# SPF-record toevoegen voor je Google Workspace-domein SPF (Sender Policy Framework) is een van de drie e-mailverificatiemethodes die bepalen of jouw mail betrouwbaar overkomt. Een SPF-record is een TXT-record in je DNS dat aangeeft welke servers namens jouw domein e-mail mogen versturen. Ontvangende servers controleren dit record en gebruiken het om spoofing tegen te gaan. ## Wat doet een SPF-record precies? Wanneer iemand een mail van jouw domein ontvangt, kijkt de ontvangende server naar het verzendende IP-adres en vergelijkt dat met de servers in je SPF-record. Staat de verzender in de lijst, dan is de mail waarschijnlijk legitiem. Staat hij er niet in, dan kan de mail als verdacht worden gemarkeerd. Voor Google Workspace is de standaardwaarde: `v=spf1 include:_spf.google.com ~all` De onderdelen betekenen het volgende. `v=spf1` geeft de SPF-versie aan. `include:_spf.google.com` verwijst naar alle verzendservers van Google. `~all` betekent softfail: mail van andere bronnen mag verzonden worden maar wordt als verdacht gemarkeerd. Wil je strenger zijn, dan gebruik je `-all` (hardfail), maar pas dat alleen toe als je zeker weet dat alle legitieme verzenders in je record staan. :::warn title="Slechts één SPF-record per domein" Je mag maar één SPF-record per domein hebben. Heb je al een SPF-record (bijvoorbeeld van een vorige mailprovider), voeg dan Google toe aan het bestaande record in plaats van een tweede record aan te maken. Twee SPF-records zorgen voor een permanente fout (PermError). ::: ## SPF-record toevoegen bij je registrar Het toevoegen van het record gebeurt niet in de Google Admin-console, maar bij de partij waar je domein geregistreerd staat (zoals TransIP, Cloudflare of GoDaddy). :::howto title="SPF-record instellen stap voor stap" 1. Log in bij je domeinregistrar of DNS-beheerder. 2. Ga naar het DNS-beheer van je domein. 3. Voeg een nieuw TXT-record toe met host `@` (of leeg, afhankelijk van de provider). 4. Zet als waarde: `v=spf1 include:_spf.google.com ~all` 5. Laat de TTL op de standaardwaarde staan of zet hem op `3600`. 6. Sla het record op en wacht op DNS-propagatie (meestal binnen een uur, soms tot 48 uur). ::: ## Combineren met andere verzenders Gebruik je naast Google Workspace nog andere diensten die namens je domein mailen, zoals een nieuwsbriefdienst of CRM, dan moet je die ook opnemen. Je voegt dan extra include-statements toe binnen hetzelfde record: `v=spf1 include:_spf.google.com include:servers.mcsv.net ~all` :::tip title="Blijf onder de tien DNS-lookups" SPF heeft een harde limiet van tien DNS-lookups; daarboven faalt de validatie. Elk include-statement telt mee, en `include:_spf.google.com` gebruikt door zijn geneste verwijzingen zelf al meerdere lookups. Heb je veel verzenders, overweeg dan SPF-flattening of een gespecialiseerde tool. ::: ## Wat de bulk sender-eisen betekenen Verstuur je veel mail naar Gmail-ontvangers, dan is SPF niet meer optioneel. Sinds 2024 hanteert Google (samen met Yahoo) eisen die in 2026 onverminderd gelden: verstuur je vanaf één domein 5.000 of meer berichten per dag naar Gmail-adressen, dan moet je domein authenticeren met zowel SPF als DKIM, een DMARC-record publiceren (minimaal `p=none`), je spamklachten onder de 0,3 procent houden en bij marketingmail een one-click-uitschrijflink aanbieden. Voldoe je niet, dan kan Google de mail weigeren of naar spam routeren. Ook onder die 5.000 berichten is correcte SPF- en DKIM-authenticatie sterk aanbevolen voor je bezorgbaarheid. ## Controleren of het werkt Na het toevoegen wil je verifiëren dat het record correct is uitgerold. Stuur een testmail naar een Gmail-adres, open het bericht, klik op de drie puntjes en kies Origineel weergeven. Daar zie je of SPF op PASS staat. Je kunt ook een online SPF-checker of de dig-opdracht gebruiken: `dig TXT jouwdomein.nl`. :::info title="SPF is slechts één van drie" SPF werkt het best samen met DKIM en DMARC. SPF alleen beschermt niet tegen alle spoofing, omdat het de zichtbare afzender (het From-adres) niet controleert. Pas DMARC toe om die laatste stap af te dekken. ::: :::faq ### Hoe lang duurt het voor mijn SPF-record actief is? Meestal binnen een uur, maar DNS-propagatie kan tot 48 uur duren. Wijzig je een bestaand record, dan geldt eerst de oude TTL voordat de nieuwe waarde overal zichtbaar is. ### Kan ik meerdere SPF-records hebben? Nee. Per domein mag er maar één SPF-record bestaan, dus één TXT-record dat met v=spf1 begint. Meerdere records leiden tot een PermError en falende validatie. ### Wat is het verschil tussen ~all en -all? De softfail ~all markeert mail van niet-vermelde bronnen als verdacht maar levert hem af. De hardfail -all weigert die mail. Begin met ~all en stap pas over op -all als je zeker weet dat alle verzenders gedekt zijn. ### Heb ik SPF nodig als ik weinig mail verstuur? Ja. Ook bij lage volumes verbetert SPF je bezorgbaarheid en helpt het spoofing tegen te gaan. Verstuur je 5.000 of meer berichten per dag naar Gmail, dan is SPF samen met DKIM en DMARC zelfs verplicht. ### Telt include:_spf.google.com mee voor de lookup-limiet? Ja, en zwaarder dan je denkt. Door de geneste verwijzingen erachter gebruikt deze ene include al meerdere van je tien toegestane DNS-lookups, dus houd daar rekening mee als je meer verzenders toevoegt. :::