ServerRecords

Help & probleemoplossing

SPF

Wat dit is

SPF (Sender Policy Framework) is een TXT-record dat de servers opsomt die e-mail voor je domein mogen versturen. Ontvangers controleren de verbindende server tegen de lijst; gecombineerd met DMARC voorkomt het dat anderen je adres vervalsen.

Hoe je je resultaat leest

Eén record dat begint met v=spf1, mechanismen voor elke legitieme verzenddienst, en een afsluitende all-kwalificatie — idealiter ~all of -all. Let op het aantal DNS-opzoekingen: de mechanismen include/a/mx/exists mogen samen maximaal 10 zijn.

Veelvoorkomende problemen en hoe je ze oplost

Meer dan 10 DNS-opzoekingen (permerror)

Hoe het zich uit: SPF evalueert als permanente fout bij ontvangers; authenticatie faalt ook al "ziet het record er goed uit". Vaak na het stapelen van meerdere SaaS-includes.

Hoe je het oplost: Verwijder includes voor diensten die je niet meer gebruikt, vervang a/mx door expliciete ip4/ip6 waar praktisch, of gebruik de SPF-flattening-tool om includes te herleiden tot kale IPs (herflatten daarna periodiek, aangezien providerbereiken veranderen).

Legitieme mail faalt omdat een verzenddienst ontbreekt

Hoe het zich uit: Mail van één tool (helpdesk, nieuwsbrief, CRM) belandt in spam of bounct, terwijl andere mail prima is.

Hoe je het oplost: Voeg de gedocumenteerde include (of IP-bereiken) van die provider toe aan het bestaande record. Maak nooit een tweede v=spf1-record aan — breid het ene record uit.

Record eindigt op +all of ?all

Hoe het zich uit: Iedereen waar ook ter wereld slaagt voor SPF voor je domein — spammers inbegrepen; de reputatie van je domein brokkelt af.

Hoe je het oplost: Scherp het beleid aan: ~all (softfail) terwijl je je verzenderlijst valideert, daarna -all zodra je er zeker van bent dat elke legitieme bron is opgenomen.

SPF correct maar doorgestuurde mail faalt nog steeds

Hoe het zich uit: Mail die via forwarders wordt gerouteerd (mailinglijsten, universiteitsdoorsturen) faalt voor SPF bij de uiteindelijke ontvanger.

Hoe je het oplost: Dit is inherent: doorsturen breekt SPF omdat het IP van de forwarder niet in je record staat. Implementeer DKIM (dat doorsturen overleeft) plus DMARC, zodat berichten via DKIM authenticeren zelfs wanneer SPF faalt.

Voer een opzoeking uit voor dit record