In het kort

SPF is een een lijstje van mailsystemen die namens het domein mails mogen versturen. Dit lijstje is een zogenaamd TXT-record in je DNS. De ontvangende mailserver opent de mail en ziet het domein waar de mail zegt dat het afkomstig is en kijkt vervolgens of het mailsysteem dat de mail verzond in de SPF voor komt.

Staat de mailserver in de lijst, dan is het een OK, zo niet dan zal de ontvangende mailserver de DMARC record opzoeken en uitvoeren wat daarin staat aangegeven. Zonder de DMARC record gebeurt er niets en zal de mail naar de spamfilter worden gestuurd die dan mag beslissen. Als pech hebt zal de ontvanger het bericht nooit zien.

In SPF zie je leesbare namen, IP nummers en soms lettercombinaties zoals "A" en "MX". Hieronder een voorbeeld waar alleen Google Workspace mails mag versturen.


Hoe herken je een mail met of zonder SPF

Er zijn maildiensten die duidelijk aangeven of een mail valide is of niet. GMail is zo'n maildienst die duidelijk laat zien wanneer de afzender van de mail de SPF niet heeft ingesteld of als er een fout in zit. Hieronder twee voorbeelden. In het eerste voorbeeld is er geen SPF, geen DKIM en aangezien het is doorgekomen waarschijnlijk ook geen DMARC (of een p=none).


SPF niet in domein aanwezig

Wanneer er geen SPF is ingesteld, of er staat een "?all" (het vraagteken nooit gebruiken), dan ziet de GMail ontvanger, zodra de mail is geopend, een grijs stopbord met een rood vraagteken.

Ook al is dit bericht écht van dit domein afkomstig, de ontvanger kan dit niet controleren.

Om toch nog te controleren of het spam is wordt het bericht door een spamfilter gehaald. Hieroor kan het bericht ook in de spamfolder terecht komen, om misschien zelfs worden verwijderd.

SPF aanwezig en mailserver is door ontvanger herkend

Is SPF wél ingesteld dan zie je in GMail geen vraagteken, maar een extra regel met “verzonden door: ” gevolgd door het domein.


Opmerking: SPF brengt misbruik aanzienlijk terug en lijkt daardoor misschien goed genoeg. Bedenk dat in de SPF de mailsystemen van maildiensten zijn opgenomen en dat deze SPF door duizenden, honderdduizenden of zelfs miljoenen andere klanten wordt gebruikt. Die kunnen ook uit naam van jouw domein e-mails versturen en dat ziet er dan hetzelfde uit. DKIM is om dat gat verder te dichten.