SPF-record uitgelegd: hoe het voorkomt dat je e-mail als spam wordt gezien!

Met regelmaat ontvangen we op de afdeling Support het verzoek om een SPF-record van een domeinnaam te controleren, aan te maken of aan te passen. Nu denk je misschien: “Een SPF-wattes? Heeft dat te maken met de UV-bescherming van je domeinnaam?” Nee, gelukkig hoef je niet je domein in te smeren met zonnebrandcrème 😉

Het SPF-record uitgelegd: voorkom dat je e-mail wordt gezien als spam.

Wat is het dan wel en waarom is het zo belangrijk? Nou, het SPF-record helpt je om minder spam te ontvangen in je inbox. Ook helpt het je voorkomen dat jouw e-mail bij een ontvanger wordt aangezien als spam. Het is dus belangrijk voor je e-mailverkeer. Je wilt immers niet dat jouw bericht bij de ontvanger terecht komt in de ongewenste e-mail. Graag licht ik daarom het functioneren en belang van het SPF-record inhoudelijk toe.

Wat betekent SPF?

SPF is een afkorting van Sender Policy Framework. Mooie term, maar wat wil dit zeggen? Dit houdt in dat er wordt gecontroleerd of de verzender van een e-mail is gemachtigd om een bericht te verzenden namens de afzender van het bericht. Je wilt deze controle uitvoeren, omdat het kinderlijk eenvoudig is om het adres van de afzender van een e-mail te wijzigen.

Vergelijk het met een kaart die via de normale post wordt verstuurd. Iedereen kan een willekeurig afzenderadres op de achterkant schrijven, waarmee de afzender wordt vervalst. Voor e-mail geldt hetzelfde. In ieder willekeurig e-mailprogramma kun je een e-mailadres opgeven dat je als afzenderadres wilt gebruiken. Zo kun je e-mails versturen uit naam van wie je maar zou willen.

Het SPF-record uitgelegd: Sender Policy Framework

Hoe voorkomt het SPF-record misbruik van je e-mailadres?

Er wordt gecontroleerd of de verzender van een e-mail geautoriseerd is om het adres van de afzender te gebruiken. Deze controle vindt plaats op basis van het IP-adres van de verzendende server. Voor gebruik van SPF moet in de DNS-zone van je domein een SPF-record worden toegevoegd. Dit record wordt aangemaakt als TXT-record, omdat er geen specifiek SPF-DNS-record bestaat. In dit record wordt opgenomen via welke IP-adressen namens je domeinnaam en bijbehorende e-mailadressen e-mail mag worden verstuurd.

Nog geen website, maar wil je dat wel graag?

Antagonist is de juiste thuisbasis! Profiteer van unieke features, zoals automatisch backups van je website, actieve monitoring en gratis SSL.

Bekijk hostingpakketten →

De opbouw van het SPF-record

Een SPF-record begint met een "v=". Dit geeft aan dat de inhoud van het TXT-record wordt gebruikt voor het SPF-protocol. Ook wordt hier de versie van het SPF-protocol mee aangegeven, in ons geval "v=spf1". Het record wordt verder opgebouwd aan de hand van de volgende onderdelen:

  • a: als het IP-adres van de verzender overeenkomt met het IP-adres dat aanwezig is in het A-record, dan wordt de e-mail geaccepteerd.
  • ip4: als het IP-adres van de verzender zich bevindt in de IPv4-range die is opgenomen in het SPF-record, dan wordt de e-mail geaccepteerd.
  • ip6: als het IP-adres van de verzender zich bevindt in de IPv6-range die is opgenomen in het SPF-record, dan wordt de e-mail geaccepteerd.
  • mx: als e-mail wordt verstuurd vanuit het MX- record van het domein, dan wordt de e-mail geaccepteerd.
  • include: als er wordt voldaan aan de voorwaarden van het record dat wordt opgenomen, dan wordt de e-mail geaccepteerd.

Aan het einde van het SPF-record geef je op hoe er door de ontvangende mailserver met het record moet worden omgegaan:

  • ~all: de softfail-methode. Als een e-mail wordt verzonden door een host of IP-adres dat niet in het SPF-record is opgenomen, dan wordt de e-mail wel geaccepteerd, maar mogelijk als spam gemarkeerd.
  • -all: de hardfail-methode. Als een e-mail wordt verzonden door een host of IP-adres dat niet in het SPF-record is opgenomen, dan wordt de e-mail direct geweigerd.
  • +all: accepteer alle e-mail. E-mail wordt dus altijd toegelaten, hierdoor heeft het record dus niet het beoogde resultaat.
  • ?all: het SPF-record voert geen extra validatie uit. E-mails vanaf ongeautoriseerde servers worden dus toegelaten.

Het SPF-record van Antagonist

Standaard voegen wij een SPF-record toe aan de DNS-zone van het domein dat je bij ons afneemt. Die ziet er als volgt uit:

"v=spf1 a mx ip4:195.211.72.0/22 ip4:141.138.168.0/21 ip6:2a03:3c00:a001::/48 ip6:2a03:3c00:a002::/48 ~all"

E-mail verstuurd via een IP-adres dat in het A-record van je domein aanwezig is, wordt geaccepteerd. Ook e-mails die via IP-adressen in de opgegeven IPv4- en IPv6-range zijn verstuurd, worden geaccepteerd. Daarbij hanteren wij de softfail-methode. Een e-mail die is verstuurd via een ongeautoriseerd IP-adres, wordt door de ontvangende mailserver verwerkt als neutraal. En e-mails die via onze servers zijn verzonden, worden geaccepteerd.

Het belang van een correct geconfigureerd SPF-record
Veel ontvangende mailservers voeren controle uit op het SPF-record. Denk hierbij aan partijen, zoals Hotmail en Gmail. Wanneer je domein geen of een onjuist SPF-record bevat, is de kans groot dat je e-mail als verdacht wordt gemarkeerd en hierdoor in de map met ongewenste e-mail van de ontvanger belandt. Met het vervelende gevolg dat je e-mail vermoedelijk niet wordt gezien door de ontvanger.

Hoe wijzig of voeg ik een SPF-record toe?

Wanneer je bij ons een pakket afneemt, dan zorgen wij voor je dat het SPF-record van je domein standaard correct staat ingesteld. Als vuistregel kun je aanhouden: wijzig het SPF-record niet, tenzij je weet waar je mee bezig bent.

Waarom dan wél een SPF-record wijzigen? Dat is een goede vraag. Stel, je laat je e-mail afhandelen door een externe maildienst. Denk hierbij aan Microsoft 365 (voorheen Office 365) of Google Workspace (voorheen G Suite). Het kan dan wenselijk zijn om het SPF-record te wijzigen. Doorgaans betreft het dan een aanvulling op het huidige SPF-record.

Een nieuw SPF-record toevoegen, gaat via DNS-beheer in DirectAdmin van je hostingpakket. Klik als je daar bent op ‘Record toevoegen’.

DNS-beheer in DirectAdmin.

Kies nu bij ‘Recordtype’ voor ‘TXT’ en check of bij ‘Naam’ je domeinnaam staat – inclusief asluitende punt. Kies daarna bij ‘TXT-recordtype’ voor ‘SPF’.

Een nieuw SPF-record toevoegen in DirectAdmin.

Er verschijnen een aantal extra velden. Vul bij het veld ‘Waarde’ het gewenste SPF-record in. In onderstaand voorbeeld voeg ik voor ‘domeinnaam.nl’ ons standaard SPF-record toe. Klik ten slotte op ‘Toevoegen’ om het SPF-record aan te maken en je hebt het voor elkaar!

De inhoud van je SPF-record invoeren.

Wil je het SPF-record later wijzigen, ga dan in DirectAdmin naar ‘DNS-beheer’ en zoek het record op in het overzicht. Klik vervolgens op het potloodje en voer de gewenste aanpassingen door.

Een bestaand SPF-record wijzigen in DirectAdmin.

Microsoft 365 en SPF

Graag geef ik nog een voorbeeld waarbij een aanpassing van het SPF-record aan de orde is. Stel, je maakt gebruik van Microsoft 365. Microsoft geeft aan om daarvoor het volgende SPF-record te gebruiken:

"v=spf1 a mx include:spf.protection.outlook.com -all"

Het is mogelijk om dit gedeelte aan ons bestaande SPF-record toe te voegen. Zo is het SPF-record ook van toepassing op e-mail die wordt verzonden vanuit de website. Dit doe je door het gedeelte include:spf.protection.outlook.com na de laatste IP-range in het bestaande record toe te voegen. Dit wordt dan het resultaat:

"v=spf1 a mx ip4:195.211.72.0/22 ip4:141.138.168.0/21 ip6:2a03:3c00:a001::/48 ip6:2a03:3c00:a002::/48 include:spf.protection.outlook.com -all"

De oplettende lezer ziet dat er in dit SPF-record een hardfail in plaats van een softfail wordt toegepast. Persoonlijk raad ik af om een hardfail te gebruiken. Door het forward-probleem heb je een niet-verwaarloosbare kans dat je e-mail niet aankomt waar je wilt – ook al doe je als verzender alles goed. Daarom zou ik adviseren om in dit voorbeeld -all te vervangen door ~all.

Tip: test je SPF-record!
Na het toevoegen van het SPF-record kun je de functionaliteit ervan testen via websites, zoals kitterman.com en MxToolbox.

Vragen over het SPF-record of tips?

Ben je klant van Antagonist en heb je vragen over het aanmaken of wijzigen van een SPF-record, dan kun je natuurlijk via support@antagonist.nl contact opnemen. We helpen je graag verder! Ook aanvullende tips op dit blog zijn altijd welkom.

P.S. Blijf op de hoogte en volg ons via Facebook, Twitter, Instagram, e-mail en RSS. Heb je vragen, tips of opmerkingen? Laat het achter als reactie. Vond je het artikel nuttig? Deel het dan met anderen!

Deel App Tweet Mail Deel

4 thoughts on “SPF-record uitgelegd: hoe het voorkomt dat je e-mail als spam wordt gezien!

  1. Steven op zei:

    Is het niet mogelijk voor Antagonist om

    v=spf1 a mx ip4:195.211.72.0/22 ip4:141.138.168.0/21 ip6:2a03:3c00:a001::/48 ip6:2a03:3c00:a002::/48 ~all

    in een dns record te zetten zodat daar door de klanten gebruikt van worden gemaakt?

    Bijvoorbeeld: hosts.antagonist.nl. Aangezien jullie zelf al spf.antagonist.nl in gebruik hebben voor een beperkte set IP’s is het wellicht wijs om niet bij _spf. te gebruiken om eventuele typos te voorkomen.

    Dan kunnen de voorbeelden voor Google Workspace en Microsoft 365 als volgt worden:

    v=spf1 a mx include:hosts.antagonist.nl include:_spf.google.com ~all

    v=spf1 a mx include:hosts.antagonist.nl include:spf.protection.outlook.com ~all

    Wellicht meer leesbaar in het onderhoud voor velen. Uiteraard is het ook goed om te benoemen dat het ook via de ip4 en ip6 tags kan om zo desgewenst de ranges te beperken tot de daadwerkelijke host(range) waar je op zit met je website.

    Een onderliggend voordeel is dat indien er ooit uitbreidingen / wijzigingen plaatsvinden in de IP4/6 ranges van Antagonist, dat deze dan via deze constructie ook direct doorkomen in de SPF records van de klanten 🙂

    • Hi Steven, dat is zeker een goed idee. Mogelijk is er al een adres dat je kunt gebruiken om zo’n constructie op te zetten. We hebben intern een issue aangemaakt om te onderzoeken of dat zo is. Als er meer nieuws is, dan stellen we je op de hoogte.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.