Defaults.Exposed › Rapporten
Het SPF-misconfiguratierapport: de meeste SPF-records staan te zwak ingesteld (2026)
Gepubliceerd 2026-06-29
Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde censusgegevens over de 138.927.207 domeinen die een SPF-record publiceren, uit 261 miljoen beoordeelde domeinen. Zie hoe wij beoordelen.
SPF hebben is niet hetzelfde als het correct ingesteld hebben — en de meeste domeinen die SPF publiceren, hebben het te zwak ingesteld om veel uit te richten. Van de 139 miljoen domeinen met een SPF-record eindigt 55,8% op ~all (softfail), de permissieve instelling die ontvangers vertelt: “dit kan een vervalsing zijn, maar bezorg het toch.” Slechts 39,3% gebruikt het strikte -all. SPF is breed ingevoerd maar, vaker wel dan niet, ontkracht.
Het “all”-mechanisme: waar SPF gewonnen of verloren wordt
Elk SPF-record eindigt op een “all”-mechanisme dat aangeeft wat te doen met e-mail van servers die niet op je lijst staan. Het is de hele bedoeling van SPF — en de meest voorkomende plek waar het wordt verzwakt:
| Einde | Betekenis | Domeinen met SPF |
|---|---|---|
-all (hardfail) | Niet-gelijste afzenders weigeren — de strikte, bedoelde instelling | 39,3% |
~all (softfail) | “Waarschijnlijk een vervalsing, maar accepteer het toch” | 55,8% |
?all (neutraal) | Geen mening — feitelijk geen bescherming | 3,0% |
+all | Het hele internet machtigen om als jou te verzenden | 36.014 domeinen |
| anders / geen | redirect/include-only of geen afsluitende all | 1,8% |
De kop is dat softfail (~all) met 55,8% de meest voorkomende instelling is — meer dan hardfail. Op zichzelf biedt softfail zwakke bescherming: het vraagt ontvangers om niet-gelijste mail niet te vertrouwen, maar niet om die te weigeren.
De gevaarlijke randgevallen
+all— 36.014 domeinen. Dit is de slechtst mogelijke SPF-waarde: het vertelt de wereld expliciet dat elke server e-mail mag verzenden als het domein. Het is bijna altijd een kopieer-plakfout en strikt slechter dan helemaal geen SPF hebben.- Te veel DNS-lookups — 7.958 domeinen. SPF staat maximaal 10 geneste DNS-lookups toe; overschrijd je dat, dan is het record een “permerror” die ontvangers als kapot behandelen. Het komt minder vaak voor dan gevreesd (0,01% van de SPF-records), maar als het toeslaat, maakt het je SPF stilletjes volledig ongeldig.
Is softfail eigenlijk een probleem?
Niet als het wordt geruggensteund door DMARC. De moderne best practice is ~all plus een DMARC-beleid van quarantine of reject — die combinatie geeft je strikte handhaving zonder doorgestuurde mail te breken. Het probleem is het grote aandeel domeinen op ~all zonder handhavend DMARC erachter — slechts 10,59% van alle domeinen handhaaft DMARC — waardoor softfail vrijwel niets doet. SPF ingesteld op ~all is een middel tot een doel; zonder DMARC is het slechts een suggestie.
Veelgestelde vragen
Wat is het verschil tussen ~all en -all in SPF?
-all (hardfail) vertelt ontvangers om mail van servers die niet op je lijst staan te weigeren. ~all (softfail) vertelt hen om die toch te accepteren maar als verdacht te markeren. 55,8% van de domeinen met SPF gebruikt ~all; 39,3% gebruikt -all.
Is ~all (softfail) veilig om te gebruiken?
Ja — maar alleen in combinatie met een handhavend DMARC-beleid (quarantine of reject). Op zichzelf biedt softfail zwakke bescherming.
Wat doet +all?
+all machtigt elke server op het internet om e-mail te verzenden als jouw domein — slechter dan geen SPF. 36.014 domeinen hebben dit, bijna altijd per ongeluk.
Wat is de SPF-fout “te veel lookups”? SPF staat maximaal 10 geneste DNS-lookups toe; daarboven faalt het record als een “permerror” en wordt het genegeerd. Het treft 7.958 domeinen.
Controleer of je SPF correct is ingesteld
SPF publiceren is het halve werk; het strikt instellen en met DMARC ruggensteunen is de andere helft. Controleer je domein privé en gratis.
Controleer je domein → · SPF herstellen → · DMARC herstellen → · Waarom e-mails in spam belanden → · Alleen geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.