Spring naar hoofdinhoud
SenderProof

Wat is SPF?

SPF (Sender Policy Framework) bepaalt welke mailservers namens jouw domein mogen versturen. Eén TXT-record in DNS, gecontroleerd door de ontvanger.

Hoe het werkt

Je publiceert op je domein een TXT-record dat begint met v=spf1. Daarin som je de toegestane verzenders op. Ontvangende mailservers vergelijken het IP van de verzendende server met die lijst — staat het er niet bij, dan faalt SPF. 

v=spf1 include:_spf.google.com include:sendgrid.net -all

De mechanismen

  • include: — neem de SPF van een andere partij over (bv. _spf.google.com voor Workspace).
  • ip4: / ip6: — een specifiek IP of bereik.
  • a / mx — de A- resp. MX-records van het domein mogen versturen.
  • -all — alles wat niet matcht weigeren (hardfail). Dit wil je.
  • ~all — softfail (markeren, niet weigeren). Een veilige tussenstap, maar geen eindstation.

De 10-lookup-limiet

SPF mag tijdens validatie maximaal 10 DNS-lookups doen (RFC 7208). Elke include:, a en mx telt mee — inclusief de geneste includes van je vendors. Klanten met M365 + een CRM + een nieuwsbrieftool zitten zó boven de limiet, waarna SPF permerror geeft en effectief faalt.

Senderproof lost dit op met dynamische SPF-flattening: we slaan je includes plat naar IP-ranges en publiceren één fragment dat je opneemt — zo blijf je onder de 10 lookups. Omdat vendors hun IP-ranges af en toe wijzigen, ververst onze scheduler het fragment automatisch.

SPF alleen is niet genoeg

SPF breekt bij doorgestuurde mail (de forwarder wordt de verzender) en zegt niets over de zichtbare From:-afzender. Daarom combineer je het altijd met DKIM en DMARC.