LettermintLettermint
InloggenGratis starten
Back Terug naar 'Betekenissen'
Betekenissen

Wat is SPF?

Laatst bijgewerkt:

Naast de DMARC-record die we uitleggen in ons 'Wat is DMARC?' artikel, is een SPF-record ook een bekende in de wereld van e-mail. Het SPF-record kun je zien als aansluiting op DMARC. Het laat zien welke servers onder jouw domein e-mails mogen sturen. Bij Lettermint gebruiken SPF op een iets andere manier om transactional e-mails te versturen. Wat SPF is, en hoe we dit gebruiken bij Lettermint leggen we uit in dit artikel.

Wat is SPF

SPF staat voor Sender Policy Framework. Het is een e-mailverificatiemethode die in 2006 is ontwikkeld om e-mailspoofing tegen te gaan. Met een SPF-record bepaal je welke mailservers e-mails mogen versturen namens jouw domein.

Zie het als een lijst met goedgekeurde afzenders. Als iemand een e-mail stuurt vanuit jouw domein, controleert de ontvangende mailserver deze lijst. Staat de verzendende server op de lijst? Dan is de e-mail toegestaan. Zo niet, dan kan de mailserver de e-mail weigeren of als spam markeren.

SPF werkt samen met DMARC om je domein te beschermen. Waar DMARC het beleid bepaalt, zorgt SPF voor de technische controle van de verzendende servers. Deze combinatie maakt het voor kwaadwillenden lastig om zich voor te doen als jouw bedrijf.

Hoe werkt SPF

SPF werkt via het DNS-systeem. Wanneer een mailserver een e-mail ontvangt, voert deze de volgende stappen uit:

  1. De server kijkt naar het domein van de afzender (het deel na @ in het e-mailadres)
  2. Vervolgens vraagt de server het SPF-record op uit de DNS van dat domein
  3. De server controleert of het IP-adres van de verzendende server in het SPF-record staat
  4. Op basis van deze controle wordt de e-mail geaccepteerd, geweigerd of als spam gemarkeerd

Dit proces gebeurt automatisch en binnen enkele seconden. Daarom is het zo belangrijk dat je SPF correct instelt. Één foutje en je belangrijke e-mails komen mogelijk niet meer aan - dat wil je natuurlijk niet.

Hoe stel je SPF in

Een SPF-record is een TXT-record in je DNS. Het begint altijd met v=spf1 en eindigt met een actie die aangeeft wat er moet gebeuren met servers die niet in de lijst staan.

Een eenvoudig SPF-record ziet er zo uit:

      v=spf1 include:_spf.google.com -all

Dit record geeft aan dat alleen Google e-mails mag versturen namens je domein. De -all aan het einde betekent dat andere servers worden afgewezen (hard fail).

SPF mechanismen en modifiers

SPF gebruikt twee soorten instructies: mechanismen en modifiers.

Mechanismen zijn de regels die bepalen welke servers e-mails mogen versturen. Ze worden van links naar rechts uitgevoerd en stoppen zodra er een match is gevonden. Dit zijn de belangrijkste mechanismen:

MechanismeBeschrijvingVoorbeeld
includeVoeg SPF-record van ander domein toeinclude:_spf.lettermint.co
ip4Sta specifiek IPv4-adres toeip4:192.168.1.1
ip6Sta specifiek IPv6-adres toeip6:2001:db8::1
aSta A-record van domein toea:mail.example.com
mxSta MX-servers van domein toemx:example.com
allMatch alle adressen~all, -all, +all

Modifiers zijn optionele instructies die extra informatie geven maar niet direct bepalen of een server mag verzenden. De belangrijkste modifier is all, die aan het einde van je SPF-record staat:

  • -all (hard fail): Weiger e-mails van niet-geautoriseerde servers
  • ~all (soft fail): Markeer als verdacht maar lever wel af
  • +all (pass): Accepteer alle e-mails (niet aanbevolen)
  • ?all (neutral): Geen oordeel

Andere modifiers zijn redirect (verwijs naar SPF-record van ander domein) en exp (geef uitleg bij een fail), maar deze worden zelden gebruikt.

SPF limieten

SPF kent enkele technische beperkingen waar je rekening mee moet houden:

  • Maximaal 1 SPF-record per domein
    Je kunt maar één SPF-record hebben in je DNS. Meerdere SPF-records maken je configuratie ongeldig. Alle diensten moeten daarom in dit ene record worden opgenomen.
  • Maximaal 10 DNS-lookups per SPF-controle
    Een DNS-lookup is een vraag aan het DNS-systeem om informatie op te halen. Elke keer dat je include, a, mx, exists of redirect gebruikt, telt dit als een lookup. De ontvangende mailserver mag maximaal 10 van deze vragen stellen om je SPF-record te controleren.
  • SPF-record mag maximaal 255 tekens per regel bevatten
    Bij langere records moet je deze opsplitsen in meerdere regels.
  • Bij meerdere regels: maximaal 512 tekens totaal
    Dit is de absolute limiet voor de totale lengte van je SPF-record.
  • Maximaal 2 void lookups toegestaan
    Een void lookup is een DNS-vraag die geen resultaat oplevert. Te veel mislukte lookups maken je SPF-record ongeldig.

Deze limieten zijn belangrijk als je meerdere diensten gebruikt. Elke include telt als een DNS-lookup. Bij teveel lookups mislukt de SPF-controle.

Let op: Tel je includes goed! Overschrijd je de 10 DNS-lookups, dan kan je SPF-record ongeldig worden en komen e-mails mogelijk niet aan.

SPF instellen

Plaats je SPF-record als TXT-record in de DNS van je domein. Voor het domein example.com plaats je het record direct op example.com, niet op een subdomein zoals bij DMARC.

Gebruik je meerdere e-maildiensten? Voeg ze allemaal toe aan één SPF-record. Je kunt maar één SPF-record per domein hebben.

Voorbeeld met meerdere diensten:

      v=spf1 include:_spf.google.com include:zoho.eu -all

Cloudflare DNS instellingen

SPF bij Lettermint

Bij Lettermint doen we het anders. We gebruiken een slimme oplossing om de bekende SPF-limieten te omzeilen: de Return-Path methode. In plaats van dat je include:_spf.lettermint.co moet toevoegen aan je SPF-record, passen we een andere techniek toe.

Hoe werkt Return-Path?

Wanneer Lettermint een e-mail verstuurt namens jouw domein, gebruiken we een speciale Return-Path. Dit is het adres waar foutmeldingen (bounces) naartoe worden gestuurd. Door een Return-Path te gebruiken die eindigt op lettermint.co, controleert de ontvangende mailserver het SPF-record van Lettermint in plaats van jouw domein.

Dit betekent dat:

  • Je geen include voor Lettermint hoeft toe te voegen aan je SPF-record
  • Je onder de 10 DNS-lookups limiet blijft
  • Je bestaande SPF-configuratie intact blijft
  • E-mails nog steeds correct worden geauthenticeerd

Return-Path is een officiële SPF-techniek die door grote e-mailproviders wordt gebruikt. Je e-mails blijven volledig geauthenticeerd en veilig.

Waarom deze aanpak?

Veel van onze klanten gebruiken meerdere e-maildiensten. Door de Return-Path methode te gebruiken, voorkomen we dat je tegen SPF-limieten aanloopt. Je kunt Lettermint gebruiken naast Google Workspace, Microsoft 365 of andere diensten zonder je zorgen te maken over het maximum aantal DNS-lookups.

Wanneer je een domein toevoegt aan Lettermint, vragen we je om drie DNS-records toe te voegen: DMARC, DKIM en een bounce-record. Deze zorgen samen met onze Return-Path configuratie voor een correcte e-mailauthenticatie, zonder dat je SPF-record hoeft aan te passen.

SPF Check

Controleer hieronder of je domein een geldig SPF heeft. Let op: Lettermint gebruikt Return-Path voor authenticatie, dus komt niet voor in deze check.

SPF Checker

Conclusie

SPF is een essentieel onderdeel van e-mailbeveiliging. Het werkt samen met DMARC om je domein te beschermen tegen misbruik. Bij Lettermint zorgen we dat je configuratie optimaal blijft werken via onze Return-Path implementatie, zonder dat je tegen technische limieten aanloopt.

Een goed ingericht SPF (ook via Return-Path) zorgt ervoor dat:

  • Je e-mails betrouwbaar aankomen
  • Kwaadwillenden je domein niet kunnen misbruiken
  • Mailservers je e-mails als legitiem herkennen

Test na het instellen altijd je SPF met onze SPF Checker. Zo weet je zeker dat alles correct werkt. Want uiteindelijk draait het allemaal om één ding: dat jouw e-mails veilig aankomen waar ze moeten zijn.

Meer hulp nodig?

Kun je niet vinden wat je zoekt?

Kun je de informatie die je zoekt niet vinden? Neem gerust contact met ons op. We helpen je graag verder met je vragen.

Neem contact op
Vraag het op Discord