SPF-record instellen: e-mail authenticeren tegen spoofing

Een SPF-record (Sender Policy Framework) is een TXT-record in uw DNS waarmee u vastlegt welke mailservers namens uw domein e-mail mogen versturen. Zonder een correct SPF-record komen uw e-mails vaker in de spammap terecht of worden ze geweigerd, en kunnen kwaadwillenden eenvoudiger e-mail versturen die zich voordoet als afkomstig van uw bedrijf. Deze handleiding legt stap voor stap uit hoe SPF werkt, hoe u een correct record opstelt en hoe u het instelt en test.

Probleem

Uitgaande e-mail van uw domein belandt in de spam, wordt geweigerd, of derden kunnen e-mail versturen die zich voordoet als afkomstig van uw domein (spoofing). Ontvangende mailservers kunnen niet verifiëren of uw mailserver gemachtigd is om namens uw domein te verzenden, waardoor uw e-mail als verdacht wordt behandeld. Dit schaadt zowel de aflevering als de reputatie van uw domein.

Oorzaak

Het ontbreken van een SPF-record, of een onjuist opgesteld SPF-record, is de meest voorkomende oorzaak. Ontvangende servers (zoals die van Gmail en Outlook) controleren bij binnenkomst of de verzendende server in het SPF-record van het afzenderdomein staat. Staat de server er niet in, of is het record fout, dan faalt de SPF-controle en wordt de mail gemarkeerd of geweigerd.

Veelvoorkomende fouten zijn: meerdere SPF-records op één domein (slechts één is toegestaan), het overschrijden van de limiet van tien DNS-lookups, of het vergeten van een verzendende dienst zoals Microsoft 365, een nieuwsbriefdienst of de mailfunctie van uw website.

Soms is er wel een SPF-record, maar staat dit nog ingesteld voor een oude mailprovider na een migratie. Het record verwijst dan naar servers die niet meer gebruikt worden, terwijl de nieuwe verzendende dienst ontbreekt.

Oplossing

U lost dit op door precies één SPF-record als TXT-record toe te voegen in het DNS-beheer van uw domein, met daarin alle diensten die namens u mogen verzenden.

Een SPF-record begint altijd met v=spf1, gevolgd door één of meer mechanismen die verzenders toestaan, en eindigt met een policy-mechanisme. Met include verwijst u naar het SPF-beleid van een dienst; met a en mx machtigt u respectievelijk het A-record en de mailservers van uw domein; met ip4 of ip6 machtigt u een specifiek IP-adres.

Sluit het record af met een all-mechanisme dat bepaalt wat er met niet-gemachtigde servers gebeurt. Gebruik -all (hard fail) om die strikt te weigeren, of ~all (soft fail) om ze als verdacht te markeren zonder ze direct te blokkeren.

Een voorbeeld voor een domein dat uitsluitend via Microsoft 365 verzendt: v=spf1 include:spf.protection.outlook.com -all. Verzendt u ook via een externe nieuwsbriefdienst, voeg dan het door die dienst opgegeven include-mechanisme toe, bijvoorbeeld: v=spf1 include:spf.protection.outlook.com include:_spf.nieuwsbrief.nl -all.

Stappenplan

1. Inventariseer welke diensten namens uw domein e-mail versturen (bijvoorbeeld Microsoft 365, een nieuwsbriefdienst, een CRM-systeem en de mailfunctie van uw website).
2. Log in op het DNS-beheer van uw domein, meestal bij uw hostingpartij of domeinregistrar.
3. Controleer of er al een SPF-record bestaat: een TXT-record met een waarde die begint met v=spf1. Bestaat dit, pas het dan aan in plaats van een tweede record toe te voegen.
4. Stel uw SPF-waarde samen op basis van uw inventarisatie, bijvoorbeeld: v=spf1 include:spf.protection.outlook.com -all.
5. Maak (of bewerk) een TXT-record met als host of naam @ (of de domeinnaam zelf) en als waarde uw volledige SPF-string.
6. Sla het record op en wacht op DNS-propagatie; dit duurt meestal enkele minuten tot enkele uren, afhankelijk van de TTL.
7. Controleer het record met een online SPF-checktool of stuur een testmail naar een Gmail-adres en bekijk in de berichtkoppen of er SPF=pass staat.
8. Stel zo nodig bij: ontbreekt een dienst, voeg deze toe; faalt SPF door te veel lookups, overweeg dan SPF-flattening of het verminderen van includes.

Belangrijke regels en aandachtspunten

• Er mag per domein slechts één SPF-record bestaan; combineer alle diensten in dat ene record.
• Het record mag maximaal tien DNS-lookups veroorzaken; daarboven faalt SPF met een permerror.
• Gebruik -all voor maximale bescherming, of ~all als u soepeler wilt zijn tijdens het testen.
• De volledige SPF-string mag niet langer zijn dan 255 tekens per stringdeel; langere records moeten worden opgesplitst volgens de DNS-regels.
• SPF controleert alleen het envelope-from-adres, niet het zichtbare From-adres; daarom is een aanvulling met DKIM en DMARC essentieel.

SPF, DKIM en DMARC samen

SPF is één van de drie pijlers van e-mailauthenticatie. DKIM voegt een digitale handtekening toe waarmee de ontvanger de integriteit van het bericht controleert. DMARC vertelt ontvangende servers wat ze moeten doen wanneer SPF of DKIM faalt, en geeft u rapportages. Pas wanneer deze drie correct zijn ingesteld, is uw domein optimaal beschermd tegen misbruik en is de afleverbaarheid het hoogst.

Veelgemaakte fouten

• Twee of meer aparte SPF-records aanmaken; dit maakt SPF ongeldig. Combineer alles in één record.
• Een verzendende dienst vergeten, waardoor legitieme mail van die dienst de SPF-controle niet doorstaat.
• De limiet van tien DNS-lookups overschrijden door te veel include-mechanismen te gebruiken.
• Het record direct op -all zetten zonder te testen, waardoor legitieme mail onbedoeld wordt geweigerd.
• Een oud SPF-record van een vorige provider laten staan na een migratie.
• Te vroeg concluderen dat het niet werkt, voordat de DNS-propagatie is voltooid.

Samenvatting

Een SPF-record bepaalt welke mailservers namens uw domein mogen verzenden en helpt spam en spoofing te voorkomen. Voeg precies één TXT-record toe dat begint met v=spf1, neem alle verzendende diensten op via include-, a-, mx- of ip-mechanismen en sluit af met -all of ~all. Houd rekening met de limiet van tien lookups, test het record na propagatie en combineer SPF altijd met DKIM en DMARC voor volledige e-mailbescherming.

Komt u er niet uit? Plan een gratis strategiegesprek via https://www.bdmnl.nl/plan.