Zorgen dat e-mails worden bezorgd en spoofing voorkomen (SPF)

Beschermen tegen vervalste e-mails en zorgen dat berichten niet worden gemarkeerd als spam.

Sender Policy Framework (SPF) is een e-mailverificatiemethode waarin u e-mailservers opgeeft die zijn geautoriseerd om e-mails te sturen voor uw domein. SPF helpt uw domein te beschermen tegen spoofing en zorgt dat berichten correct worden bezorgd. E-mailservers die e-mails van uw domein ontvangen, maken gebruik van SPF om te controleren of berichten die afkomstig lijken te zijn uit uw domein, ook echt uit uw domein komen.

  • SPF helpt spoofing voorkomen: Spammers kunnen uw domein of organisatie vervalsen om nepberichten te sturen die afkomstig lijken te zijn van uw organisatie. Dit wordt spoofing genoemd. Gespoofte berichten kunnen worden gebruikt voor schadelijke doeleinden, bijvoorbeeld om valse informatie over te brengen, schadelijke software te sturen of mensen te misleiden zodat ze gevoelige informatie opgeven. Met SPF kunnen servers controleren of e-mails die vanuit uw domein zijn verstuurd, ook echt afkomstig zijn van uw organisatie en zijn verstuurd door een e-mailserver die door u is geautoriseerd.
  • SPF zorgt dat berichten in de inbox van ontvangers worden bezorgd: Met SPF worden berichten uit uw domein niet in de map Spam geplaatst. Als uw domein SPF niet gebruikt, kunnen de ontvangende e-mailservers niet controleren of berichten die afkomstig lijken te zijn uit uw domein, ook echt van u zijn. De ontvangstservers kunnen geldige berichten dan in de map Spam van de ontvangers plaatsen of de berichten weigeren.

Opmerking: Als u uw domein heeft gekocht bij een Google-partner toen u zich aanmeldde voor Google Workspace, hoeft u mogelijk geen SPF-records in te stellen. Controleer of SPF een van de instellingen is die wordt beheerd door uw domeinhost.

Praktische tips voor e-mailverificatie

We raden u aan altijd de volgende e-mailverificatiemethoden in te stellen voor uw domein:

  • Met SPF kunnen servers controleren of berichten die afkomstig lijken te zijn uit een bepaald domein, ook echt zijn verstuurd via servers die zijn geautoriseerd door de eigenaar van het domein.
  • DKIM voegt een digitale handtekening toe aan elk bericht. Ontvangstservers kunnen zo controleren of berichten niet zijn vervalst en niet zijn gewijzigd tijdens de overdracht.
  • DMARC verifieert berichten met SPF en DKIM en beheert verdachte inkomende berichten.
Zie Spoofing, phishing en spam voorkomen voor uitgebreide stappen.

Voordat u begint

Lees de informatie in dit gedeelte voordat u SPF inschakelt voor uw organisatie.

Uw domeinprovider vinden
U schakelt SPF in de beheerdersconsole van uw domeinprovider in, niet in de Google Beheerdersconsole. Volg deze stappen als u niet zeker weet wie uw domeinprovider is.

Als u uw factureringsgegevens niet kunt vinden, kunt u online zoeken naar uw domeinhost. De Internet Corporation for Assigned Names and Numbers (ICANN) is een non-profitorganisatie die domeingegevens verzamelt. Gebruik de ICANN-lookuptool om uw domeinhost te vinden.

  1. Ga naar lookup.icann.org.
  2. Voer in het zoekveld uw domeinnaam in en klik op Lookup (Zoeken).
  3. Scroll op de pagina met resultaten naar Registrar Information (Gegevens registreerder). De registreerder is meestal uw domeinhost.

Domeinresellers

Sommige domeinen worden door resellers gehost bij een aparte registreerder. Als u niet kunt inloggen bij de vermelde registreerder of als het veld met de registreerder leeg is, is uw domeinhost wellicht een reseller.

  1. Scroll op de pagina met resultaten van ICANN-lookup naar Raw Registry RDAP Response.
  2. Zoek naar de invoer Reseller.
  3. Ga naar de website van de reseller.
  4. Log in met de inloggegevens die u heeft gebruikt toen u uw domein aanschafte (of overzette).
    Als u uw wachtwoord bent vergeten, neemt u contact op met het supportteam van de reseller.

Als er geen reseller staat, neemt u contact op met het supportteam van de vermelde registreerder voor hulp.

E-mailproviders van derden

Geldige berichten die door e-mailproviders van derden namens uw domein worden verstuurd, komen wellicht niet door de SPF-controles. De ontvangstserver plaatst berichten van providers van derden dan mogelijk in de map Spam.

Ga als volgt te werk om te zorgen dat berichten die door providers van derden worden verstuurd, door de SPF-controles komen:

  • Controleer de SPF-records van uw provider.
  • Routeer berichten via uw domein of netwerk door SMTP-relay te configureren.
TXT-record voor SPF

Als u SPF wilt inschakelen voor uw domein, updatet u de TXT-record voor SPF in de beheerdersconsole van uw domeinprovider. 

TXT-records zijn een soort Domain Name System-records (DNS) die tekstgegevens bevatten voor servers en andere bronnen buiten uw domein. Meer informatie over TXT-records.

Zie SPF inschakelen voor uw domein voor uitgebreide stappen.

(Optioneel) De huidige TXT-record voor SPF controleren

Er is wellicht al een TXT-record voor SPF ingesteld bij uw domeinprovider. U kunt dit controleren met de functie Check MX in de Google Admin Toolbox:

  1. Ga naar de Google Admin Toolbox.
  2. Voer uw domeinnaam in.
  3. Klik op Run Checks! (Controle uitvoeren).
  4. Klik wanneer de test is voltooid op Effective SPF Address Ranges (Effectief SPF-adresbereik).
  5. Controleer de SPF-resultaten. Deze moeten het volgende bevatten:
    • _spf.google.com
    • _netblocks.google.com, gevolgd door verschillende IP-adressen
    • _netblocks2.google.com, gevolgd door verschillende IP-adressen
    • _netblocks3.google.com, gevolgd door verschillende IP-adressen

Stap 1: Een TXT-record voor SPF maken

In een TXT-record voor SPF staan de e-mailservers die e-mails mogen sturen voor uw domein.

Een domein kan slechts één TXT-record voor SPF hebben. De TXT-record van een domein kan echter meerdere servers en domeinen bevatten die e-mails mogen sturen voor het domein.

TXT-recordcontent

Gebruik deze regel tekst voor de TXT-record als alle e-mails van uw organisatie worden verstuurd vanuit Google Workspace:

v=spf1 include:_spf.google.com ~all

Belangrijk: Als u e-mails stuurt op een of meer van deze manieren naast Google Workspace, moet u een aangepaste TXT-record voor SPF maken:

  • U stuurt e-mails vanaf andere servers.
  • U gebruikt een e-mailprovider van derden.
  • Uw website gebruikt een service die automatische e-mails genereert, bijvoorbeeld een contactformulier.

Voorbeeld:

v=spf1 ip4:192.168.0.1/16 include:_spf.google.com include:sparkpostmail.com ~all

Met deze TXT-record voor SPF worden Google Workspace, de opgegeven IP-adressen en de service van derden SparkPost geautoriseerd om e-mails te sturen namens uw domein.

Gebruik de informatie in Servergegevens voor de TXT-record en Indeling van de TXT-record om de TXT-record te maken.

Servergegevens voor de TXT-record
De TXT-record voor SPF moet informatie bevatten over uw e-mailservers.

IP-adressen van al uw e-mailservers

Identificeer de IP-adressen van alle servers die e-mails sturen voor uw organisatie. Dit kunnen bijvoorbeeld de volgende servers zijn:

  • Webservers
  • E-mailservers op locatie, bijvoorbeeld van Microsoft Exchange
  • E-mailservers die door uw serviceprovider worden gebruikt
  • Een provider of service van derden die e-mails stuurt voor uw domein

Alle domeinen die worden beheerd door uw organisatie

Identificeer alle domeinen worden beheerd door uw organisatie, zelfs domeinen die u niet gebruikt om e-mails te sturen. Spammers kunnen proberen domeinen waaruit geen e-mails worden gestuurd te spoofen, vooral als u de verzenddomeinen heeft beveiligd met SPF.

Indeling van de TXT-record

Een TXT-record is een regel platte tekst die bestaat uit een lijst met tags en waarden. De tags worden mechanismen genoemd. Andere, optionele tags die kwalificaties worden genoemd, bepalen welke actie er moet worden uitgevoerd als een mechanisme overeenkomt.

Hier ziet u enkele voorbeelden van TXT-records voor SPF. Vervang de voorbeeld-IP-adressen en -domeinen door uw eigen adressen en domeinnamen.

v=spf1 ip4:192.168.0.1/16 -all

Met deze TXT-record mogen alle IP-adressen tussen 192.168.0.1 en 192.168.255.255 e-mails sturen voor uw domein.

v=spf1 -all

Deze TXT-record voorkomt spoofing van uw domeinen die geen e-mails sturen.

TXT-recordmechanismen voor SPF

De tags waarmee een TXT-record voor SPF wordt gemaakt, worden mechanismen genoemd.

Belangrijk: Een SPF TXT-record kan maximaal tien lookups bevatten. Deze mechanismen in een TXT-record genereren een lookup: a, mx en include. Als uw TXT-record meer dan tien lookups heeft, komen berichten van uw domein niet door de SPF-verificatiecontrole van de ontvangstserver. Deze berichten worden wellicht in de map Spam geplaatst. Zie De DNS-lookups voor uw SPF-record controleren voor meer informatie.

Hier ziet u een lijst met mechanismen die u kunt gebruiken in de TXT-record. Mechanismen worden gecontroleerd in de volgorde waarin ze in de TXT-record staan. Als een mechanisme overeenkomt en er geen kwalificatie is gebruikt, is de standaardactie dat het bericht slaagt voor de SPF-controle.

Opmerking: De adressen en domeinen in deze tabel zijn voorbeelden. Vervang de voorbeeldwaarden door de IP-adressen en domeinen van uw eigen e-mailservers en organisaties.

Mechanisme Beschrijving en toegestane waarden
v SPF-versie. Moet spf1 zijn. Deze tag is vereist en moet de eerste tag in de record zijn.
ip4 Specificeert een of meer e-mailservers per IPv4-adres of -adresbereik. De waarde moet een IPv4-adres zijn in standaardindeling, bijvoorbeeld:
ip4:192.168.0.1
ip6 Specificeert een of meer e-mailservers per IPv6-adres of -adresbereik. De waarde moet een IPv6-adres zijn in standaardindeling, bijvoorbeeld:
ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF
a Specificeert een e-mailserver op basis van de domeinnaam, bijvoorbeeld:
a:solarmora.com
mx

Specificeert een of meer e-mailservers door te verwijzen naar de MX-record van een domein, bijvoorbeeld:
mx:mail.solarmora.com

U hoeft geen domein op te geven met dit mechanisme. Als u geen domein opgeeft, is de standaardwaarde de MX-records van het domein waar de SPF-record wordt gebruikt.

include

Specificeert e-mailservers van een ander domein dan uw eigen domein, bijvoorbeeld:
include:sparkpostmail.com

Gebruik dit mechanisme om e-mailafzenders van derden toe te staan.

all Als dit mechanisme wordt gebruikt, is dit meestal de laatste tag in de record. SPF-controles negeren elk mechanisme na all. We raden u aan dit mechanisme te gebruiken met een kwalificatie waarmee berichten voorlopig worden geweigerd: ~all

Kwalificaties voor TXT-records voor SPF

Optionele tags die kwalificaties worden genoemd, bepalen welke actie er moet worden uitgevoerd als een mechanisme in de SPF TXT-record overeenkomt.

Mechanismen worden gecontroleerd in de volgorde waarin ze voorkomen in de TXT-record. Als u geen kwalificaties gebruikt, is de standaardactie dat het bericht slaagt voor de SPF-controle. Als er geen mechanisme overeenkomt, is de standaardactie Neutraal.

Hier ziet u een lijst met kwalificaties die kunnen worden gebruikt in een TXT-record. Een kwalificatie is een optioneel voorvoegsel dat u kunt toevoegen aan elk mechanisme in de record. Kwalificaties geven aan welke actie moet worden uitgevoerd als een mechanismewaarde overeenkomt.

We raden u aan ~all te gebruiken in de TXT-record voor SPF.

Kwalificatie Beschrijving
+ Geslaagd. De server met het overeenkomende IP-adres of domein mag e-mails sturen voor het domein. Geslaagd is de standaard als er geen kwalificatie wordt gebruikt.
- Mislukt. De server met het overeenkomende IP-adres of domein mag geen e-mails sturen voor het domein. De SPF-record bevat niet het IP-adres of domein van de verzendserver.
~ Voorlopig mislukt. De server met het overeenkomende IP-adres of domein mag wellicht e-mails sturen voor het domein. Deze berichten worden meestal geaccepteerd en gemarkeerd als verdacht door de ontvangstserver.
? Neutraal. In de SPF-record staat niet expliciet dat het IP-adres of domein e-mails mag sturen voor het domein. SPF-records met het resultaat Neutraal bevatten vaak ?all.

Stap 2. SPF inschakelen voor uw domein

Schakel SPF in bij uw domeinprovider door een DNS TXT-record voor SPF toe te voegen.

  • De veldnamen in stap 4 hieronder kunnen anders zijn bij uw provider. De namen van DNS TXT-recordvelden kunnen per provider verschillen.
  • Als uw organisatie of domein alle e-mails vanuit Google Workspace stuurt, gebruikt u de TXT-recordwaarde uit stap 4 hieronder. Als u een andere TXT-record heeft gemaakt, voert u de waarde van die TXT-record in.

U moet de DNS TXT-record voor SPF updaten bij uw domeinprovider om SPF in te schakelen.

  1. Haal het tekstbestand of de regel die de TXT-record definieert op.
  2. Log in bij de beheerdersconsole van uw domeinhost. Als u niet zeker weet wie uw domeinhost is, volgt u de stappen in Uw domeinhost vinden.
  3. Zoek de pagina waar u de TXT-records voor uw domein kunt updaten.
  4. Voeg een nieuwe TXT-record toe voor uw e-mailservers van Google Workspace:

    Een nieuwe e-mailserver of domein toevoegen aan de SPF-records

    In de volgende gevallen moet u de TXT-record voor SPF updaten bij uw domeinprovider:

    • Als u nieuwe e-mailservers toevoegt aan uw organisatie
    • Als u nieuwe afzenders van derden gaat gebruiken

    Als u de TXT-record niet updatet met de gegevens van de nieuwe server of afzender, kunnen berichten die worden verstuurd vanaf die nieuwe servers of afzenders, in de map Spam worden geplaatst.

    Update eerst de TXT-record met de nieuwe servers of domeinen door de instructies te volgen in Stap 1: Een TXT-record voor SPF maken. Update vervolgens de SPF-record bij uw domeinprovider door de instructies te volgen in Stap 2. SPF inschakelen voor uw domein.

    Problemen met SPF-records oplossen

    Als berichten die vanuit uw domein zijn verzonden nog steeds in de map Spam worden geplaatst, zelfs nadat u SPF heeft ingeschakeld, probeert u deze aanbevelingen om problemen op te lossen.

    Controleren of berichten slagen voor de SPF-controle

    Als u wilt controleren of de SPF-record werkt zoals verwacht en berichten van uw domein slagen voor de SPF-controle, bekijkt u een bericht dat is verstuurd vanuit uw domein.
    Vraag iemand die een bericht uit uw domein heeft ontvangen het bericht te openen en de volledige kopteksten van de e-mail te bekijken. Bekijk vervolgens de SPF-resultaten in de berichtkop. Als in de berichtkop staat dat de SPF-controle is mislukt, controleert u of de SPF-record fouten bevat. Zorg dat de record verwijzingen bevat naar alle servers en domeinen die e-mails sturen voor uw organisatie.
    Bekijk eerst Stap 1. Een TXT-record voor SPF maken en breng de vereiste wijzigingen aan in uw TXT-record. Update vervolgens de record bij uw domeinhost door de stappen te volgen in Stap 2. SPF inschakelen voor uw domein.
    De DNS-lookups voor uw TXT-record controleren

    TXT-records voor SPF kunnen maximaal tien lookups bevatten. Uw TXT-record voor SPF kan dus maar tien verwijzingen naar andere domeinen bevatten. Als de TXT-record meer dan tien lookups bevat, komen berichten van uw domein niet door de SPF-controle van de ontvangstserver. De berichten kunnen dan in de map Spam worden geplaatst.

    Elke instantie van deze tags in de TXT-record zorgt voor een lookup: a, mx, include, ptr.

    Geneste lookups tellen mee voor de limiet van tien. Als een domein waarnaar wordt verwezen in een include-tag dus domeinverwijzingen heeft in de TXT-record voor SPF, worden die domeinen meegerekend voor de limiet.

    Als berichten nog steeds in de map Spam worden geplaatst, controleert u het aantal lookups voor uw TXT-record met de Check MX-functie in de Google Admin Toolbox.

    Ga als volgt te werk om het aantal lookups in de TXT-record te beperken:

    • Gebruik geen include-tags, tenzij deze echt nodig zijn.
    • Gebruik waar mogelijk de tag ip4 of ip6 in plaats van include.
    • Verwijder dubbele tags of tags die naar hetzelfde domein verwijzen.

    Verwijs alleen naar domeinen die actief e-mails sturen voor uw organisatie. Verwijder include-statements voor partners die geen e-mails meer sturen namens uw domein.

    Google, Google Workspace en de gerelateerde merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waarmee ze in verband worden gebracht.

Was dit nuttig?
Hoe kunnen we dit verbeteren?

Meer hulp nodig?

Log in voor extra supportopties om uw probleem snel op te lossen