SPF Records: Bescherm Je E-mail Tegen Spoofing

Wat is SPF?

SPF staat voor Sender Policy Framework. Het is een DNS record dat aangeeft welke mailservers toestemming hebben om e-mail te versturen vanaf jouw domeinnaam.

Denk aan SPF als een gastenlijst bij een exclusief feest:

• Alleen servers op de lijst mogen binnenkomen (e-mail versturen)
• Andere servers worden geweerd
• De portier (ontvangende mailserver) controleert de lijst

Waarom is dit belangrijk?

Zonder SPF kan iedereen e-mails versturen die lijken alsof ze van jouw domein komen. Met SPF kunnen ontvangende mailservers controleren: "Komt deze e-mail echt van een goedgekeurde server?"

Hoe werkt SPF?

Wanneer iemand een e-mail verstuurt vanaf jouw domein, gebeurt het volgende:

1. E-mail wordt verstuurd
   Van info@jouwbedrijf.nl naar een klant
2. Ontvangende server controleert
   "Wat staat er in het SPF record van jouwbedrijf.nl?"
3. SPF record wordt opgevraagd
   DNS server geeft antwoord: "Deze servers mogen e-mail versturen"
4. Verificatie
   Komt de e-mail van een goedgekeurde server? ✓ of ✗
5. Beslissing
   ✓ = E-mail wordt geaccepteerd
   ✗ = E-mail wordt geweerd of in spam geplaatst

Een SPF Record Opbouwen

Een SPF record is een TXT record in je DNS. Het begint altijd met v=spf1 en eindigt met een policy (~all of -all).

Basis voorbeeld

v=spf1 mx ~all

Dit betekent:

• v=spf1 - Dit is een SPF record versie 1
• mx - Servers in je MX records mogen e-mail versturen
• ~all - Andere servers mogen het proberen (soft fail)

Uitgebreid voorbeeld

v=spf1 mx ip4:185.199.108.0/24 include:_spf.google.com ~all

Dit betekent:

• mx - Je eigen mailservers (uit MX records)
• ip4:185.199.108.0/24 - Een specifiek IP-adres bereik
• include:_spf.google.com - Google servers (bijv. als je Gmail gebruikt)
• ~all - Rest wordt niet vertrouwd

SPF Mechanismen Uitgelegd

Je kunt verschillende mechanismen gebruiken in je SPF record:

Mechanisme	Betekenis	Voorbeeld
mx	Mailservers uit je MX records	mx
a	Servers uit je A/AAAA records	a
ip4:	Specifiek IPv4 adres of bereik	ip4:203.0.113.5
ip6:	Specifiek IPv6 adres of bereik	ip6:2001:db8::1
include:	Verwijs naar SPF van ander domein	include:_spf.google.com

SPF Policy: ~all vs -all

Het einde van je SPF record bepaalt wat er moet gebeuren met e-mail van niet-goedgekeurde servers:

• ~all (Soft Fail) - Aanbevolen voor beginners
  "E-mail van andere servers is verdacht, maar accepteer ze wel (mogelijk in spam)"
• -all (Hard Fail) - Strengste beveiliging
  "E-mail van andere servers moet worden geweigerd"
• ?all (Neutral) - Niet aanbevolen
  "Ik heb geen mening over andere servers"
• +all (Pass) - Nooit gebruiken!
  "Iedereen mag e-mail versturen vanaf mijn domein" (geen beveiliging)

SPF Instellen: Stap voor Stap

Stap 1: Identificeer je mailservers

Maak een lijst van alle diensten die e-mail versturen vanaf jouw domein:

• Je eigen mailserver (check je MX records)
• Google Workspace / Gmail
• Microsoft 365 / Outlook
• Nieuwsbriefsoftware (Mailchimp, Sendinblue, etc.)
• CRM systemen (Salesforce, HubSpot, etc.)
• Website contactformulieren

Stap 2: Bouw je SPF record

Voorbeeld voor een bedrijf met Google Workspace en Mailchimp:

v=spf1 include:_spf.google.com include:servers.mcsv.net ~all

Stap 3: Voeg het record toe aan je DNS

Log in bij je DNS provider en maak een nieuw TXT record:

• Naam/Host: @ of jouwdomein.nl
• Type: TXT
• Waarde: Je SPF record
• TTL: 3600

Stap 4: Test je SPF record

Gebruik onze gratis domein scanner om te controleren of je SPF correct is ingesteld.

Veelgemaakte Fouten

• Meer dan 10 DNS lookups
  SPF heeft een limit van 10 DNS lookups. Elk include: telt mee. Bij overschrijding faalt SPF.
• Meerdere SPF records
  Slechts één SPF record toegestaan per domein. Meerdere records breken SPF.
• Direct -all gebruiken
  Begin met ~all en test eerst grondig voordat je overschakelt naar -all.
• Vergeten diensten
  Vergeet niet om CRM, nieuwsbrief tools en andere e-mail diensten toe te voegen.
• Oude IP-adressen niet verwijderen
  Als je van hosting wisselt, vergeet niet oude IP-adressen te verwijderen.

Veelvoorkomende SPF Includes

Hier zijn SPF includes voor populaire e-mail diensten:

Dienst	SPF Include
Google Workspace / Gmail	include:_spf.google.com
Microsoft 365 / Outlook	include:spf.protection.outlook.com
Mailchimp	include:servers.mcsv.net
SendGrid	include:sendgrid.net
Amazon SES	include:amazonses.com

SPF en DMARC

SPF werkt het beste in combinatie met DMARC. DMARC gebruikt SPF om te bepalen wat er moet gebeuren met e-mails die de SPF check niet doorstaan.

Veelgestelde Vragen

Wat gebeurt er als ik geen SPF heb?

Je e-mails werken nog, maar:

• Grotere kans op spam classificatie
• Criminelen kunnen makkelijker je domein misbruiken
• Ontvangers kunnen je e-mails niet verifiëren
• DMARC werkt niet zonder SPF (en DKIM)

Kan ik SPF testen zonder risico?

Ja! Gebruik ~all (soft fail) in plaats van -all tijdens het testen. Zo worden e-mails niet direct geblokkeerd als er iets misgaat.

Hoe weet ik welke diensten ik moet toevoegen?

Controleer welke systemen e-mail versturen vanaf jouw domein:

• Check je MX records (mailservers)
• Lijst alle SaaS diensten die je gebruikt
• Kijk in je DMARC rapporten (als je die ontvangt)
• Test door testmails te versturen en te controleren

Samenvatting

SPF is een essentieel onderdeel van e-mail beveiliging dat:

• Voorkomt dat anderen namens jouw domein e-mail versturen
• De kans verkleint dat je e-mails in spam belanden
• Samen met DKIM en DMARC een complete beveiliging biedt
• Relatief eenvoudig is in te stellen als DNS record