E-mailafzenders autoriseren met SPF

Spoofing vanuit uw domein voorkomen

Met Sender Policy Framework (SPF) voorkomt u dat spammers ongeautoriseerde e-mails verzenden vanuit uw domein. Dit type spam wordt spoofing genoemd. SPF is een e-mailbeveiligingsmethode waarmee spoofing vanuit uw domein wordt voorkomen. Spoofing wordt veel gebruikt om ongeautoriseerde e-mails te verzenden, dus voor sommige e-mailservers is SPF vereist. Als u SPF niet instelt voor uw domein, kunnen berichten uit uw domein worden teruggestuurd of gemarkeerd als spam.

SPF gebruiken met DKIM en DMARC

We raden u aan naast SPF ook DomainKeys Identified Mail (DKIM) en Domain-based Message Authentication, Reporting & Conformance (DMARC) in te stellen.

  • SPF specificeert welke domeinen berichten kunnen verzenden.
  • DKIM controleert of de berichtinhoud authentiek is en niet is gewijzigd.
  • DMARC specificeert hoe uw domein omgaat met verdachte binnenkomende e-mails.

SPF inschakelen voor uw domein

Als u SPF wilt inschakelen voor uw domein, voegt u een SPF TXT-record toe bij uw domeinhost. Deze TXT-record heeft geen invloed op uw e-mailstroom.

Over TXT-records

Bij uw domeinhost zijn bepaalde tekstinstellingen, genaamd DNS-records, opgeslagen. Hiermee wordt internetverkeer naar uw domein gestuurd. Meer informatie over werken met TXT-records. Als u hulp nodig heeft bij het toevoegen van TXT-records, neemt u contact op met uw domeinhost.

In een SPF TXT-record staan de e-mailservers die e-mails mogen verzenden vanuit uw domein. Berichten die worden verzonden vanaf servers die niet in de record staan, kunnen worden gemarkeerd als spam. 

SPF en meerdere e-mailservers

Het wordt afgeraden meerdere SPF-records te gebruiken voor meerdere e-mailservers. Het gebruik van meerdere SPF-records kan leiden tot autorisatieproblemen. Gebruik dezelfde SPF-record voor al uw e-mailservers. 

Meer informatie over het updaten van een bestaande SPF-record voor gebruik met meerdere e-mailservers.

Een SPF TXT-record toevoegen

Als u SPF wilt inschakelen, moet u de SPF TXT-record van uw domein updaten:

  1. Log in op het account van uw domein bij uw domeinhost (niet de Google Beheerdersconsole).

    Ik weet niet wie mijn domeinhost is.

  2. Ga naar de pagina waar u de DNS-records van uw domein kunt updaten. Deze pagina kan DNS management, Name server management of Advanced settings heten.
  3. Zoek de TXT-records en controleer of uw domein een bestaande SPF-record heeft. De SPF-record begint met v=spf1.
  4. Als uw domein al een SPF-record heeft, moet u deze verwijderen. Ga anders verder met stap 5.
  5. Maak een TXT-record met deze waarden:
    • Name/Host/Alias (Naam/Host/Alias): Voer @ in of laat leeg. U kunt wellicht aan de andere DNS-records voor uw domein zien wat u hier moet invullen.
    • Time to Live (TTL): Voer 3600 in of laat de standaardwaarde staan.
    • Value/Answer/Destination (Waarde/Antwoord/Bestemming): Voer v=spf1 include:_spf.google.com ~all in.

  6. Sla de record op.

Het kan 48 uur duren voordat de nieuwe SPF-record in werking treedt, maar dit kan ook sneller gebeuren.

De SPF-record verifiëren

Verifieer de SPF-record met de Check MX-app. Deze is onderdeel van de G Suite Toolbox:

  1. Ga naar https://toolbox.googleapps.com/apps/checkmx/.
  2. Voer uw domeinnaam in.
  3. Klik op Run Checks! (Controle uitvoeren).
  4. Klik wanneer de test is voltooid op Effective SPF Address Ranges (Effectief SPF-adresbereik).
  5. Controleer de SPF-resultaten. De resultaten moeten het volgende bevatten:
    • _spf.google.com
    • _netblocks.google.com, gevolgd door verschillende IP-adressen
    • _netblocks2.google.com, gevolgd door verschillende IP-adressen
    • _netblocks3.google.com, gevolgd door verschillende IP-adressen

Een SPF-record toepassen op meerdere servers

Een domein kan slechts één SPF-record hebben. Maak geen SPF-record voor elke e-mailserver. Update één SPF-record zodat al uw e-mailservers erin staan.

Als u bijvoorbeeld een gateway voor uitgaand verkeer instelt, bevat de SPF-record het Gmail-serveradres en het SMTP-serveradres van de uitgaande gateway.

Als u een e-mailserver wilt toevoegen aan een bestaande SPF-record, voert u het IP-adres van de server in vóór het argument ~all. Gebruik de indeling ip4:adres of ip6:adreszoals in dit voorbeeld:

v=spf1 ip4:172.16.254.1 include:_spf.google.com ~all

Als u het domein van een e-mailserver wilt toevoegen, voert u elk domein in met het woord include ervoor. Voorbeeld:

v=spf1 include:serverdomein.com include:_spf.google.com ~all

Maximum aantal DNS-lookups en SPF-controles

SPF ondersteunt maximaal tien DNS-lookups. Geneste lookups tellen mee voor dit maximum. Als een SPF-record meer dan tien lookups bevat, worden de mechanismen na tien behandeld als ongeldig en slaagt de SPF-controle niet. 

Meer informatie over limieten voor DNS-lookups in RFC 7208.

De volgende SPF-recordmechanismen en -modifiers tellen mee voor het maximum aantal lookups:

  • a
  • exists
  • include
  • mx
  • ptr
  • require

De volgende mechanismen en modifiers tellen niet mee voor het maximum aantal lookups:

  • exp
  • ip4
  • ip6

U kunt op de volgende manieren het aantal lookups in een SPF-record verminderen:

  • Vermijd onnodige include-statements.
  • Gebruik waar mogelijk het mechanisme ip4 of ip6 in plaats van include.
  • Vermijd het gebruik van het mechanisme ptr, omdat het veel DNS-lookups genereert.
  • Verwijder dubbele mechanismen of mechanismen die gelden voor hetzelfde domein.
  • Voeg alleen referenties toe voor domeinen die actief e-mails verzenden.
  • Verwijder eventuele include-statements uit SPF-records van partners die geen e-mails meer verzenden vanuit uw domein.

U kunt het aantal lookups voor een SPF-record controleren met de Check MX-app. Deze is onderdeel van de G Suite Toolbox.

Gerelateerde artikelen

Zie Google IP-adresbereiken voor uitgaande SMTP voor informatie over welke gegevens u moet toevoegen aan SPF-records.

Was dit nuttig?
Hoe kunnen we dit verbeteren?