Elke dag sturen cybercriminelen e-mails waarbij ze doen alsof ze jouw bedrijf zijn. Ze gebruiken jouw domeinnaam om klanten te misleiden, je reputatie te beschadigen en spamfilters te omzeilen. SPF — Sender Policy Framework — is een van de drie kernmechanismen die dit voorkomt.

Bij TheHostmasters configureren we dagelijks SPF, DKIM en DMARC voor bedrijven door heel Europa. Wat we het meest tegenkomen: bedrijven die al jaren hetzelfde kapotte SPF record hebben zonder het te weten. E-mails belanden in de spammap. Phishing-aanvallen glippen erdoorheen. Klanten verliezen vertrouwen. Deze gids legt uit wat SPF precies is, hoe het werkt en wat je nodig hebt om het in 2026 goed in te stellen.

Wat Is een SPF Record?

Een SPF record is een stuk tekst dat gepubliceerd wordt in de DNS-instellingen van je domein. Het bevat een lijst van alle mailservers die gemachtigd zijn om e-mail te versturen namens jouw domein.

Wanneer iemand een e-mail ontvangt van jouw domein, zoekt hun mailserver automatisch je SPF record op en stelt één vraag: staat de server die dit bericht heeft verstuurd op de goedgekeurde lijst? Zo ja, dan slaagt de e-mail voor de SPF-validatie. Zo niet, dan kan deze worden gemarkeerd als spam of volledig worden geweigerd — afhankelijk van hoe je DMARC-beleid is geconfigureerd.

SPF staat voor Sender Policy Framework. Het werd geformaliseerd in RFC 7208 en blijft in 2026 een van de fundamentele e-mailauthenticatiestandaarden die door elke grote mailprovider worden gebruikt.

Hoe Ziet een SPF Record Eruit?

Een typisch SPF record ziet er ongeveer zo uit:

v=spf1 include:spf.protection.outlook.com include:_spf.google.com ~all

Uitgelegd:

• v=spf1 — geeft aan dat dit een SPF record is (versie 1)
• include: — verwijst naar een externe lijst van geautoriseerde servers (bijv. Microsoft 365 of Google Workspace)
• ~all — het beleid voor e-mails die niet overeenkomen: softfail (markeer als verdacht, bezorg toch). Gebruik -all voor een strikte hardfail zodra je configuratie is geverifieerd.

Waarom SPF Belangrijk Is in 2026

In februari 2024 hebben Google en Yahoo verplichte e-mailauthenticatievereisten ingevoerd voor bulkverzenders. In 2026 worden deze vereisten volledig gehandhaafd — en steeds vaker worden ook low-volume verzenders onder de loep genomen. Een fout in je SPF-configuratie heeft nu echte gevolgen.

1. Voorkom e-mail spoofing: SPF maakt het voor aanvallers aanzienlijk moeilijker om e-mail te versturen die afkomstig lijkt te zijn van jouw domein. Zonder SPF kan iedereen zich als jou voordoen.
2. Verbeter e-mailbezorgbaarheid: Geauthenticeerde e-mails komen veel vaker in de inbox terecht dan in de spammap. SPF is een belangrijk reputatiesignaal voor Gmail, Outlook en Yahoo.
3. Bescherm je merk: Je domein is onderdeel van je merk. Aanvallers die er misbruik van maken — ook al ben jij technisch gezien niet verantwoordelijk — schaadt het vertrouwen van klanten.
4. Schakel DMARC in: DMARC, de sterkste beschermingsstandaard voor e-mail die beschikbaar is, vereist een werkende SPF- of DKIM-configuratie voordat het kan functioneren. SPF vormt de basis.
5. Ondersteuning van marketingprestaties: Betere inboxplaatsing betekent dat je campagnes, orderbevestigingen en transactionele e-mails daadwerkelijk bij mensen aankomen.

Hoe SPF Werkt: Stap voor Stap

Het SPF-verificatieproces verloopt automatisch in milliseconden, elke keer dat iemand een e-mail ontvangt van jouw domein.

1. Je publiceert een SPF record in de DNS van je domein als een TXT-record, met daarin elke server of dienst die gemachtigd is om e-mail te versturen voor jouw domein.
2. Je verstuurt een e-mail. Het IP-adres van je mailserver wordt vastgelegd in de berichtkoppen.
3. De ontvangende server zoekt je SPF record op via een DNS-query naar jouw domein.
4. Het vergelijkt het verzendende IP met de geautoriseerde lijst in je SPF record.
5. Geslaagd of mislukt: Als het IP overeenkomt, slaagt SPF. Zo niet, dan is het resultaat een softfail (~all) of hardfail (-all) afhankelijk van je record, en bepaalt je DMARC-beleid wat er vervolgens gebeurt.

Belangrijk om te begrijpen: SPF valideert de envelope-afzender (het technische retourpadres), niet het From-adres dat zichtbaar is voor de ontvanger. Daarom is SPF alleen niet voldoende — DMARC is nodig om die kloof te overbruggen.

Veelgemaakte SPF-fouten Die E-mailbezorging Verstoren

Onjuiste SPF-configuraties komen vaker voor dan de meeste bedrijven beseffen. Dit zijn de vijf fouten die we het meest zien:

1. Geen SPF record. Je domein staat volledig open voor spoofing, en veel mailproviders zullen de bezorging van niet-geauthenticeerde e-mail automatisch terugschroeven.
2. Meerdere SPF records. Je kunt maar één SPF record per domein hebben. Twee records veroorzaken een PermError — SPF mislukt zelfs voor legitieme e-mail.
3. Meer dan 10 DNS-lookups. Elke include:-, a- en mx-richtlijn die een DNS-lookup vereist, telt mee voor een limiet van 10. Ga je over dit limiet, dan is je SPF record ongeldig. Dit treft bedrijven die tegelijkertijd Microsoft 365, Google, Mailchimp én een CRM gebruiken.
4. Een verzendende dienst vergeten. Een nieuw nieuwsbriefplatform toegevoegd? Transactionele e-mail verplaatst naar een nieuwe provider? Als het niet in je SPF record staat, zullen die e-mails de authenticatie niet doorstaan.
5. Verouderde records na migraties. Overstappen van cPanel-hosting naar Microsoft 365 en vergeten het SPF record bij te werken is een van de meest voorkomende oorzaken van gebroken e-mailbezorging die wij oplossen.

Hoe Je Je SPF Record Verifieert

Veel bedrijven hebben al maanden of jaren een kapot SPF record zonder het te weten. De eenvoudigste manier om erachter te komen is het direct controleren.

Gebruik de gratis SPF Checker van TheHostmasters. Deze valideert je SPF-syntaxis, detecteert dubbele records en controleert of je het limiet van 10 DNS-lookups hebt bereikt.

Bevestig bij het beoordelen van je SPF record alle vijf van de volgende punten:

1. Je domein heeft precies één SPF TXT-record.
2. Elke dienst die e-mail verstuurt namens jouw domein is opgenomen (Microsoft 365, Google Workspace, nieuwsbrieven, CRM-systemen, transactionele e-maildiensten).
3. Het totale aantal DNS-lookups blijft onder de 10.
4. Diensten die je niet meer gebruikt zijn verwijderd.
5. Het record eindigt met een duidelijke beleidsqualifier (~all of -all).

SPF, DKIM en DMARC: Hoe Ze Samenwerken

SPF is één onderdeel van een driedelig e-mailauthenticatiesysteem. Beschouw ze als lagen:

SPF (Sender Policy Framework)

Verifieert dat de verzendende mailserver gemachtigd is door de domeineigenaar. Voorkomt dat ongeautoriseerde servers e-mail versturen onder jouw domeinnaam.

DKIM (DomainKeys Identified Mail)

Voegt een cryptografische handtekening toe aan elke e-mail die je verstuurt. De ontvangende server gebruikt een publieke sleutel in je DNS om te verifiëren dat de e-mail niet onderweg is aangepast. Valideer je configuratie met de DKIM Checker.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

Brengt SPF en DKIM samen. Als een van beide controles mislukt, bepaalt DMARC wat er moet gebeuren: monitoren (p=none), in quarantaine plaatsen (p=quarantine) of weigeren (p=reject). Het stuurt ook rapporten zodat je kunt zien wie er e-mail verstuurt als jouw domein. Valideer je configuratie met de DMARC Checker.

Geen van de drie werkt afzonderlijk zo goed als alle drie samen. SPF zonder DMARC biedt beperkte bescherming. DMARC zonder SPF of DKIM heeft niets om af te dwingen. De volledige configuratie is wat grote providers tegenwoordig verwachten.

Heeft SPF Invloed op SEO?

SPF is geen directe Google-rankingfactor. Maar de indirecte effecten zijn reëel. Betrouwbare e-mailbezorging betekent dat je contactformuliernotificaties, orderbevestigingen, wachtwoordresets en marketingcampagnes daadwerkelijk bij mensen aankomen. Dat vertaalt zich naar een betere klantervaring, lagere bouncerates en hogere conversie — allemaal van invloed op de prestaties van je website.

Er is ook een praktisch risico: als je domein wordt gemarkeerd voor spoofing of phishing vanwege ontbrekende e-mailauthenticatie, kan dat de reputatie van je domein beïnvloeden bij browsers en beveiligingstools — niet alleen bij mailservers.

SPF Probleemoplossing als Domeineigenaar

Als je je eigen DNS beheert, maak deze controles dan tot een vast onderdeel van je onderhoudsroutine — vooral na een hostingmigratie, de introductie van een nieuw hulpmiddel of een wijziging van e-mailprovider:

1. Bevestig dat er precies één SPF record is voor je domein.
2. Bekijk en update na elke platformmigratie je lijst met geautoriseerde afzenders.
3. Schakel DKIM in voor elke verzendende dienst die dit ondersteunt.
4. Stel een DMARC-beleid in — begin desnoods met p=none om te monitoren voordat je gaat handhaven.
5. Test je volledige DNS-configuratie met de gratis DNS Checker.

Veelgestelde Vragen Over SPF Records

Snelle antwoorden op de vragen die we het meest krijgen — inclusief de vragen die ook ervaren IT-teams soms struikelblokken opleveren.

Wat is een SPF record in eenvoudige woorden?

Het is een DNS-vermelding die de wereld vertelt welke servers e-mail mogen versturen voor jouw domein. Zie het als een gastenlijst voor de uitgaande e-mail van je domein.

Heb ik SPF nodig als ik maar een paar e-mails verstuur?

Ja. Zelfs als je alleen facturen of antwoorden op contactformulieren verstuurt, kan je domein nog steeds worden gespoofd. Low-volume verzenders zijn vaak de makkelijkste doelwitten, juist omdat ze de moeite van authenticatie niet hebben genomen.

Wat is het verschil tussen ~all en -all?

~all (softfail) markeert ongeautoriseerde e-mails als verdacht maar bezorgt ze toch — een veilig startpunt. -all (hardfail) instrueert ontvangende servers om ongeautoriseerde e-mail direct te weigeren. Gebruik -all zodra je zeker weet dat je record alle legitieme afzenders bevat.

Kan ik twee SPF records hebben?

Nee. Per domein is slechts één SPF record toegestaan. Twee records veroorzaken een PermError — beide records worden ongeldig en SPF mislukt voor alle e-mail van je domein. Als je meerdere diensten wilt autoriseren, combineer ze dan in één record met meerdere include:-richtlijnen.

Waarom overschrijdt mijn SPF record steeds het limiet van 10 lookups?

Elke include:-richtlijn in je SPF record triggert minimaal één DNS-lookup. Sommige diensten koppelen intern meerdere lookups aan elkaar. Als je tegelijkertijd Microsoft 365, Google Workspace, een nieuwsbrieftool en een CRM gebruikt, bereik je het limiet snel. Oplossingen zijn SPF-flattening (het vervangen van include: door directe IP-reeksen) of het consolideren via één e-mailgateway.

Stopt SPF spam?

Niet direct. SPF verifieert dat een verzendende server gemachtigd is door de domeineigenaar — het beoordeelt de e-mailinhoud niet. Spam kan nog steeds door SPF komen als het afkomstig is van een geautoriseerde server. Wat SPF wel voorkomt is domain spoofing, waarbij aanvallers jouw domein volledig vervalsen.

Vereist Google SPF in 2026?

Ja. Sinds februari 2024 handhaven Google en Yahoo SPF- en DKIM-vereisten voor bulkverzenders, samen met een DMARC-beleid. In 2026 blijven deze vereisten van kracht. Domeinen zonder correcte e-mailauthenticatie krijgen te maken met hogere afwijzingspercentages en schade aan hun afzenderreputatie.

Mijn e-mails kwamen in de spammap terecht, maar ik heb net SPF toegevoegd. Is dit meteen opgelost?

Niet onmiddellijk. DNS-wijzigingen propageren doorgaans binnen minuten tot uren, maar de reputatiescoring van mailproviders duurt langer om bij te stellen — soms dagen of een paar weken. Als bezorgbaarheidsproblemen aanhouden nadat SPF is geverifieerd, controleer dan ook DKIM en DMARC. Afzenderreputatie is cumulatief.

Gratis E-mailauthenticatietools van TheHostmasters

Gebruik deze tools om de e-mailconfiguratie van je domein te controleren zonder de commandoregel te hoeven gebruiken:

• SPF Checker — Valideer je SPF record, controleer op dubbele records en verifieer het aantal DNS-lookups.
• DKIM Checker — Zoek DKIM-selectors op en verifieer je e-mailondertekeningssleutels.
• DMARC Checker — Valideer je DMARC-beleid en bekijk wat er gebeurt met niet-geauthenticeerde e-mail.
• DNS Checker — Inspecteer elk DNS-record: TXT, MX, A, CNAME en meer.
• SSL Checker — Verifieer je SSL-certificaat en HTTPS-configuratie.