Wat is een SPF-record?

Wat doet een SPF-record?

Een SPF-record is een instelling in het DNS (Domain Name System) van je domein. Daarin staat welke e-mailservers e-mails mogen verzenden namens jouw domeinnaam.

Wanneer een e-mail binnenkomt, controleert de ontvangende server dit SPF-record. Staat de verzendende server er niet in? Dan weigert de server de mail vaak of markeert deze als spam. Hierdoor helpt een SPF-record actief mee om spoofing (misbruik van jouw domein) te voorkomen.

Wil je weten of jouw mail hierop goed ingesteld is? Gebruik dan onze gratis e-mail fraude checker. Zo zie je direct of jouw e-mail spoofing proof is.

Hoe werkt een SPF-record?

Een SPF-record heeft altijd een vaste opbouw en begint met het versienummer:

v=spf1 – dit is het verplichte begin van elk SPF-record.

Daarna volgen onderdelen (mechanismen) die bepalen welke servers e-mails mogen versturen.

Veelgebruikte mechanismen

• a of a:domein.com – het A-record van het domein is een geldige verzendbron. Je kunt een prefix toevoegen om een specifiek IP-bereik te definiëren.
  
• mx of mx:domein.com – staat de server in het MX-record, dan mag deze verzenden. Ook hier kun je een prefix gebruiken.
  
• ptr of ptr:domein – controleert of de reverse hostname overeenkomt met het verzendende IP-adres. Dit mechanisme wordt afgeraden vanwege prestatie- en beveiligingsrisico’s.
  
• ip4:adres of ip4:adres/prefix – dit IPv4-adres of bereik is toegestaan als verzendbron.
  
• ip6:adres of ip6:adres/prefix – dit IPv6-adres of bereik is toegestaan als verzendbron.
  
• include:domein.com – neemt het SPF-record van een ander domein over. Dit is handig bij externe maildiensten, bijvoorbeeld voor nieuwsbrieven of CRM-systemen.
  
• exists:domein – controleert of er een A-record bestaat voor het opgegeven domein, vaak samen met macros voor dynamische zoekopdrachten.
  
• all – dit mechanisme staat altijd aan het einde en bepaalt wat er gebeurt met alle andere bronnen die niet genoemd zijn.
  

Qualifiers bij het all-mechanisme

Bij all gebruik je een teken (qualifier) om beleid te bepalen:

• +all of alleen all – toegestaan (Pass)
  
• -all – niet toegestaan, de e-mail wordt geweigerd (Fail)
  
• ~all – niet toegestaan, maar vaak nog afgeleverd als spam (SoftFail)
  
• ?all – geen duidelijk beleid, de ontvangende server beslist (Neutral)
  

Modifiers (optioneel)

• redirect=domein.com – verwijst naar het SPF-record van een ander domein als geen mechanisme overeenkomt. Let op: dit mag niet samen met all gebruikt worden.
  

Beperking op DNS-lookups

Een belangrijk punt bij een SPF-record is de beperking van maximaal 10 DNS-lookups. Mechanismen zoals a, mx, ptr, include en exists tellen allemaal mee.

Ook geneste lookups tellen mee. Gebruik je bijvoorbeeld include en dat domein doet zelf meerdere lookups? Dan telt dat mee voor jouw limiet van 10.

Overschrijd je dit maximum, dan wordt jouw SPF-record ongeldig. Daardoor kunnen legitieme e-mails worden geweigerd.

Waarom is een SPF-record belangrijk?

Met een goed ingesteld SPF-record:

• vergroot je de kans dat e-mails correct worden afgeleverd
  
• bescherm je jouw domein tegen spoofing en phishing
  
• verhoog je de betrouwbaarheid van je maildomein
  

SPF, DKIM en DMARC samen

• SPF – controleert of de verzendende server geautoriseerd is
  
• DKIM – voegt een digitale handtekening toe om de inhoud te verifiëren
  
• DMARC – bouwt voort op SPF en DKIM en bepaalt wat er gebeurt als een bericht niet slaagt. Ook geeft DMARC rapportages over mislukte controles.
  

Samen vormen SPF, DKIM en DMARC een krachtige combinatie. Ze zorgen ervoor dat jouw e-mailcommunicatie veilig én betrouwbaar blijft.

Advies op maat

Ben je benieuwd hoe je jouw e-mailbeveiliging naar een hoger niveau kunt tillen met SPF, DKIM en DMARC? Voor meer informatie over het uitbesteden van werkplekbeheer klik hier. Wil je liever direct weten wat voor jouw organisatie de beste oplossing is, neem contact met ons op voor een vrijblijvend adviesgesprek.