Vraag:
Hoe stel ik een SPF-record in op mijn Google Workspace domein.
Uitleg:
Een SPF (Sender Policy Framework) record is een stukje tekst (TXT-record) in je domein die je toevoegt bij je DNS (domein) provider. Het is eigenlijk om het nog simpeler te zeggen: jouw domein die toestemming geeft aan de versturende mailserver in het geval Google (maar dit kan ook bijvoorbeeld Brevo zijn of je eigen website) om vanaf hun server (IP adres) mail te mogen versturen.
In het domein staat namelijk een stuk tekst waarin jij toestemming geeft aan de server en de andere servers herkennen dit. Dit zorgt ervoor dat e-mails die jij verstuurd van Google of enige andere partij via jouw domein niet worden gemarkeerd als SPAM. Je kan zelf controleren welke tekst (TXT) records er in je domein staan door bijvoorbeeld naar deze dig (domain information groper) tool te gaan.
Oplossing:
Voor het instellen van het SPF record moet er toegang zijn tot de DNS omgeving van het domein, dit kan bijvoorbeeld via TransIP, MijnDomein, Plesk of DirectAdmin zijn. Hierin kan je tekst (TXT) records aanpassen in het domein via de DNS gegevens.
Meestal staan er in het domein al SPF-records, deze zijn toegevoegd door de DNS host of een andere persoon, het is meestal mogelijk om daarbij de volgende tekst te plakken: _spf.google.com.
Deze moet worden toegevoegd tussen v=spf1 <ip adressen of/en andere domeinen> include:_spf.google.com <het einde> ~all. Het kan ook zijn dat je domein geen SPF record heeft, daar kan je het volgende SPF record toevoegen: v=spf1 include:_spf.google.com -all.
Hieronder staan de verschillende onderdelen van een SPF record uitgelegd.
| Mechanisme | Beschrijving en waarden | Uitleg |
| v | SPF-versie; moet de eerste tag in de record zijn: v=spf1 | Zo herkend de server het protocol |
| ip4 | Autoriseert e-mailservers via IPv4-adres of -adresbereik; voorbeeld: ip4:192.168.0.1 | Hier kan je bijvoorbeeld je webserver toegang meegeven via het IPv4 adres. |
| ip6 | Autoriseert e-mailservers via IPv6-adres of -adresbereik; voorbeeld: ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF | Hier kan je bijvoorbeeld je webserver toegang meegeven via het IPv6 adres. |
| a | Autoriseert e-mailservers op basis van de domeinnaam | Je wilt vanaf je webserver versturen, dan kan je deze A toevoegen om dit toe te laten staan. |
| mx | Autoriseert Mail eXchange-records van domeinen | Wil je je mailserver laten versturen met bijvoorbeeld 1 IP adres, voeg je MX toe in de regel. |
| include | Autoriseert e-mailafzenders van derden per domein; voorbeeld: include:servers.mail.net | Een extern SPF record kan worden geïmporteerd / gebruikt worden in je eigen domein. |
| all | Alle inkomende berichten moeten overeenkomen met de record; altijd aanbevolen om dit mechanisme toe te voegen | NVT |
| ~all | Softfail-kwalificatie; ontvangstmailservers accepteren berichten, maar markeren ze als verdacht | Het voordeel van de twijfel krijgen in emails die worden verstuurd. |
| -all | Fail-kwalificatie; ontvangstmailservers weigeren mogelijk berichten | Gelijk afwijzen van e-mails die niet voldoen aan SPF record. |
Een TXT-record voor SPF mag niet meer dan 10 verwijzingen naar andere domeinen of servers bevatten. Deze verwijzingen worden lookups genoemd. Voor het controleren van je SPF-record kan je de tool van bijvoorbeeld SPF Check Tool van Kitterman gebruiken.