E-mail spoofing is een van de meest voorkomende vormen van cybercrime. Criminelen versturen e-mails die eruitzien alsof ze van jouw organisatie komen — met jouw domeinnaam als afzender. Het resultaat: phishing-aanvallen op je klanten, reputatieschade en e-mails die in spamfolders belanden. Een correct ingesteld SPF record is je eerste verdedigingslinie.
Wat is SPF?
SPF staat voor Sender Policy Framework. Het is een DNS-record (een TXT-record) dat aangeeft welke mailservers namens jouw domein e-mails mogen versturen. Wanneer een ontvangende mailserver een e-mail krijgt van @jouwdomein.nl, controleert die server het SPF record. Staat de verzendende server erin? Dan is de e-mail legitiem. Zo niet? Dan wordt de e-mail als verdacht gemarkeerd of geweigerd.
Denk aan SPF als een gastenlijst bij de ingang van een evenement. Alleen de namen op de lijst (jouw geautoriseerde mailservers) mogen naar binnen. Iedereen die er niet opstaat, wordt geweigerd.
Hoe ziet een SPF record eruit?
Een SPF record is een TXT-record in je DNS-configuratie. Hier is een echt voorbeeld — het SPF record van cobytes.com:
v=spf1 include:spf.protection.outlook.com include:spf.yourhost.email include:_spf.google.com ~all
Laten we dit ontleden:
- v=spf1 — Dit geeft aan dat het een SPF record is (versie 1).
- include:spf.protection.outlook.com — Microsoft 365 mag namens ons domein mailen.
- include:spf.yourhost.email — Onze hostinginfrastructuur mag mailen (bijvoorbeeld voor formulieren op de website).
- include:_spf.google.com — Google Workspace mag mailen (als je dat ook gebruikt).
- ~all — De tilde (~) betekent “soft fail”: alle servers die niet in de lijst staan worden als verdacht gemarkeerd, maar de e-mail wordt nog wel afgeleverd. Dit is de aanbevolen instelling tijdens het instellen en testen. Met
-all (hard fail, zonder tilde) worden ongeautoriseerde e-mails direct geweigerd.
SPF instellen: stap voor stap
Stap 1: Inventariseer je mailservers
Voordat je een SPF record aanmaakt, moet je weten welke systemen namens jouw domein e-mail versturen. Denk aan:
- Je primaire e-mailprovider (Microsoft 365, Google Workspace, een eigen mailserver)
- Je website (contactformulieren, orderbevestigingen)
- Marketingtools (Mailchimp, ActiveCampaign, HubSpot)
- Transactionele e-mail (SendGrid, Postmark, Amazon SES)
- CRM-systemen die namens je domein mailen
- Ticketsystemen (Jira Service Desk, Freshdesk)
Tip: vergeet niet je e-mail filtering service. Als je SpamExperts of een vergelijkbare oplossing gebruikt, moet die ook in je SPF staan — anders worden doorgestuurde mails als ongeldig gezien.
Stap 2: Bouw je SPF record op
Begin altijd met v=spf1 en eindig met een ~all (soft fail, aanbevolen tijdens testen) of -all (hard fail, aanbevolen voor productie). Voeg voor elke mailservice een include: toe. Hier zijn de meest voorkomende:
# Microsoft 365
include:spf.protection.outlook.com
# Google Workspace
include:_spf.google.com
# Mailchimp
include:servers.mcsv.net
# SendGrid
include:sendgrid.net
# Amazon SES
include:amazonses.com
# SpamExperts / e-mail filtering
include:spf.yourhost.email
Stel dat je Microsoft 365 gebruikt voor zakelijke e-mail en Mailchimp voor nieuwsbrieven, dan wordt je SPF record:
v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net ~all
De ~all aan het einde is bewust: begin met soft fail terwijl je test of alle services correct in je SPF staan. Zodra je zeker bent, kun je overschakelen naar -all voor maximale bescherming.
Stap 3: Voeg het toe aan je DNS
Log in bij je DNS-provider of hostingpartij en maak een nieuw TXT-record aan:
- Type: TXT
- Naam/Host: @ (of leeg, afhankelijk van je provider)
- Waarde: je volledige SPF record
- TTL: 3600 (1 uur) of de standaardwaarde
Belangrijk: je mag maar één SPF record per domein hebben. Als er al een SPF record bestaat, moet je de nieuwe bronnen toevoegen aan het bestaande record — niet een tweede record aanmaken.
Stap 4: Controleer je SPF record
Na het instellen wil je controleren of alles correct werkt. Gebruik het dig commando in je terminal:
dig TXT jouwdomein.nl +short
Je zou je SPF record moeten zien verschijnen. Hier is hoe dat eruitziet voor cobytes.com:
$ dig TXT cobytes.com +short
"v=spf1 include:spf.protection.outlook.com include:spf.yourhost.email include:_spf.google.com ~all"
Je kunt ook online tools gebruiken om je SPF te valideren. Check of er geen fouten of waarschuwingen zijn voordat je het record als definitief beschouwt.
Veelgemaakte fouten bij SPF
1. Meerdere SPF records
De meest voorkomende fout: twee TXT-records die beide met v=spf1 beginnen. Dit maakt je SPF ongeldig. De oplossing is alles in één record te combineren.
2. Te veel DNS lookups
SPF heeft een limiet van maximaal 10 DNS lookups. Elke include: telt als een lookup, en geneste includes tellen ook mee. Als je boven de 10 komt, faalt je SPF record volledig. Dit is een veelvoorkomend probleem bij organisaties die veel SaaS-tools gebruiken.
Oplossingen voor de 10-lookup limiet:
- Gebruik
ip4: of ip6: voor vaste IP-adressen in plaats van includes
- Verwijder includes van services die je niet meer gebruikt
- Gebruik SPF flattening tools die alle includes omzetten naar directe IP-adressen
3. Vergeten services
Je website stuurt een contactformulier via de webserver, maar die server staat niet in je SPF. Resultaat: formulierberichten belanden in spam. Inventariseer alle systemen die mailen — niet alleen je primaire mailserver.
4. ~all vs -all: welke kies je?
~all (soft fail) markeert ongeautoriseerde e-mails als verdacht maar levert ze nog wel af. -all (hard fail) weigert ze direct. Ons advies:
- Start met
~all terwijl je test of alles correct werkt
- Schakel over naar
-all zodra je zeker weet dat alle legitieme bronnen in je SPF staan
SPF alleen is niet genoeg
SPF is een essentieel onderdeel van e-mailbeveiliging, maar het werkt het beste in combinatie met twee andere protocollen:
- DKIM (DomainKeys Identified Mail) — voegt een digitale handtekening toe aan je e-mails, zodat ontvangers kunnen verifiëren dat de inhoud niet is gewijzigd onderweg.
- DMARC (Domain-based Message Authentication, Reporting and Conformance) — vertelt ontvangende servers wat ze moeten doen als SPF of DKIM faalt, en geeft je rapportages over misbruik van je domein.
Samen vormen SPF, DKIM en DMARC de drie pijlers van e-mailauthenticatie. Bij Cobytes configureren we deze drie standaard voor al onze hosting- en werkplekbeheerklanten. Wij gebruiken bovendien SpamExperts e-mail filtering als extra beveiligingslaag, die inkomende en uitgaande e-mail scant op spam, malware en phishing.
Waarom dit ertoe doet
Zonder correct ingestelde e-mailauthenticatie loop je concrete risico’s:
- Reputatieschade — phishing-mails onder jouw naam schaden het vertrouwen van je klanten
- Deliverability — zonder SPF belanden je eigen legitieme e-mails vaker in spam
- Compliance — steeds meer sectoren (overheid, financieel, onderwijs) eisen aantoonbare e-mailbeveiliging
- Google en Yahoo eisen — sinds 2024 vereisen Gmail en Yahoo SPF en DKIM voor bulkmailers. Zonder deze records worden je e-mails geweigerd.
Hulp nodig bij het instellen van SPF?
SPF correct instellen klinkt eenvoudig, maar in de praktijk lopen organisaties vaak tegen de DNS lookup-limiet aan, vergeten ze services, of maken ze het record ongeldig door dubbele entries. Bij Cobytes Managed Hosting beheren wij de volledige DNS-configuratie van onze klanten, inclusief SPF, DKIM en DMARC. We draaien onze eigen nameservers en DNS-infrastructuur, waardoor we snel en flexibel kunnen schakelen.
Meer over website security
Wil je je e-mailbeveiliging laten doorlichten of hulp bij het instellen? Neem contact met ons op — we helpen je graag.
keuzehulp
