Defaults.Exposed

Defaults.Exposed › Rapporten

Het SPF-misconfiguratierapport: de meeste SPF-records staan te zwak ingesteld (2026)

Gepubliceerd 2026-06-29

Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde censusgegevens over de 138.927.207 domeinen die een SPF-record publiceren, uit 261 miljoen beoordeelde domeinen. Zie hoe wij beoordelen.

SPF hebben is niet hetzelfde als het correct ingesteld hebben — en de meeste domeinen die SPF publiceren, hebben het te zwak ingesteld om veel uit te richten. Van de 139 miljoen domeinen met een SPF-record eindigt 55,8% op ~all (softfail), de permissieve instelling die ontvangers vertelt: “dit kan een vervalsing zijn, maar bezorg het toch.” Slechts 39,3% gebruikt het strikte -all. SPF is breed ingevoerd maar, vaker wel dan niet, ontkracht.

Het “all”-mechanisme: waar SPF gewonnen of verloren wordt

Elk SPF-record eindigt op een “all”-mechanisme dat aangeeft wat te doen met e-mail van servers die niet op je lijst staan. Het is de hele bedoeling van SPF — en de meest voorkomende plek waar het wordt verzwakt:

EindeBetekenisDomeinen met SPF
-all (hardfail)Niet-gelijste afzenders weigeren — de strikte, bedoelde instelling39,3%
~all (softfail)“Waarschijnlijk een vervalsing, maar accepteer het toch”55,8%
?all (neutraal)Geen mening — feitelijk geen bescherming3,0%
+allHet hele internet machtigen om als jou te verzenden36.014 domeinen
anders / geenredirect/include-only of geen afsluitende all1,8%

De kop is dat softfail (~all) met 55,8% de meest voorkomende instelling is — meer dan hardfail. Op zichzelf biedt softfail zwakke bescherming: het vraagt ontvangers om niet-gelijste mail niet te vertrouwen, maar niet om die te weigeren.

De gevaarlijke randgevallen

Is softfail eigenlijk een probleem?

Niet als het wordt geruggensteund door DMARC. De moderne best practice is ~all plus een DMARC-beleid van quarantine of reject — die combinatie geeft je strikte handhaving zonder doorgestuurde mail te breken. Het probleem is het grote aandeel domeinen op ~all zonder handhavend DMARC erachter — slechts 10,59% van alle domeinen handhaaft DMARC — waardoor softfail vrijwel niets doet. SPF ingesteld op ~all is een middel tot een doel; zonder DMARC is het slechts een suggestie.

Veelgestelde vragen

Wat is het verschil tussen ~all en -all in SPF? -all (hardfail) vertelt ontvangers om mail van servers die niet op je lijst staan te weigeren. ~all (softfail) vertelt hen om die toch te accepteren maar als verdacht te markeren. 55,8% van de domeinen met SPF gebruikt ~all; 39,3% gebruikt -all.

Is ~all (softfail) veilig om te gebruiken? Ja — maar alleen in combinatie met een handhavend DMARC-beleid (quarantine of reject). Op zichzelf biedt softfail zwakke bescherming.

Wat doet +all? +all machtigt elke server op het internet om e-mail te verzenden als jouw domein — slechter dan geen SPF. 36.014 domeinen hebben dit, bijna altijd per ongeluk.

Wat is de SPF-fout “te veel lookups”? SPF staat maximaal 10 geneste DNS-lookups toe; daarboven faalt het record als een “permerror” en wordt het genegeerd. Het treft 7.958 domeinen.

Controleer of je SPF correct is ingesteld

SPF publiceren is het halve werk; het strikt instellen en met DMARC ruggensteunen is de andere helft. Controleer je domein privé en gratis.

Controleer je domein → · SPF herstellen → · DMARC herstellen → · Waarom e-mails in spam belanden → · Alleen geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.