Wat is een SPF record precies?

Gewijzigd op Mon, 13 Feb 2023 om 03:54 PM

Wordt jouw e-mail als spam gemarkeerd? Of wil je een externe dienst gebruiken voor het versturen van e-mail? Dan zul je vroeg of laat horen dat je een SPF-record moet aanmaken of aanpassen.


Wat is een SPF-record

Eenvoudig gezegd, een SPF-record is een TXT-record in je DNS dat je kunt zien als een lijst van servers dat e-mail mag versturen namens je domein. Wanneer er toch e-mail verzonden wordt vanuit servers dat niet op de SPF-record zijn opgenomen, dan zal deze e-mail sneller als spam gemarkeerd worden.

Dit record bestaat dus om te voorkomen dat iemand e-mail verstuurt namens jouw domein, zonder dat ze daarvoor gemachtigd zijn.


Hoe is een SPF-record opgebouwd

Hieronder kijken we eens naar hoe een eenvoudig SPF-record eruitziet in Mijn Oxilion. Om je op weg te helpen is onderstaand het SPF-record dat je bij ons standaard krijgt wanneer je een domeinnaam registreert.

A screenshot of a cell phone

Description automatically generated

Je ziet de waarde "v=spf1 a mx ?all”

Als je nog nooit met een SPF-record gewerkt hebt, zal dit je wellicht niets zeggen.

Een SPF bestaat uit drie onderdelen. Op deze onderstaande afbeelding zie je deze gesplitst in het rood, blauw en groen.

A close up of a logo

Description automatically generated

Protocol

In het rood, is het protocol. Dit is altijd de start van het SPF-record. V=spf1
Dit is simpelweg een indicatie dat je TXT-record een SPF-record is. SPF-protocol versie 1.


Includes

In het blauw, is de inhoud. Dit noemen we de includes. De includes zijn referenties naar servers via DNS referenties welke e-mail mag verzenden namens je domein. In dit geval staat er a mx. Dit zijn twee losse includes. Een referentie naar het A-record van je domein, en een referentie naar het MX-record van je domein.


Wat het betekent, is dat de server achter je A-record mag e-mailen, en de server achter je MX-record. Bij ons is dat over het algemeen via het A-record de server van je hostingpakket, en het MX-record ons spamfilter.


Wanneer ons anti spam cluster niet je MX-record is, kun je ook include:spf.mail-scanner.eu gebruiken.

Er bestaan nog meer includes die verderop in deze handleiding besproken worden. 


All

In het groen is het “All” mechanisme. Hiermee kun je een aanduiding geven hoe streng er naar het SPF-record moet worden gekeken. Ons eigen record eindigt met een ?all mechanisme dat geen strenge aanduiding is.


Er bestaan vier aanduidingen.

AanduidingBenamingStrengheidsgraadFunctie
+allPassGeenLaat alles door
?allNeutraalMinst strengGeen verplicht beleid
~allSoft FailStrengMails welke niet voldoen markeren als spam
-allFailStrengstMails welke niet voldoen weigeren


Hoewel de realiteit wat genuanceerder ligt, kun je het zien als “niets, minst streng, strenger, strengst”.


In de praktijk mag een ontvanger zelf bepalen wat ze met een ontvangen e-mail doen. Bij bijvoorbeeld Gmail en Hotmail wordt een e-mail vaak al geweigerd als een e-mail niet aan een neutral ?all e-mail voldoet, waar anderen zelfs “Soft fail” e-mails accepteren, maar in de ongewenst folder zetten.


Je zou een aanduiding als +all en ?all als “niet zo nuttig” kunnen zien. Echter brengt het strenger zetten ook weer nadelen met zich mee. Als een eindgebruiker zijn SMTP-instellingen in zijn mailprogramma bijvoorbeeld niet correct instelt, wil hij nog wel eens e-mails versturen via de servers van zijn eigen internetprovider. Deze zouden met een strenge SPF erg makkelijk geweigerd worden.


Als iedereen zich correct aan de regels houdt, kun je makkelijk met de strengste SPF wegkomen. Maar gaan alle gebruikers van je domein dit doen? Dat is nog maar de vraag.

 

Extra includes

Een belangrijke include is include:spf.mail-scanner.eu. Deze is van ons spamfilter.


Het is mogelijk dat je nog meer maildiensten wilt gebruiken, buiten die van ons, Office of Gmail. Zo zou je bijvoorbeeld nieuwsbrieven kunnen versturen via bijvoorbeeld Mailgun, La Posta, Mailchimp of zelfs je eigen server.


Je kunt meerdere diensten toevoegen aan een SPF-record wanneer gewenst.


Hieronder een voorbeeld van een SPF-record dat zowel de website van een domein (a) e-mails kan laten versturen, Gmail, Office365, mailgun én een eigen IP adres van 255.255.255.255.


"v=spf1 a include:_spf.google.com include:spf.protection.outlook.com include:mailgun.org ip4:255.255.255.255 ?all”


Dit is in principe een geldig record, maar je moet niet te hard van stapel lopen, je SPF-record mag maar 10 DNS verwijzingen hebben. Met een externe SPF-checker kun je zien of je SPF-record voldoet aan de eisen. Bijvoorbeeld MX Toolbox.


Voorbeelden van bestaande SPF-records

Hieronder geven we je een aantal voorbeelden van veelvoorkomende SPF-records, en ook een paar gecombineerde SPF-records. Wanneer je genoeg SPF-records naast elkaar ziet, snap je vaak zelf ook hoe je er toevoegingen aan maakt.

 

SPF-record dat alleen Office365 toelaat om te mailen, zoals Microsoft deze standaard aanbeveelt:

"v=spf1 include:spf.protection.outlook.com -all”

 

SPF-record dat alleen Google Mail toestaat om te e-mailen:

"v=spf1 include:_spf.google.com -all”

SPF-Record dat zowel Google En Office365 toestaat om te mailen. Je kunt zien hoe dit gewoon één SPF-record is, met de beide includes van de vorige twee voorbeelden.

"v=spf1 include:spf.protection.outlook.com include:_spf.google.com -all”

 

Hieronder een voorbeeld van een SPF-record dat veel bij ons voorkomt. Ons spamfilter en Office365. Dit is een typisch record wanneer iemand e-mail van Office365 heeft, maar tegelijkertijd ook een hostingpakket met een website dat een contactformulier heeft dat mails kan versturen.

"v=spf1 include:spf.protection.outlook.com include:spf.mail-scanner.eu -all”

 

Heb je een maildienst op het oog dat we hier niet besproken hebben? De klantenservice van een dergelijke maildienst zal vaak een handleiding hebben met een instructie waarin staat hoe de SPF include van die dienst eruit ziet.

 

Limitaties van het SPF-record op een rij

Er zitten enkele regels en beperkingen aan een SPF-record. We zetten deze hier even op een rij:

  1. Je SPF-record mag maar maximaal 255 tekens lang zijn. Dit kun je omzeilen door een verwijzing te maken naar een extra SPF-record, maar dit brengt weer een DNS lookup met zich mee.
  2. Je mag maar maximaal 10 DNS lookups invullen. Dit is dus inclusief SPF-toevoegingen welke verwijzen naar andere DNS records, die op zichzelf weer naar andere records verwijzen.
  3. Een SPF-record in combinatie met e-mail forwarders gaat ook vaak mis. E-mail forwarders zijn op zichzelf al onbetrouwbaar, omdat ze op spam lijken, maar wanneer ook de SPF van het domein van een geforwarde e-mail bekeken wordt, zal deze er vaak niet aan voldoen.
  4. Je mag maar één SPF-record hebben op een gegeven (sub)domein. Een spamfilter zal naar één SPF-record kijken en niet verder. Heb je er meerdere? Dan krijg je een e-mail werkt soms wel / soms niet ervaring.

 

Met de SPF-checker van MX Toolbox kan je eenvoudig nagaan of het ingestelde SPF-record voldoet aan de eisen.

Was dit artikel nuttig?

Dat is fantastisch!

Hartelijk dank voor uw beoordeling

Sorry dat we u niet konden helpen

Hartelijk dank voor uw beoordeling

Laat ons weten hoe we dit artikel kunnen verbeteren!

Selecteer tenminste een van de redenen
CAPTCHA-verificatie is vereist.

Feedback verzonden

We stellen uw moeite op prijs en zullen proberen het artikel te verbeteren