SPF (Sender Policy Framework)

SPF (Sender Policy Framework) is een e-mailauthenticatieprotocol waarmee domeineigenaren kunnen verklaren welke mailservers geautoriseerd zijn om berichten namens hun domein te verzenden. Het werkt door een DNS TXT-record te publiceren met een lijst van goedgekeurde IP-adressen, server-hostnamen en include-directieven. Wanneer een ontvangende mailserver een inkomend bericht ontvangt, voert deze een SPF-lookup uit op het domein van de afzender, vergelijkt het IP-adres van de verzendende server met het SPF-record en beslist op basis van het resultaat of het bericht wordt geaccepteerd, gemarkeerd of geweigerd. SPF is een van de drie fundamentele e-mailauthenticatiestandaarden, naast DKIM (cryptografische berichtondertekening) en [DMARC](/glossary/dmarc) (beleidshandhaving).

Zonder een SPF-record kan elke server op internet beweren e-mails te verzenden vanaf jouw domein. Aanvallers maken hier misbruik van via domain spoofing — een centrale techniek bij phishingcampagnes, zakelijke e-mailfraude en spamdistributie. Een ontbrekend of verkeerd geconfigureerd SPF-record schaadt ook de afleverbaarheid van legitieme e-mails: grote providers zoals Gmail, Outlook en Yahoo weigeren of plaatsen steeds vaker berichten in quarantaine van domeinen zonder juiste authenticatie. Voor uitgevers die content per e-mail verspreiden — het delen van flipbooklinks, het verzenden van leadcapture-meldingen of het leveren van OTP-codes — heeft SPF direct invloed op of die berichten de inbox bereiken of in spammappen verdwijnen.

FlipLink verstuurt verschillende soorten e-mail namens uitgevers: leadcapture-meldingen, links voor het delen van publicaties, OTP-verificatiecodes en verzoeken voor documentgoedkeuring. Deze e-mails worden verzonden via de geverifieerde infrastructuur van FlipLink, die eigen SPF-records onderhoudt om de afleverbaarheid te garanderen. Als je een [aangepast domein](/features/custom-domains) gebruikt voor je FlipLink-publicaties en wilt dat e-mailcommunicatie van dat domein afkomstig is of ernaar verwijst, moet je de verzendservers van FlipLink toevoegen aan het SPF-record van je domein. Dit vertelt de mailservers van ontvangers dat FlipLink geautoriseerd is om namens jou te verzenden, waardoor wordt voorkomen dat die berichten als verdacht worden gemarkeerd. De instelling duurt slechts enkele minuten in je DNS-beheerpaneel en geldt wereldwijd voor alle publicaties onder dat domein.

Een SPF-record is een enkel DNS TXT-record dat aan je domein is gekoppeld. Het gebruikt een specifieke syntax om autorisatieregels te definiëren: - **`v=spf1`** — verklaart de SPF-versie (altijd versie 1) - **`ip4:` / `ip6:`** — autoriseert specifieke IP-adressen of CIDR-bereiken - **`include:`** — verwijst naar het SPF-record van een ander domein (veel gebruikt voor externe verzenders) - **`a` / `mx`** — autoriseert de IP's die zijn gekoppeld aan de A- of MX-records van je domein - **`~all`** (softfail) — markeert ongeautoriseerde verzenders als verdacht maar levert toch af - **`-all`** (hardfail) — weigert e-mail van ongeautoriseerde verzenders volledig SPF heeft een limiet van 10 lookups voor DNS-queries binnen een enkel record. Het overschrijden van deze limiet zorgt ervoor dat de volledige SPF-controle faalt — een veelvoorkomend probleem bij domeinen die veel externe e-maildiensten gebruiken. Elke `include:`-directief telt als één lookup, en geneste includes tellen mee voor het totaal.

Volg deze stappen om SPF voor je domein te configureren bij het gebruik van FlipLink: 1. **Identificeer je huidige SPF-record** — Gebruik een DNS-lookuptool of het DNS-paneel van je registrar om te controleren of er al een TXT-record bestaat dat begint met `v=spf1` 2. **Maak een lijst van alle geautoriseerde verzenders** — Verzamel de SPF include-waarden voor elke dienst die e-mail verzendt vanaf je domein (je e-mailprovider, marketingtools en FlipLink) 3. **Voeg de servers van FlipLink toe** — Voeg de geautoriseerde verzendserver-directief van FlipLink toe aan je bestaande SPF-record 4. **Stel je handhavingsniveau in** — Gebruik eerst `~all` (softfail) om te monitoren zonder te blokkeren, schakel daarna over naar `-all` (hardfail) zodra je hebt bevestigd dat alle legitieme verzenders zijn opgenomen 5. **Controleer het aantal lookups** — Verifieer dat je record binnen de limiet van 10 lookups blijft met behulp van een SPF-validatietool 6. **Test de aflevering** — Stuur een test-e-mail via FlipLink (activeer een leadcapture of deel een publicatie) en controleer de e-mailheaders op `spf=pass` 7. **Monitor regelmatig** — Controleer je SPF-record telkens wanneer je een e-mailverzendservice toevoegt aan of verwijdert van je domein

**"SPF alleen is voldoende om mijn domein te beschermen."** SPF verifieert alleen het IP-adres van de verzendende server — het verifieert niet het zichtbare "Van"-adres dat ontvangers zien. Volledige bescherming vereist SPF gecombineerd met DKIM (dat de berichtinhoud ondertekent) en DMARC (dat SPF- en DKIM-resultaten koppelt aan het zichtbare afzenderadres en een beleid definieert voor mislukkingen). **"SPF is van toepassing op het adres dat in de inbox wordt getoond."** SPF controleert eigenlijk het "envelope from"-adres (ook wel return-path genoemd), dat verborgen is voor de ontvanger. De "Van"-header die gebruikers in hun e-mailclient zien, wordt beheerst door DMARC-uitlijning, niet door SPF alleen. **"Meer include-directieven maken mijn SPF-record sterker."** Elke `include:` telt mee voor de limiet van 10 lookups. Te veel includes kunnen je SPF-record daadwerkelijk volledig kapotmaken, waardoor alle controles een permanente fout retourneren. Neem alleen diensten op die actief e-mail verzenden vanaf je domein. **"Ik heb SPF eenmalig ingesteld en hoef het nooit meer aan te raken."** SPF-records vereisen onderhoud. Het toevoegen van een nieuwe e-mailmarketingtool, het wisselen van CRM-provider of het integreren van een dienst zoals FlipLink vereisen allemaal een update van het record. Verouderde vermeldingen voor buiten gebruik gestelde diensten verspillen lookupslots en kunnen beveiligingsgaten creëren.