Nova Uptime
E-mail deliverabilityspf-recordspf-checkspf-checker

Hoe je SPF records opzet: stap-voor-stap gids

Zet SPF records stap voor stap op en controleer ze. Leer de SPF-syntax, test je record met een gratis SPF checker, los lookup limits op en voorkom email.

SN
Sumit Nova Uptime
14 februari 2026 · 14 min read
Share:

Email spoofing is een van de meest voorkomende aanvalsvectoren op het internet. Iemand stuurt een e-mail die afkomstig lijkt van jouw domein, maar in werkelijkheid komt die van een totaal andere server. De ontvanger ziet de naam van jouw bedrijf in het "Van"-veld en vertrouwt het. SPF (Sender Policy Framework) is de eerste verdedigingslinie hiertegen, en het correct opzetten ervan is een van de belangrijkste dingen die je kunt doen voor de e-mailbeveiliging van je domein.

Deze gids loopt alles met je door wat je moet weten over SPF records: wat ze zijn, hoe ze werken en hoe je er een opzet voor je domein.

Wat is SPF en waarom is het belangrijk?#

SPF, oftewel Sender Policy Framework, is een e-mailauthenticatieprotocol gedefinieerd in RFC 7208. Het laat domeineigenaren specificeren welke mailservers geautoriseerd zijn om e-mail namens hun domein te versturen. Wanneer een ontvangende mailserver een e-mail krijgt die beweert van jouw domein te komen, controleert deze jouw SPF record om te verifiëren dat de verzendende server daadwerkelijk geautoriseerd is.

Waarom SPF belangrijk is#

Zonder SPF record kan iedereen e-mail versturen die van jouw domein lijkt te komen. Dat veroorzaakt verschillende serieuze problemen:

  • Email spoofing en phishing: Aanvallers kunnen je merk imiteren om je klanten, partners of medewerkers te misleiden zodat ze gevoelige informatie prijsgeven of op kwaadaardige links klikken.
  • Deliverability-problemen: Grote e-mailproviders zoals Gmail, Outlook en Yahoo gebruiken SPF als signaal bij hun beslissing om een e-mail in de inbox te bezorgen of naar spam te sturen. Domeinen zonder SPF record hebben een grotere kans dat hun legitieme e-mails worden gefilterd.
  • Schade aan je merkreputatie: Als spammers je domein gebruiken om bulk-junkmail te versturen, daalt de reputatiescore van je domein in de netwerken van e-mailproviders. Dat raakt de deliverability van álle e-mail die je verstuurt, ook legitieme zakelijke communicatie.
  • Compliance-eisen: Veel industriestandaarden en regelgeving verwachten dat organisaties e-mailauthenticatie implementeren. SPF is daarvan de baseline.

Hoe SPF werkt#

Snappen hoe SPF technisch werkt helpt je om het correct op te zetten en problemen op te lossen wanneer ze ontstaan.

Het SPF-checkproces#

  1. Je organisatie verstuurt een e-mail vanaf jij@jouwdomein.com via je geautoriseerde mailserver.
  2. De ontvangende mailserver haalt het domein uit de envelope sender (de Return-Path-header, niet de From-header).
  3. De ontvangende server doet een DNS TXT lookup op jouwdomein.com om het SPF record op te halen.
  4. De server vergelijkt het IP-adres van de verzendende server met de lijst van geautoriseerde IP's en hostnamen in het SPF record.
  5. Op basis van die vergelijking levert de server een van deze resultaten:
    • Pass: De verzendende server is geautoriseerd. De e-mail gaat normaal door.
    • Fail: De verzendende server is niet geautoriseerd, en de domeineigenaar heeft expliciet aangegeven dat ongeautoriseerde verzenders moeten worden geweigerd.
    • SoftFail: De verzendende server is niet geautoriseerd, maar de domeineigenaar is niet zeker genoeg om directe afwijzing te eisen. De e-mail wordt meestal geaccepteerd, maar gemarkeerd.
    • Neutral: De domeineigenaar doet geen uitspraak over de verzendende server.

Het formaat van een SPF record#

Een SPF record is een DNS TXT record dat op je domein wordt gepubliceerd. Het volgt een specifieke syntax:

v=spf1 [mechanisms] [qualifier]
  • v=spf1 is verplicht en identificeert het record als SPF versie 1.
  • Mechanisms definiëren welke servers geautoriseerd zijn.
  • De qualifier aan het eind bepaalt het standaardbeleid voor servers die geen enkel mechanism matchen.

Hier een echt voorbeeld:

v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 -all

Dit record zegt: sta de mailservers van Google, SendGrid en het specifieke IP-adres 203.0.113.50 toe om e-mail voor dit domein te versturen. Wijs alle anderen af.

SPF stap-voor-stap opzetten#

Volg deze stappen om een SPF record voor je domein te maken en te publiceren.

Stap 1: identificeer al je e-mailverzendende diensten#

Voor je je SPF record schrijft, heb je een complete lijst nodig van iedere dienst en server die namens jouw domein e-mail verstuurt. Dit is de stap die het vaakst over het hoofd wordt gezien, en als je een verzendbron mist, falen die e-mails op SPF-checks.

Veelvoorkomende e-mailverzendbronnen zijn:

  • Je e-mailprovider: Google Workspace, Microsoft 365, Zoho Mail, ProtonMail, enzovoort.
  • Transactionele e-maildiensten: SendGrid, Mailgun, Amazon SES, Postmark, Resend, enzovoort.
  • Marketing-e-mailplatforms: Mailchimp, HubSpot, ActiveCampaign, ConvertKit, enzovoort.
  • Je webserver: als je website rechtstreeks e-mails verstuurt (contactformulieren, password resets, orderbevestigingen).
  • CRM- en supporttools: Zendesk, Freshdesk, Intercom, Salesforce, enzovoort.
  • Andere SaaS-tools: elke applicatie die met jouw domein e-mail verstuurt.

Schrijf elke dienst op. Check bij verschillende afdelingen in je organisatie. Marketing gebruikt misschien een platform dat engineering niet kent, en andersom.

Stap 2: verzamel de SPF include-waarden#

Elke e-mailprovider publiceert zijn eigen SPF include-domein. Hier zijn de include-waarden voor veelvoorkomende providers:

ProviderSPF Include
Google Workspaceinclude:_spf.google.com
Microsoft 365include:spf.protection.outlook.com
SendGridinclude:sendgrid.net
Mailguninclude:mailgun.org
Amazon SESinclude:amazonses.com
Mailchimpinclude:servers.mcsv.net
Postmarkinclude:spf.mtasv.net
Zoho Mailinclude:zoho.com
HubSpotinclude:hubspot-email.com
Freshdeskinclude:email.freshdesk.com

Check de documentatie van je provider voor de exacte include-waarde. Providers werken die af en toe bij, dus verifieer altijd in de actuele docs.

Stap 3: bouw je SPF record#

Combineer de versietag, al je include-mechanisms en een qualifier in één record.

Template:

v=spf1 [include:provider1] [include:provider2] [ip4:your.server.ip] [qualifier]

Voorbeeld voor een bedrijf dat Google Workspace en SendGrid gebruikt:

v=spf1 include:_spf.google.com include:sendgrid.net -all

Voorbeeld voor een bedrijf met Microsoft 365, Mailchimp en een eigen mailserver:

v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net ip4:198.51.100.25 -all

Stap 4: kies je qualifier#

De qualifier aan het eind van je SPF record bepaalt wat er gebeurt wanneer een e-mail komt van een server die niet in je record staat:

  • -all (Fail): Ongeautoriseerde servers moeten worden afgewezen. Dit is de aanbevolen instelling voor maximale bescherming. Het vertelt ontvangende servers dat je vertrouwen hebt in je lijst en dat elke e-mail van een server die er niet op staat, frauduleus is.
  • ~all (SoftFail): Ongeautoriseerde servers moeten met argwaan worden behandeld, maar niet direct worden afgewezen. Gebruik dit tijdens de initiële setup of testfase, wanneer je nog niet zeker weet of je alle legitieme verzendbronnen hebt opgenomen.
  • ?all (Neutral): Geen uitspraak. Dit biedt vrijwel geen bescherming en wordt niet aanbevolen.
  • +all (Pass): Iedereen is geautoriseerd. Dit ontkracht het hele doel van SPF volledig. Gebruik dit nooit.

Aanbeveling: begin met ~all tijdens je initiële uitrol en testperiode. Zodra je hebt bevestigd dat alle legitieme e-mail door SPF-checks komt, schakel je over op -all voor volledige bescherming.

Stap 5: publiceer het record in DNS#

Log in bij je DNS-provider (Cloudflare, Route53, GoDaddy, Namecheap, enzovoort) en voeg een TXT-record toe of werk het bij:

  1. Navigeer naar de DNS-managementpagina van je domein.
  2. Voeg een nieuw TXT-record toe (of bewerk het bestaande SPF record als dat er is).
  3. Zet de Host/Name op @ (dat staat voor je root-domein).
  4. Zet de Value/Content op je volledige SPF-recordstring.
  5. Zet de TTL op 3600 (1 uur), of de standaardwaarde van je provider.
  6. Sla het record op.

DNS-wijzigingen kunnen tot 48 uur duren om wereldwijd te propageren, al zijn de meeste wijzigingen binnen 15 minuten tot een uur zichtbaar.

Stap 6: verifieer je SPF record#

Verifieer na publicatie dat het record correct is geconfigureerd. Je kunt de Nova Uptime Email Health Checker gebruiken om een complete check uit te voeren op de e-mailconfiguratie van je domein, inclusief SPF-validatie. De tool checkt de syntax van je SPF record, evalueert je qualifier-policy, telt DNS-lookups en signaleert mogelijke problemen.

Je kunt ook vanaf de command line verifiëren:

dig TXT yourdomain.com +short

of

nslookup -type=TXT yourdomain.com

Zoek het TXT-record dat begint met v=spf1. Bevestig dat al je verwachte include-mechanisms aanwezig zijn en dat de qualifier klopt.

SPF mechanisms begrijpen#

SPF records ondersteunen verschillende soorten mechanisms die je flexibiliteit geven bij het definiëren van geautoriseerde verzenders.

include

Verwijst naar het SPF record van een ander domein. Dit is het meest gebruikte mechanism, omdat e-mailproviders op deze manier hun geautoriseerde IP-ranges publiceren.

include:_spf.google.com

Wanneer de ontvangende server dit tegenkomt, doet hij een extra DNS-lookup om Google's SPF record op te halen en checkt het verzendende IP tegen Google's geautoriseerde ranges.

ip4 en ip6

Specificeert individuele IP-adressen of CIDR-ranges die geautoriseerd zijn om e-mail te versturen.

ip4:203.0.113.50
ip4:198.51.100.0/24
ip6:2001:db8::/32

Gebruik dit voor je eigen mailservers of voor diensten waarvan je de specifieke IP-adressen kent.

a

Autoriseert het IP-adres waar het A-record van je domein naar wijst. Als je webserver ook e-mail verstuurt, is dit een beknopte manier om hem te autoriseren.

a

mx

Autoriseert de IP-adressen van de MX-servers (mail exchange) van je domein. Omdat je MX-servers e-mail ontvangen, moeten ze vaak ook e-mail versturen (replies, bounces, forwards).

mx

redirect

Verwijst volledig naar het SPF record van een ander domein, en vervangt daarmee het jouwe. Anders dan include, want dit vervangt in plaats van aan te vullen.

redirect=_spf.example.com

Veelgemaakte SPF-fouten en hoe je ze voorkomt#

Fout 1: de 10-DNS-lookup-limit overschrijden#

De SPF-specificatie (RFC 7208) beperkt het totale aantal DNS-lookups tot 10. Elk include, a, mx en redirect mechanism telt als één lookup. Geneste includes (een include die zelf weer includes bevat) tellen ook mee.

Als je record meer dan 10 lookups overschrijdt, geeft de SPF-check een PermError resultaat, en veel ontvangende servers behandelen dit hetzelfde als helemaal geen SPF record.

Hoe je het oplost:

  • Vervang include-mechanisms waar mogelijk door ip4/ip6 (IP-mechanisms tellen niet als DNS-lookup).
  • Gebruik SPF flattening tools om includes om te zetten naar de onderliggende IP-adressen.
  • Consolideer e-maildiensten waar mogelijk.
  • Verwijder includes voor diensten die je niet meer gebruikt.

Fout 2: meerdere SPF records publiceren#

Een domein moet exact één SPF record hebben. Als je twee TXT-records publiceert die allebei beginnen met v=spf1, geeft de SPF-check een PermError. Dit gebeurt vaak wanneer iemand een nieuw SPF record toevoegt zonder het bestaande te verwijderen of bij te werken.

Hoe je het oplost: Voeg al je geautoriseerde verzenders samen in één SPF record.

Fout:

v=spf1 include:_spf.google.com -all
v=spf1 include:sendgrid.net -all

Goed:

v=spf1 include:_spf.google.com include:sendgrid.net -all

Fout 3: +all gebruiken

+all als qualifier instellen betekent dat elke server ter wereld geautoriseerd is om e-mail als jouw domein te versturen. Dit ontkracht het hele doel van SPF en is een serieus beveiligingsrisico.

Fout 4: vergeten te updaten na het wisselen van provider#

Wanneer je van e-mailprovider wisselt, naar een ander marketingplatform migreert of nieuwe SaaS-tools toevoegt, moet je SPF record worden bijgewerkt. Oude includes voor diensten die je niet meer gebruikt verspillen DNS-lookups, en ontbrekende includes voor nieuwe diensten zorgen ervoor dat legitieme e-mail faalt.

Fout 5: niet testen na wijzigingen#

Telkens wanneer je je SPF record aanpast: test het. Stuur testmails vanuit al je diensten en verifieer dat ze door SPF-checks komen. Gebruik tools zoals de Nova Uptime Email Health Checker om je recordsyntax en configuratie te valideren.

SPF en het bredere e-mailauthenticatieplaatje#

SPF is een van de drie grote e-mailauthenticatieprotocollen. Voor complete bescherming moet je alle drie implementeren:

SPF + DKIM + DMARC#

  • SPF verifieert dat de verzendende server geautoriseerd is voor het domein.
  • DKIM (DomainKeys Identified Mail) voegt een cryptografische handtekening toe aan uitgaande e-mails, die verifieert dat het bericht onderweg niet is aangepast en door een geautoriseerde partij is verstuurd.
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance) verbindt SPF en DKIM met een policy die ontvangende servers vertelt wat te doen wanneer authenticatie faalt. Het levert ook rapportage zodat je kunt zien wie e-mail als jouw domein verstuurt.

Samen bieden deze drie protocollen robuuste bescherming tegen email spoofing en phishing. SPF alleen is een sterke start, maar het is het meest effectief in combinatie met DKIM en DMARC.

Je SPF record testen#

Na het opzetten van je SPF record is grondig testen essentieel. Hier is een testchecklist:

  1. DNS-verificatie: bevestig dat het record bestaat en syntactisch klopt met DNS-lookuptools.
  2. Stuur testmails: verstuur e-mails vanuit elke geautoriseerde dienst en check de e-mailheaders aan de ontvangende kant op spf=pass.
  3. Tel het aantal lookups: zorg dat je totaal aan DNS-lookups op 10 of minder uitkomt.
  4. Verifieer dat er maar één SPF record is: check dat je geen dubbele SPF TXT-records hebt.
  5. Test met een ongeautoriseerde server: stuur indien mogelijk een e-mail vanaf een ongeautoriseerde bron en bevestig dat die faalt of soft-failt op SPF.

De Nova Uptime Email Health Checker automatiseert de meeste van deze checks. Voer je domein in en krijg direct een rapport over je SPF record, inclusief de specifieke policy-sterkte, eventuele syntaxproblemen en aanbevelingen voor verbetering. De tool checkt ook je DKIM- en DMARC-configuratie, zodat je je complete e-mailauthenticatie in één oogopslag ziet.

Je SPF record onderhouden#

SPF is geen set-it-and-forget-it-configuratie. Plan regelmatige reviews:

  • Kwartaalaudits: review je SPF record tegen je huidige lijst e-mailverzendende diensten. Verwijder oude includes en voeg nieuwe toe.
  • Na elke infrastructuurwijziging: telkens wanneer je een e-mailprovider toevoegt, verwijdert of wijzigt: update direct je SPF record.
  • Na deliverability-problemen: als je merkt dat e-mails in spam belanden, check dan eerst je SPF record. Een verkeerd geconfigureerd record is een van de meest voorkomende oorzaken.
  • Geautomatiseerde monitoring: gebruik een email health monitoring tool om je SPF-configuratie continu te controleren en je te alerten als die kapotgaat.

Samenvatting#

Een correct opgezette SPF is een van de meest impactvolle, eenvoudig door te voeren verbeteringen voor de e-mailbeveiliging en deliverability van je domein. Even samengevat:

  1. Maak een lijst van elke dienst die e-mail als jouw domein verstuurt.
  2. Verzamel de SPF include-waarden voor elke dienst.
  3. Bouw één SPF record dat alle geautoriseerde verzenders combineert.
  4. Begin met ~all en stap over op -all zodra je hebt bevestigd dat alles werkt.
  5. Publiceer het TXT-record in DNS.
  6. Verifieer met de Nova Uptime Email Health Checker.
  7. Review en update per kwartaal.

Je e-mailreputatie wordt opgebouwd over maanden en kan in dagen vernietigd worden. Een goed geconfigureerd SPF record is de basis die het beschermd houdt.

Veelgestelde vragen#

Hoe check ik mijn SPF record?#

Gebruik een gratis SPF checker tool om je SPF record op te zoeken en te valideren. Voer je domein in en de tool bevraagt DNS naar je TXT-record, valideert de syntax, telt DNS-lookups (max 10 toegestaan) en checkt je enforcement policy. Je kunt ook checken met dig TXT yourdomain.com of nslookup -type=TXT yourdomain.com.

Wat doet een SPF check?#

Een SPF check verifieert dat de server die namens jouw domein e-mail verstuurt, geautoriseerd is in je SPF DNS-record. Ontvangende mailservers doen deze check automatisch. Als het verzendende IP niet in je SPF record staat, kan de e-mail als spam worden gemarkeerd of geweigerd, afhankelijk van je DMARC-policy.

Hoe test ik mijn SPF record?#

Na het publiceren van je SPF record test je het door: (1) een gratis SPF check te draaien, (2) een testmail naar Gmail te sturen en in "Show original" de headers te checken op spf=pass, of (3) nslookup -type=TXT yourdomain.com te gebruiken om te verifiëren dat het record correct is gepubliceerd.

Wat is de SPF 10-lookup limit?#

SPF records zijn beperkt tot 10 DNS-lookups. Elk include:, a:, mx:, ptr: en redirect= mechanism telt als één lookup. Het overschrijden van deze limit veroorzaakt een permanente SPF-failure (permerror), wat betekent dat al je e-mail SPF faalt. Gebruik de SPF Checker om je huidige lookups te tellen.

Moet ik -all of ~all gebruiken in mijn SPF record?#

Gebruik -all (hard fail) voor maximale bescherming — het vertelt ontvangende servers om e-mail van ongeautoriseerde bronnen af te wijzen. Gebruik ~all (soft fail) tijdens de initiële setup of migratie. Zodra je hebt bevestigd dat alle legitieme verzenders zijn opgenomen, schakel je over op -all. Onze Email Health Checker checkt je SPF-policy en adviseert de juiste instelling.

Verder lezen#

Monitor Your Website Before It Goes Down

Get uptime monitoring, SSL tracking, domain expiry alerts, and email health checks. Free plan — no credit card required.

Start Monitoring Free

Gerelateerde artikelen

E-mail deliverability18 mrt 2026

SPF, DKIM en DMARC: de complete gids voor e-mailauthenticatie

Gids voor de drie pijlers van e-mailauthenticatie. Hoe SPF, DKIM en DMARC samenwerken om je domein en inboxplaatsing te beschermen.

7 min readLezen
Gidsen22 feb 2026

DKIM-setupgids: complete stap-voor-stap configuratie

Stel DKIM in binnen 20 minuten: vind je selector, genereer sleutels, plaats DNS-records. Gratis validator. Verplicht voor Gmail en Yahoo.

6 min readLezen
Gidsen23 feb 2026

DMARC-policyconfiguratie: voorkom e-mailspoofing

Gratis DMARC-test plus configuratiegids. Stel p=none, p=quarantine, p=reject in. Lijn SPF/DKIM uit. Verplicht voor Gmail en Yahoo.

7 min readLezen