Hoe Je SPF Records Configureert: E-mailauthenticatie Instellen
Zoek je SPF record op en valideer het. Stap-voor-stap configuratiegids met SPF-syntax, DNS lookup-limieten, veelgemaakte fouten en gratis testtools.
Waarom SPF Er Nu Toe Doet#
In februari 2026 is de strikte handhaving van e-mailauthenticatie door Gmail en Yahoo begonnen. E-mails zonder correcte SPF-records worden in ongekende aantallen geweigerd.
De realiteit: staat je SPF-record niet goed, dan worden je transactionele mails (password resets, bevestigingen, facturen) stilletjes geblokkeerd. Klanten denken dat je dienst kapot is. Jij weet pas dat er een probleem is als ze klagen.
Deze gids leidt je in 15 minuten door SPF-setup.
Wat Is SPF en Hoe Werkt Het?#
SPF (Sender Policy Framework) is een DNS-record dat zegt: "Deze servers zijn geautoriseerd om e-mail te versturen namens mijn domein."
Het Probleem dat SPF Oplost#
Zonder SPF kan iedereen e-mail versturen die lijkt te komen van jouw domein:
From: you@yourcompany.com
Reply-To: attacker@attacker.com
De e-mail lijkt van je bedrijf te komen (slecht voor phishing). SPF voorkomt dit door te valideren dat de verzendende server daadwerkelijk geautoriseerd is.
Hoe SPF-validatie Werkt#
- E-mail komt binnen bij Gmail
- Gmail checkt: "Wat is het SPF-record voor yourcompany.com?"
- SPF-record zegt: "Alleen mail.yourcompany.com en SendGrid zijn geautoriseerd"
- E-mail kwam van: SendGrid (geautoriseerd)
- Resultaat: SPF passes ✅
Probeert attacker.com nu mail te versturen die claimt van yourcompany.com te komen:
- E-mail komt binnen bij Gmail vanaf de server van de attacker
- Gmail checkt: "Staat de server van de attacker in het SPF-record van yourcompany.com?"
- Antwoord: nee
- Resultaat: SPF fails ❌
SPF Record Format en Syntax#
Een SPF-record is een DNS TXT record. Het heeft een specifieke syntax:
v=spf1 [mechanisms] [qualifier]
We splitsen dit uit:
v=spf1: versie (begin hier altijd mee)[mechanisms]: definieert geautoriseerde servers[qualifier]: hoe om te gaan met niet-geautoriseerde servers
Mechanisms (Veelvoorkomende)#
| Mechanism | Betekenis | Voorbeeld |
|---|---|---|
include: | Include een ander domein's SPF | include:_spf.google.com |
ip4: | Autoriseer specifieke IPv4 | ip4:203.0.113.50 |
ip6: | Autoriseer specifieke IPv6 | ip6:2001:db8::1 |
mx | Autoriseer MX-server | mx |
ptr | Autoriseer reverse DNS | ptr (zelden gebruikt, vermijd) |
a | Autoriseer A-record | a |
Qualifiers (Hoe Om te Gaan met Failures)#
| Qualifier | Betekenis | Wanneer gebruiken |
|---|---|---|
+ | Pass (allow) | Expliciet geautoriseerd |
- | Fail (reject) | Expliciet niet-geautoriseerd |
~ | Soft fail (accept maar markeer) | Default voor niet-geautoriseerd |
? | Neutraal (geen policy) | Zelden gebruikt |
Praktijkvoorbeeld#
v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 ~all
Wat dit betekent:
- Include het SPF-record van Google (Gmail)
- Include het SPF-record van SendGrid (SendGrid)
- Autoriseer ook IP 203.0.113.50 (je kantoor-mailserver)
- Soft fail (~all) voor iedereen anders (markeer als verdacht maar weiger niet)
Stap 1: Identificeer Al Je E-mailverzendservices#
Voordat je je SPF-record schrijft, lijst je elke dienst die namens jou e-mail verstuurt:
Vragen om te beantwoorden:
- Gebruik je Google Workspace?
- Gebruik je Microsoft 365?
- Gebruik je SendGrid, Mailgun of een andere e-mailservice?
- Heb je on-premises mailservers?
- Gebruik je third-party apps die e-mail versturen (Zapier, automation tools)?
Schrijf ze allemaal op. Dit is dé fout die mensen maken — een verzendservice vergeten, waardoor mails van die dienst SPF falen.
Veelvoorkomende services en hun SPF-includes:
# Google Workspace
include:_spf.google.com
# Microsoft 365
include:spf.protection.outlook.com
# SendGrid
include:sendgrid.net
# Mailgun
include:mailgun.org
# Klaviyo
include:klavan.net
# HubSpot
include:hstsrv.net
Stap 2: Verzamel SPF Include-statements#
Zoek voor elke dienst de officiële SPF include-statement op (uit hun documentatie, niet uit willekeurige websites).
Officiële bronnen:
- Google Workspace: support.google.com
- Microsoft 365: learn.microsoft.com
- SendGrid: sendgrid.com/docs
- Mailgun: mailgun.com/docs
Vertrouw hiervoor GEEN blogpost of willekeurige website. Pak altijd de officiële bron.
Stap 3: Bouw Je SPF-record#
Begin met:
v=spf1 [mechanisms] ~all
Voeg elke include toe:
v=spf1 include:_spf.google.com include:sendgrid.net ~all
Voeg eventuele IP-adressen toe:
v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 ~all
Stap 4: Publiceer naar DNS#
Open je DNS-provider (Cloudflare, GoDaddy, Route 53 enz.) en:
-
Ga naar DNS Records of TXT Records
-
Voeg een nieuw TXT record toe met:
- Name: @ (of je domeinnaam, afhankelijk van de provider)
- Value: je SPF-record
- TTL: 3600 (1 uur, prima voor testen)
-
Save en wacht 5-15 minuten op propagatie
Stap 5: Test Je SPF-record#
Gebruik een van deze tools om te verifiëren dat je record klopt:
Gratis opties:
Waar je naar zoekt:
- ✅ SPF-record gevonden
- ✅ Geen syntax-fouten
- ✅ Lookup-count ≤ 10 (meer en het faalt)
Stap 6: Monitor In de Tijd#
Publiceer in eerste instantie met ~all (soft fail):
- Week 1: monitor e-mailbezorging
- Kijk of mails doorkomen
- Check de spamfolder
Ziet alles er na een week goed uit, dan kun je naar -all (hard fail):
v=spf1 include:_spf.google.com include:sendgrid.net -all
Veelgemaakte SPF-fouten en Hoe Je Ze Voorkomt#
Fout 1: Meer dan 10 DNS Lookups#
De SPF-spec limiteert DNS-lookups tot 10. Overschrijd je dit, dan geeft SPF PermError (permanente fout) terug en worden mails geweigerd.
Hoe te fixen:
- Vervang
include:doorip4:waar mogelijk - Gebruik SPF flattening-tools
- Consolideer e-mailservices (minder diensten = minder includes)
Fout 2: +all in plaats van -all of ~all
+all betekent "accepteer iedereen die zegt dit domein te zijn" — dat tackelt SPF compleet.
Correct gebruik:
~all: soft fail (markeer als verdacht maar bezorg)-all: hard fail (weiger)
Gebruik in eerste instantie ~all en stap na verificatie over op -all.
Fout 3: Meerdere SPF-records#
De DNS-spec staat slechts ÉÉN TXT-record per naam toe. Maak je meerdere SPF TXT-records, dan leest DNS alleen de eerste — de andere worden genegeerd.
Juiste aanpak:
- Maak ÉÉN SPF-record
- Combineer alle mechanisms erin:
v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 ~all
NIET drie aparte records.
Fout 4: Typos in Include-statements#
include:sendgrid.com vs include:sendgrid.net — één karakter verkeerd en alles breekt.
Fix:
- Copy-paste uit officiële documentatie, typ het niet handmatig
- Verifieer met een DNS-tool na publicatie
Fout 5: Een Verzendservice Vergeten#
Je voegt SendGrid SPF toe maar vergeet Klaviyo. Klaviyo-mails falen SPF.
Fix:
- Audit ALLE diensten die e-mail versturen
- Voeg ze stuk voor stuk toe
SPF vs DKIM vs DMARC#
SPF is één onderdeel van e-mailauthenticatie. Voor volledige bescherming heb je alle drie nodig:
- SPF: "Is de verzendende server geautoriseerd?"
- DKIM: "Is de berichtinhoud authentiek (niet vervalst)?"
- DMARC: "Slagen beide ÉN aligneert het domein?"
Nova Uptime monitort alle drie automatisch. Check je e-mailgezondheid met Nova Uptime's Email Health Checker.
SPF Testen in Praktijkscenario's#
Na publiceren van SPF:
- Verstuur testmails vanaf je domein
- Check headers: zoek naar
SPF: PASSofSPF: FAIL - Monitor spamfolder: gaan mails nog steeds naar spam? Check DKIM/DMARC
- Gebruik e-mailverificatietools: forward naar tijdelijke e-maildiensten die headers tonen
Samenvatting#
- Lijst alle e-mailverzendservices
- Pak officiële SPF-includes per dienst
- Combineer in één SPF-record beginnend met
~all - Publiceer naar DNS TXT-record
- Test met e-mailverificatietools
- Monitor 1 week
- Stap over op
-allals alles werkt - Voeg DKIM en DMARC toe voor complete authenticatie
Je e-mailreputatie wordt over maanden opgebouwd en in dagen vernietigd. Een goede SPF-configuratie is de basis.
Monitor je e-mailgezondheid automatisch met Nova Uptime's Email Health Checker — die audit SPF, DKIM, DMARC, MX-records en blacklist-status. 🚀
Verwante Artikelen#
- SPF Record Setup & Check Guide — Stap-voor-stap SPF-setup voor beginners
- SPF, DKIM & DMARC Complete Guide — Hoe SPF in de volledige authenticatie-stack past
- Email Blacklist Check & Removal Guide — Blacklisting door ontbrekende SPF
- DMARC Setup: None to Reject — Configureer DMARC nadat SPF klaar is
- Email Health Checker Guide — Uitgebreide audit van e-mailauthenticatie
- Free SPF Checker — Valideer je SPF-record direct
Monitor Your Website Before It Goes Down
Get uptime monitoring, SSL tracking, domain expiry alerts, and email health checks. Free plan — no credit card required.
Start Monitoring FreeGerelateerde artikelen
SPF, DKIM en DMARC: de complete gids voor e-mailauthenticatie
Gids voor de drie pijlers van e-mailauthenticatie. Hoe SPF, DKIM en DMARC samenwerken om je domein en inboxplaatsing te beschermen.
DMARC-policyconfiguratie: voorkom e-mailspoofing
Gratis DMARC-test plus configuratiegids. Stel p=none, p=quarantine, p=reject in. Lijn SPF/DKIM uit. Verplicht voor Gmail en Yahoo.
DKIM-setupgids: complete stap-voor-stap configuratie
Stel DKIM in binnen 20 minuten: vind je selector, genereer sleutels, plaats DNS-records. Gratis validator. Verplicht voor Gmail en Yahoo.