---
title: "Wat is SPF?"
description: "SPF beschermt je domein tegen e-mailmisbruik. Leer hoe je SPF instelt, wat de limieten zijn en hoe Lettermint slim omgaat met SPF via Return-Path."
url: "https://lettermint.co/nl/kennisbank/definitions/wat-is-spf"
published: "2025-09-11"
last_updated: "2025-10-21"
---

# Wat is SPF?

> SPF beschermt je domein tegen e-mailmisbruik. Leer hoe je SPF instelt, wat de limieten zijn en hoe Lettermint slim omgaat met SPF via Return-Path.

Naast de DMARC-record die we uitleggen in ons '[Wat is DMARC?](https://lettermint.co/nl/kennisbank/definitions/wat-is-dmarc)'
artikel, is een SPF-record ook een bekende in de wereld van e-mail. Het
SPF-record kun je zien als aansluiting op DMARC. Het laat zien welke servers
onder jouw domein e-mails mogen sturen. Bij Lettermint gebruiken SPF op een
iets andere manier om [transactional e-mails](https://lettermint.co/nl/functies/transactional-emails) te
versturen. Wat SPF is, en hoe we dit gebruiken bij Lettermint leggen we uit
in dit artikel.

## Wat is SPF

SPF staat voor **Sender Policy Framework**. Het is een
e-mailverificatiemethode die in 2006 is ontwikkeld om e-mailspoofing tegen
te gaan. Met een SPF-record bepaal je welke mailservers e-mails mogen
versturen namens jouw domein.

Zie het als een lijst met goedgekeurde afzenders. Als iemand een e-mail
stuurt vanuit jouw domein, controleert de ontvangende mailserver deze lijst.
Staat de verzendende server op de lijst? Dan is de e-mail toegestaan. Zo
niet, dan kan de mailserver de e-mail weigeren of als spam markeren.

SPF werkt samen met DMARC om je domein te beschermen. Waar DMARC het beleid
bepaalt, zorgt SPF voor de technische controle van de verzendende servers.
Deze combinatie maakt het voor kwaadwillenden lastig om zich voor te doen
als jouw bedrijf.

### Hoe werkt SPF

SPF werkt via het DNS-systeem. Wanneer een mailserver een e-mail ontvangt,
voert deze de volgende stappen uit:

1. De server kijkt naar het domein van de afzender (het deel na @ in het
e-mailadres)
2. Vervolgens vraagt de server het SPF-record op uit de DNS van dat domein
3. De server controleert of het IP-adres van de verzendende server in het
SPF-record staat
4. Op basis van deze controle wordt de e-mail geaccepteerd, geweigerd of als
spam gemarkeerd

Dit proces gebeurt automatisch en binnen enkele seconden. Daarom is het
zo belangrijk dat je SPF correct instelt. Één foutje en je belangrijke
e-mails komen mogelijk niet meer aan - dat wil je natuurlijk niet.

## Hoe stel je SPF in

Een SPF-record is een TXT-record in je DNS. **Het begint altijd met v=spf1**
en eindigt met een actie die aangeeft wat er moet gebeuren met servers die
niet in de lijst staan.

Een eenvoudig SPF-record ziet er zo uit:

```dns-zone
v=spf1 include:_spf.google.com -all
```

Dit record geeft aan dat alleen Google e-mails mag versturen namens je
domein. De `-all` aan het einde betekent dat andere servers worden
afgewezen (hard fail).

### SPF mechanismen en modifiers

SPF gebruikt twee soorten instructies: **mechanismen** en **modifiers**.

**Mechanismen** zijn de regels die bepalen welke servers e-mails mogen
versturen. Ze worden van links naar rechts uitgevoerd en stoppen zodra er
een match is gevonden. Dit zijn de belangrijkste mechanismen:

| Mechanisme | Beschrijving                         | Voorbeeld                  |
| ---------- | ------------------------------------ | -------------------------- |
| include    | Voeg SPF-record van ander domein toe | include:_spf.lettermint.co |
| ip4        | Sta specifiek IPv4-adres toe         | ip4:192.168.1.1            |
| ip6        | Sta specifiek IPv6-adres toe         | ip6:2001:db8::1            |
| a          | Sta A-record van domein toe          | a:mail.example.com         |
| mx         | Sta MX-servers van domein toe        | mx:example.com             |
| all        | Match alle adressen                  | ~all , -all , +all         |

**Modifiers** zijn optionele instructies die extra informatie geven maar
niet direct bepalen of een server mag verzenden. De belangrijkste modifier
is `all`, die aan het einde van je SPF-record staat:

- `-all` (hard fail): Weiger e-mails van niet-geautoriseerde servers
- `~all` (soft fail): Markeer als verdacht maar lever wel af
- `+all` (pass): Accepteer alle e-mails (niet aanbevolen)
- `?all` (neutral): Geen oordeel

Andere modifiers zijn `redirect` (verwijs naar SPF-record van ander domein)
en `exp` (geef uitleg bij een fail), maar deze worden zelden gebruikt.

### SPF limieten

SPF kent enkele technische beperkingen waar je rekening mee moet houden:

- **Maximaal 1 SPF-record per domein**<br />


Je kunt maar één SPF-record hebben in je DNS. Meerdere SPF-records maken
je configuratie ongeldig. Alle diensten moeten daarom in dit ene record
worden opgenomen.
- **Maximaal 10 DNS-lookups per SPF-controle**<br />


Een DNS-lookup is een vraag aan het DNS-systeem om informatie op te halen.
Elke keer dat je `include`, `a`, `mx`, `exists` of `redirect` gebruikt,
telt dit als een lookup. De ontvangende mailserver mag maximaal 10 van
deze vragen stellen om je SPF-record te controleren.
- **SPF-record mag maximaal 255 tekens per regel bevatten**<br />


Bij langere records moet je deze opsplitsen in meerdere regels.
- **Bij meerdere regels: maximaal 512 tekens totaal**<br />


Dit is de absolute limiet voor de totale lengte van je SPF-record.
- **Maximaal 2 void lookups toegestaan**<br />


Een void lookup is een DNS-vraag die geen resultaat oplevert. Te veel
mislukte lookups maken je SPF-record ongeldig.

Deze limieten zijn belangrijk als je meerdere diensten gebruikt. Elke
`include` telt als een DNS-lookup. Bij teveel lookups mislukt de SPF-controle.

> **Note:** Let op: Tel je includes goed! Overschrijd je de 10 DNS-lookups, dan kan je
> SPF-record ongeldig worden en komen e-mails mogelijk niet aan.

### SPF instellen

Plaats je SPF-record als TXT-record in de DNS van je domein. Voor het domein
`example.com` plaats je het record direct op `example.com`, niet op een
subdomein zoals bij DMARC.

Gebruik je meerdere e-maildiensten? Voeg ze allemaal toe aan één SPF-record.
Je kunt maar één SPF-record per domein hebben.

Voorbeeld met meerdere diensten:

```dns-zone
v=spf1 include:_spf.google.com include:zoho.eu -all
```

![Cloudflare DNS instellingen](https://lettermint.co/content/knowledgebase/lettermint-spf-settings-cloudflare.webp)

## SPF bij Lettermint

Bij Lettermint doen we het anders. We gebruiken een slimme oplossing
om de bekende SPF-limieten te omzeilen: de Return-Path methode.
In plaats van dat je `include:_spf.lettermint.co` moet toevoegen aan je
SPF-record, passen we een andere techniek toe.

### Hoe werkt Return-Path?

Wanneer Lettermint een e-mail verstuurt namens jouw domein, gebruiken we een
speciale Return-Path. Dit is het adres waar foutmeldingen (bounces) naartoe
worden gestuurd. Door een Return-Path te gebruiken die eindigt op
`lettermint.co`, controleert de ontvangende mailserver het SPF-record van
Lettermint in plaats van jouw domein.

Dit betekent dat:

- Je geen `include` voor Lettermint hoeft toe te voegen aan je SPF-record
- Je onder de 10 DNS-lookups limiet blijft
- Je bestaande SPF-configuratie intact blijft
- E-mails nog steeds correct worden geauthenticeerd

> **Note:** Return-Path is een officiële SPF-techniek die door grote e-mailproviders
> wordt gebruikt. Je e-mails blijven volledig geauthenticeerd en veilig.

### Waarom deze aanpak?

Veel van onze klanten gebruiken meerdere e-maildiensten. Door de Return-Path
methode te gebruiken, voorkomen we dat je tegen SPF-limieten aanloopt. Je
kunt Lettermint gebruiken naast Google Workspace, Microsoft 365 of andere
diensten zonder je zorgen te maken over het maximum aantal DNS-lookups.

Overweeg je om verschillende types e-mails gescheiden te houden? Lees ons
artikel over [e-mail subdomeinen](https://lettermint.co/nl/kennisbank/deliverability/wat-is-een-email-subdomain-en-wanneer-gebruik-je-het)
om te ontdekken wanneer het zinvol is om subdomeinen in te zetten voor
betere controle over je verzendreputatie.

Wanneer je een domein toevoegt aan Lettermint, vragen we je om drie
DNS-records toe te voegen: DMARC, [DKIM](https://lettermint.co/nl/kennisbank/definitions/wat-is-dkim) en een bounce-record. Deze zorgen
samen met onze Return-Path configuratie voor een correcte
e-mailauthenticatie, zonder dat je SPF-record hoeft aan te passen.

## SPF Check

Controleer hieronder of je domein een geldig SPF heeft. Let op: Lettermint
gebruikt Return-Path voor authenticatie, dus komt niet voor in deze check.

<spf-checker>



</spf-checker>

## Conclusie

SPF is een essentieel onderdeel van e-mailbeveiliging. Het werkt samen met
[DMARC](https://lettermint.co/nl/kennisbank/definitions/wat-is-dmarc) om je domein te
beschermen tegen misbruik. Bij Lettermint zorgen we
dat je configuratie optimaal blijft werken via onze Return-Path
implementatie, zonder dat je tegen technische limieten aanloopt.

Een goed ingericht SPF (ook via Return-Path) zorgt ervoor dat:

- Je e-mails betrouwbaar aankomen
- Kwaadwillenden je domein niet kunnen misbruiken
- Mailservers je e-mails als legitiem herkennen

Test na het instellen altijd je SPF met onze SPF Checker. Zo weet je zeker
dat alles correct werkt. Want uiteindelijk draait het allemaal om één ding:
dat jouw e-mails veilig aankomen waar ze moeten zijn.