wordt door ontvangers als permerror ongeldig verklaard en de bescherming valt stilletjes weg. Dit is een van de meest voorkomende problemen die wij in domein-checks tegenkomen.An SPF check may use at most 10 DNS lookups. Every include: counts, as do includes within includes. Organisations that add services over the years (newsletters, CRM, helpdesk, webshop) exceed this limit unnoticed. The result: receivers declare the SPF record invalid as a permerror and protection quietly disappears. This is one of the most common problems we encounter in domain checks.
Waarom SPF alléén niet genoeg isWhy SPF alone is not enough
- Doorsturen breekt SPF: wordt een e-mail doorgestuurd (forwarding), dan verstuurt een andere server de mail en faalt de SPF-controle, ook al is de mail legitiem.Forwarding breaks SPF: when an email is forwarded, another server sends the mail and the SPF check fails, even though the mail is legitimate.
- SPF controleert het verkeerde adres: SPF kijkt naar het technische afzenderadres (envelope from), niet naar het adres dat de ontvanger ziet in zijn mailprogramma. Een aanvaller kan dus een eigen domein gebruiken voor SPF en tóch uw naam tonen.SPF checks the wrong address: SPF looks at the technical sender address (envelope from), not the address the recipient sees in their mail client. So an attacker can use their own domain for SPF and still display your name.
- Geen rapportage: SPF zelf geeft u geen enkel inzicht in misbruik.No reporting: SPF itself gives you no insight into abuse at all.
Daarom bestaat DMARC: het verbindt SPF en DKIM aan het zichtbare afzenderadres (alignment), dwingt een beleid af en levert rapportages.That's why DMARC exists: it ties SPF and DKIM to the visible sender address (alignment), enforces a policy and delivers reports.
Klopt uw SPF-record?Is your SPF record correct?
Onze gratis check controleert uw SPF, DMARC en DKIM in één keer — direct resultaat, geen e-mailadres nodig.Our free check examines your SPF, DMARC and DKIM in one go — instant result, no email address required.
Doe de gratis checkRun the free check