Een SPF record instellen
Wat is SPF?
SPF staat voor Sender Policy Framework. Dit is een DNS TXT record invan je domeinnaam wat een lijst bevat van servers die vanuit jouw domeinnaam e-mails mogen verzenden. De ontvanger controleert of het IP-adres van de mailserver van waarop het e-mailbericht verzonden werd in het DNS record opgenomen is.
Stap 1: een SPF TXT record samenstellen
Je SPF gegevens sla je op in een TXT record van je domein en kan je zelf samenstellen in bijvoorbeeld kladblok. Wil je hierbij hulp, dan kan je een handige online SPF generator gebruiken zoals deze van MXToolbox.
We starten met een voorbeeld SPF TXT record:
v=spf1 mx include:_spf.google.com ~all
Wat bevat een SPF TXT record allemaal?
Tag | Beschrijving | Voorbeeld |
v | De versie van je SPF record. Tot op heden is dit altijd 'versie 1'. | v=spf1 |
mx | De mailservers wat je in je DNS MX records opgenomen hebt. | mx of mx:nexxwave.be |
a | Het A en/of AAAA record van je domein. | a of a:nexxwave.be |
ip4 | Een IPv4 adres of range. | ip4:1.2.3.4 of ip4:1.2.3.4/24 |
ip6 | Een IPv6 adres of range. |
ip6:2001:0db8:0123:4567:89ab:cdef:1234:5678 of ip6:2001:0db8:0123:4567::/64 |
include | Hiermee kan je een lijst van adressen vanuit een ander TXT record aanwijzen. Als je bijvoorbeeld Google Workspace gebruikt, dan verwijs je naar Google's TXT record waarin zij hun mailservers up-to-date houden. |
include:_spf.google.com |
all |
Als afsluiter kies je hoe een ontvangende mailserver e-mails moet behandelen die hij ontvangen heeft en waarvan het IP adres van de verzendende mailserver niet in je SPF record staat. De mogelijkheden zijn:
|
~all |
Een SPF record moet per subdomein gemaakt worden als je vanuit dat domein e-mails verzendt. Een SPF record op je hoofddomein, geldt enkel en alleen voor dat hoofddomein.
Mail je bijvoorbeeld vanaf @example.com, dan maak je een SPF record voor de e-mails die gestuurd worden met het @example.com adres. Gebruik je ook het domein @demo.example.com, dan maak je een apart SPF record met een lijst van e-mailservers wat mogen mailen uit naam van het domein @demo.example.com.
Tips
Neem voldoende de tijd om alle mailservers op te zoeken die vanuit jouw domein mailen. Denk bijvoorbeeld aan je mailprovider (Google Workspace, Microsoft 365), een contactformulier op je webserver, een dienst wat je gebruikt om nieuwsbrieven te versturen zoals Mailchimp, enz. Welk record je voor die specifieke diensten moet gebruiken, vind je in hun documentatie terug.
We raden aan om je TXT record te valideren voordat je deze in je DNS plaatst. Dat kan bijvoorbeeld met de online tool van Kitterman.
Start met ~all
om te voorkomen dat je mailservers bent vergeten op te nemen en je e-mails daardoor niet zullen toekomen bij de ontvanger. Na enkele weken kan je dit vervangen door -all
.
Hoewel de tag include
super gemakkelijk lijkt (dat is het ook!), is er een limiet van 10 domeinen wat je mag vernoemen. Dit is om het aantal DNS look-ups wat een mailserver moet doen, zo beperkt mogelijk te houden. Let op: dit aantal is recursief. Dus als je via 'include' een adres toevoegt wat op zijn beurt 8 andere 'includes' bevat, dan heb je nog plaats voor 1 extra 'include'.
Stap 2: het TXT record in je DNS opnemen
Zodra je je TXT record met je SPF gegevens samengesteld hebt, plaats je deze in de DNS van je domeinnaam. Dit doe je door in te loggen op het DNS beheerpaneel van je DNS provider.
- Voeg een record van het type 'TXT' toe.
- Afhankelijk van je domein provider, geef je als 'domeinnaam' ofwel niets in (blanco dus) ofwel een @-teken als je het record ingeeft voor je hoofddomein (bv. nexxwave.be). Als je het record ingeeft voor een subdomein, dan noteer je hier het subdomein (bv. demo.nexxwave.be).
- Als TTL raden we aan om te starten met een lage waarde zodat wijzigingen wat je doet vlug opgepikt kunnen worden. Neem bijvoorbeeld een TTL van 5 minuten: 300.
- Als TXT-record noteer je het record wat je gemaakt hebt. Afhankelijk van je domein provider, moet dit tussen "aanhalingstekens" getypt worden.
Stap 3: online validatie van je DNS record
Wanneer je TXT record online staat, controleer dan of het goed reageert op aanvragen. Dat kan vanaf je computer of via een online tool zoals deze van MXToolbox:
Vanaf je laptop kan je via dig
eenvoudig de TXT record van je (sub)domein opvragen:
Je kan ook een validatie van je SPF record doen door vanaf al je e-mailservers een e-mail te sturen naar een (best extern) e-mailadres. In de headers van deze e-mail vind je terug of de SPF validatie geslaagd al dan niet geslaagd is: