Wat is een SPF record? Uitleg, opbouw en instellen
Gepubliceerd op 17 juni 2026 7 min leestijd
Wat is een SPF record en hoe werkt het? Leer hoe je met een SPF record in je DNS spoofing tegengaat en je e-mail betrouwbaar afgeleverd krijgt.
Een SPF record is een korte regel in je DNS die vastlegt welke mailservers namens jouw domein e-mail mogen versturen. Ontvangende servers gebruiken die regel om te controleren of een bericht echt van jou komt en niet van een spammer die jouw domeinnaam misbruikt. In dit artikel lees je wat een SPF record precies is, hoe het werkt, hoe je er zelf een opstelt en welke fouten je beter kunt vermijden.
Wat is een SPF record?
SPF staat voor Sender Policy Framework. Het is een open standaard, vastgelegd in RFC 7208, die helpt om het vervalsen van afzenders (spoofing) en spam tegen te gaan. Met een SPF record publiceer je in je DNS een lijst van IP-adressen en servers die toestemming hebben om e-mail te versturen met jouw domein als afzender.
Technisch is een SPF record een speciaal opgemaakt TXT-record in je DNS-zone. Belangrijk om te weten: er is precies één SPF record per domein toegestaan. Staan er meerdere, dan kan de ontvanger de controle niet uitvoeren en levert dat een foutmelding op (een PermError). Je beleid telt dan niet meer mee.
Waarom is een SPF record belangrijk?
Zonder afzendercontrole kan in principe iedereen e-mail versturen die jouw domein als afzender toont. Dat maakt phishing en spoofing makkelijk. Een SPF record geeft ontvangende mailservers een betrouwbare manier om te controleren of een bericht van een toegestane server komt.
Daarnaast speelt SPF een grote rol in je e-mailaflevering. Mailservers vertrouwen geauthenticeerde berichten meer. Ontbreekt SPF of staat het verkeerd ingesteld, dan belandt je e-mail sneller in de spammap of wordt die geweigerd. SPF is dan ook een vast onderdeel van goede e-mailbeveiliging.
De grote partijen stellen het inmiddels als eis. Gmail en Yahoo vereisen sinds februari 2024 dat afzenders ten minste SPF of DKIM hebben ingesteld, en Microsoft volgde in 2025 voor Outlook en Hotmail. Grootverzenders die meer dan ongeveer 5.000 berichten per dag sturen, moeten SPF, DKIM en DMARC op orde hebben.
Hoe werkt een SPF record?
Wanneer een mailserver een bericht ontvangt, doorloopt die globaal deze stappen:
- De server leest de envelop-afzender van het bericht. Dat is het Return-Path (ook wel MAIL FROM), niet per se het zichtbare Van-adres dat jij in je mailprogramma ziet.
- Hij zoekt het SPF record op in de DNS van dat afzenderdomein.
- Hij vergelijkt het IP-adres van de verzendende server met de lijst in het SPF record.
- Op basis daarvan geeft hij een uitkomst terug, bijvoorbeeld pass (toegestaan) of fail (niet toegestaan).
Omdat SPF naar de envelop-afzender kijkt en niet naar het zichtbare Van-adres, kan een afzender het zichtbare adres soms alsnog vervalsen. Daarom combineer je SPF met DKIM en DMARC, die het zichtbare afzendadres meenemen.
Hoe ziet een SPF record eruit?
Een SPF record is één tekstregel die altijd begint met de versieaanduiding v=spf1, gevolgd door één of meer onderdelen (mechanismen) en een afsluitende all-regel. Een eenvoudig voorbeeld:
v=spf1 ip4:192.0.2.0/24 include:_spf.example.com ~all
Gebruik je bijvoorbeeld Google Workspace voor je e-mail, dan ziet de regel er vaak zo uit:
v=spf1 include:_spf.google.com ~all
Veelgebruikte mechanismen
Elk mechanisme beschrijft een groep servers die mag verzenden. De meestgebruikte zijn:
| Mechanisme | Betekenis |
|---|---|
ip4 / ip6 | Een specifiek IP-adres of bereik dat mag verzenden. |
a | De IP-adressen uit de A- en AAAA-records van het domein. |
mx | De servers uit de MX-records van het domein. |
include | Verwijst naar het SPF-beleid van een andere partij, bijvoorbeeld je hostingprovider of Google. |
all | Sluit de regel af en bepaalt wat er gebeurt met afzenders die niet in de lijst staan. |
De all-regel: -all of ~all
Voor het all-mechanisme zet je een teken dat bepaalt hoe streng je bent:
-all(hardfail): alles wat niet in je lijst staat, faalt hard en wordt meestal geweigerd.~all(softfail): zulke berichten worden gemarkeerd als verdacht, maar meestal niet geweigerd.?all(neutral): geen oordeel.+allstaat iedereen toe en moet je nooit gebruiken.
Een veilige aanpak is om te starten met ~all terwijl je test, en over te stappen op -all zodra je zeker weet dat je lijst met afzenders compleet is.
Een SPF record instellen
Je stelt een SPF record in vier stappen in:
- Breng in kaart welke diensten namens jouw domein e-mail versturen: je mailserver, je hostingprovider, maar ook een nieuwsbrieftool, webshop of CRM-systeem.
- Stel één regel samen die met
v=spf1begint en al die afzenders dekt, meestal metincludevoor externe diensten enip4voor eigen servers. - Sluit af met
~alltijdens het testen, of met-allals je zeker weet dat de lijst klopt. - Publiceer de regel als één TXT-record op de root van je domein en wacht tot de wijziging in de DNS is verwerkt (de propagatie).
Test daarna met een proefbericht naar een ander mailadres, of met een online SPF-checker, en controleer of het resultaat pass is.
Veelgemaakte fouten
Een paar fouten kom je vaak tegen. Deze tabel helpt je ze te herkennen en op te lossen:
| Probleem | Oorzaak | Oplossing |
|---|---|---|
| PermError | Meerdere SPF records op hetzelfde domein. | Voeg alles samen tot één SPF record. |
| Too many DNS lookups | Meer dan tien DNS-opzoekingen in je record. | Beperk het aantal include-, a- en mx-onderdelen. |
| Legitieme mail faalt | Een afzender ontbreekt in de lijst. | Voeg de ontbrekende server of dienst toe. |
| Spoofing blijft mogelijk | Alleen SPF, zonder DKIM en DMARC. | Stel ook DKIM en DMARC in. |
Let vooral op de limiet van tien DNS-opzoekingen. De onderdelen include, a, mx, ptr, exists en de modifier redirect tellen allemaal mee. Kom je boven de tien, dan geeft de controle een PermError. Het ptr-mechanisme wordt bovendien afgeraden omdat het traag en onbetrouwbaar is.
SPF, DKIM en DMARC samen
SPF is een van de drie pijlers van moderne e-mailbeveiliging, maar het is geen complete oplossing. Een belangrijke beperking is dat SPF kan mislukken bij doorgestuurde e-mail: een tussenliggende server verstuurt jouw bericht dan vanaf een IP-adres dat niet in jouw SPF record staat.
Daarom vul je SPF aan met DKIM en DMARC. DKIM zet een digitale handtekening op je berichten die ook bij doorsturen overeind blijft. DMARC koppelt SPF en DKIM aan het zichtbare afzendadres en vertelt ontvangers wat ze met mislukte controles moeten doen. Veel ontvangers kijken daarnaast naar het PTR-record (reverse DNS) van het verzendende IP-adres. Dat staat los van het eerder genoemde ptr-mechanisme en wordt juist aanbevolen.
Met een correct SPF record zet je een belangrijke eerste stap naar betrouwbare e-mail en minder spoofing. Combineer het met DKIM en DMARC voor de beste bescherming. Kom je er niet uit? Neem dan contact op met support.
Veelgestelde vragen
Is een SPF record verplicht?
Het is geen wettelijke verplichting, maar in de praktijk vrijwel onmisbaar. Grote providers als Gmail, Yahoo en Microsoft verwachten sinds 2024 en 2025 dat afzenders SPF hebben ingesteld, en bij grotere volumes ook DKIM en DMARC. Zonder SPF belandt je e-mail sneller in de spam of wordt die geweigerd.
Kan ik meerdere SPF records hebben?
Nee. Per domein is maar één SPF record toegestaan. Heb je meerdere afzenders, voeg ze dan samen in één regel met meerdere include- en ip4-onderdelen. Meerdere losse SPF records leiden tot een PermError, waardoor de controle mislukt.
Wat betekenen ~all en -all?
De all-regel bepaalt wat er gebeurt met afzenders die niet in je lijst staan. Met ~all (softfail) worden zulke berichten als verdacht gemarkeerd, maar meestal wel afgeleverd. Met -all (hardfail) worden ze afgewezen. Begin met ~all en stap over op -all zodra je zeker weet dat je lijst compleet is.
Wat is het verschil tussen SPF, DKIM en DMARC?
SPF bepaalt welke servers namens jouw domein mogen verzenden. DKIM zet een digitale handtekening op je berichten. DMARC koppelt beide aan het zichtbare afzendadres en vertelt ontvangers wat ze met mislukte controles moeten doen. Samen vormen ze de basis van moderne e-mailbeveiliging.
Waarom faalt SPF soms bij doorgestuurde e-mail?
SPF controleert het IP-adres van de verzendende server tegen de envelop-afzender. Bij doorsturen verstuurt een tussenliggende server jouw bericht, en dat IP-adres staat meestal niet in jouw SPF record. Daardoor kan SPF mislukken. DKIM en DMARC vangen dit deels op.
Hoe controleer ik of mijn SPF record klopt?
Stuur een proefbericht naar een ander mailadres en bekijk in de berichtkoppen het SPF-resultaat (pass of fail), of gebruik een online SPF-checker. Zie je een PermError, dan wijst dat vaak op meerdere records of op te veel DNS-opzoekingen.