Defaults.Exposed

Defaults.ExposedOplossingenGuides

Doorgestuurde e-mail faalt op SPF — waarom u het niet kunt repareren, en wat wél werkt (2026)

Gepubliceerd 2026-07-08

Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde censusgegevens over 261 miljoen beoordeelde domeinen. Zie hoe wij beoordelen.

U kunt SPF niet laten slagen voor doorgestuurde e-mail — doorsturen breekt SPF by design, en de eerlijke oplossing is aligned DKIM, dat doorsturen wél overleeft. De schaal is census-breed: 7.355.985 van de 138.927.207 SPF-publicerende domeinen autoriseren uitsluitend Namecheaps forwarding-include, met een strikte-SPF-aandeel van <0.1%, volgens de Defaults.Exposed-census van 261 miljoen domeinen.

Hieronder: waarom geen enkel SPF-record dat u zou kunnen schrijven doorsturen overleeft, waarom SRS en ARC geen instrumenten zijn waar u controle over hebt, en de oplossing die standhoudt — DKIM-ondertekening met uw eigen domein als uw DMARC-pass — plus het ene geval dat ook DKIM breekt (mailinglijsten die berichten herschrijven) en wat u met dat restant doet.

Waarom breekt doorsturen SPF?

Ontvangende mailservers evalueren SPF tegen het Return-Path-domein (RFC5321.MailFrom), niet de From-header. Verzendt u rechtstreeks, dan staat het IP van uw server in uw SPF-record en slaagt de controle. Stuurt uw ontvanger het bericht automatisch door — naar een persoonlijke Gmail, via een universiteitsalias, via het doorstuurproduct van een registrar — dan verzendt de server van de doorstuurder het opnieuw, meestal met uw domein nog op het Return-Path. De uiteindelijke ontvangende server vraagt nu: is deze doorstuurserver geautoriseerd in uw SPF-record?

Dat is hij niet, en dat zal hij nooit zijn: u hebt de doorstuurder niet gekozen, u weet niet dat hij bestaat, en hetzelfde bericht dat morgen via een andere dienst wordt doorgestuurd, zou vanaf een ander IP falen. SPF beantwoordt één vraag — “kwam dit IP van een server die het Return-Path-domein heeft geautoriseerd?” — en voor doorgestuurde mail is het eerlijke antwoord nee. De fail is SPF dat werkt zoals gespecificeerd, niet uw record dat fout is.

De census laat zien hoe gangbaar deze route is: 7.355.985 domeinen autoriseren Namecheaps e-mail-forwarding-include (spf.efwd.registrar-servers.com) — het doorstuurproduct van één enkele provider, uit de 139 miljoen SPF-publiceerders — met een strikte-SPF-aandeel van <0.1% en slechts 0,2% die DMARC handhaaft. Dat zachte sjabloon is geen slordigheid: doorsturen is precies waar een strikte -all de plank misslaat, en de provider wiens product doorsturen is, levert daarnaar. Het volledige qualifier-verhaal staat in ons ~all vs -all-rapport, en het beeld per provider in welke e-mailprovider de sterkste SPF levert.

Kan ik de server van de doorstuurder niet gewoon aan mijn SPF-record toevoegen?

Nee — en het waarom is het hele artikel:

  1. U kunt doorstuurders niet opsommen. Elke ontvanger, waar dan ook, kan uw mail via elke willekeurige dienst doorsturen. Uw SPF-record zou servers moeten vermelden waarvan u het bestaan vooraf niet kunt kennen.
  2. Ze vermelden zou het doel tenietdoen. Grote doorstuurdiensten sturen mail door voor miljoenen klanten. Zet hun reeksen in uw record en elk bericht dat een van hun gebruikers doorstuurt — inclusief dat van een spoofer — slaagt voor SPF als u.

Dezelfde logica sluit het versoepelen van uw qualifier uit om “doorsturen werkend te krijgen”: de qualifier is niet waarom doorgestuurde mail faalt, en zodra DMARC in het spel is verandert hij minder dan de meeste gidsen beweren — zie de qualifier-gegevens. Het record is hier niet de hefboom. Stop met eraan trekken.

En SRS en ARC — lossen die doorsturen niet op?

Ze adresseren het — maar geen van beide is aan u om uit te rollen:

MechanismeWat het doet als mail wordt doorgestuurdWie het beheertLost het uw DMARC op?
SPFFaalt: het IP van de doorstuurder staat niet in uw recordU publiceert het; doorsturen verslaat hetNee
SRS (Sender Rewriting Scheme)Doorstuurder herschrijft het Return-Path naar zijn eigen domein, zodat zijn herverzending voor SPF slaagtDe doorstuurderNee — de SPF-pass hoort nu bij het domein van de doorstuurder, dat niet alignt met uw From
ARC (RFC 8617)Doorstuurder verzegelt de oorspronkelijke authenticatieresultaten; de uiteindelijke ontvangende server mag de verzegelde keten vertrouwenDe doorstuurder en de ontvangende serverSoms — naar het oordeel van de ontvangende server, niet het uwe
Aligned DKIMDe handtekening reist mee in het bericht en verifieert ook na doorsturen, met uw domein eropUJa

Gegevens en mechanismestatus per 2026-06-29.

SRS laat het SPF-probleem van de doorstuurder verdwijnen, niet het uwe: het herschrijven van het Return-Path verandert wiens SPF wordt gecontroleerd, terwijl uw From-header — het domein dat DMARC verdedigt — onaangetast blijft. ARC is een vertrouwensbeslissing tussen infrastructuurbeheerders. Als een gids u als domeineigenaar vertelt om “SRS te implementeren”, heeft die u verward met de doorstuurprovider.

Hoe laat ik mijn e-mail doorsturen overleven?

Maak DKIM, aligned met uw domein, uw DMARC-pass. Een DKIM-handtekening is cryptografie die in de berichtheaders meereist: ze verifieert waar het bericht ook belandt, hoeveel servers het ook hebben doorgegeven, zolang de ondertekende inhoud niet is gewijzigd. DMARC heeft maar één aligned pass nodig — SPF of DKIM — dus als doorsturen het SPF-been doodt, houdt aligned DKIM het bericht geauthenticeerd.

  1. Voer de gratis scan uit op defaults.exposed voordat u DNS aanraakt. Die toont of u überhaupt DKIM hebt, of het met uw domein ondertekent, en waar uw DMARC staat — zodat u het echte gat repareert in plaats van tegen uw SPF-record te vechten.
  2. Bevestig dat doorsturen werkelijk uw probleem is. In de Authentication-Results-header van een getroffen bericht slaagt directe mail voor SPF, terwijl de doorgestuurde kopie faalt vanaf het IP van de doorstuurdienst. Slagen SPF én DKIM maar faalt DMARC alsnog, dan hebt u een alignmentprobleem — zie DMARC faalt maar SPF en DKIM slagen.
  3. Zet DKIM-ondertekening met uw eigen domein aan bij elke verzendende dienst — eerst uw mailboxprovider, daarna ESP’s en transactionele verzenders. Standaardinstellingen van providers ondertekenen vaak met het domein van de provider, en dat alignt niet; u wilt d=yourdomain. Begin bij hoe u DKIM repareert, met klikpaden voor Google Workspace en Microsoft 365.
  4. Controleer alignment, niet alleen een pass. Het d=-domein in de handtekening moet overeenkomen met uw From-domein; dkim=pass op andermans domein doet niets voor uw DMARC.
  5. Laat uw SPF-record met rust. Houd het accuraat voor uw directe mail — het authenticeert nog steeds het grootste deel van uw verkeer en blijft uw tweede DMARC-been. Stop alleen met proberen het doorstuurders te laten dekken.
  6. Scan opnieuw en voer DMARC-handhaving daarna weloverwogen gefaseerd in — volgende sectie, en de uitrolgids van p=none naar p=reject.

Deze combinatie — SPF plus handhavende DMARC die op aligned DKIM leunt — is het doorstuur-bestendige patroon, en het is zeldzaam: van de 77,5 miljoen domeinen die ~all publiceren, dekt slechts 9,2% (7.116.774) dat af met een handhavend DMARC-beleid, en maar 3,87% van de 261 miljoen beoordeelde domeinen (10.092.481) maakt de volledige triade SPF + DKIM + gehandhaafde DMARC compleet, volgens de census (2026-06-29).

En mailinglijsten die berichten herschrijven?

De ene doorstuurroute die aligned DKIM niet overleeft: mailinglijsten die het bericht wijzigen — een [list-name]-onderwerpslabel, een uitschrijffooter, een verwijderde bijlage. Wijzig de ondertekende inhoud en de body-hash klopt niet meer, dus faalt DKIM ook (dkim=fail: body hash did not verify is de eigen gids van die fout). Nu zijn beide DMARC-benen dood, en alleen de lijst kan het verzachten (From-herschrijving, ARC-verzegeling).

Dit restant is precies waar gefaseerde DMARC-handhaving voor is. Via p=quarantine met een pct-opbouw bewegen terwijl u de geaggregeerde rapporten volgt, laat zien hoeveel van uw echte mail door herschrijvende lijsten stroomt voordat een p=reject-beleid het begint te bouncen. Spring niet naar reject op een domein waarvan de gebruikers op mailinglijsten leven; blijf ook niet eeuwig op p=none hangen. De gids voor gefaseerde uitrol loopt de opbouw met u door.

Veelgestelde vragen

Breekt doorsturen DKIM ook? Gewoon doorsturen niet: de handtekening reist met het bericht mee en verifieert bij de uiteindelijke ontvangende server. DKIM breekt alleen als de ondertekende inhoud onderweg wordt gewijzigd — onderwerpslabels en footers van mailinglijsten zijn het klassieke geval — en daarom wordt het lijstrestant afgehandeld met gefaseerd DMARC-beleid, niet met iets in DNS.

Moet ik van -all naar ~all overstappen zodat doorsturen niet meer faalt? De qualifier veranderen laat doorstuurders niet slagen — dat is niet waarom ze falen. Het zegt genoeg dat Namecheaps forwarding-include, 7.355.985 domeinen en de grootste populatie van pure doorstuurdiensten in de census (2026-06-29), wordt geleverd met een strikte-SPF-aandeel van <0.1%: zachte SPF is misschien wel het juiste sjabloon voor een doorstuurproduct. Zie het ~all vs -all-rapport voor wat de qualifier werkelijk verandert.

Waarom slaagt mijn mail voor SPF bij rechtstreeks verzenden, maar faalt hij als iemand hem doorstuurt? De ontvangende server controleert of het IP van de laatst verzendende server is geautoriseerd door het SPF-record van uw Return-Path-domein. Rechtstreeks: uw server, in uw record, pass. Doorgestuurd: de server van de doorstuurder, niet in uw record, fail. Uw record veranderde niet — het verzendende IP wel.

Kan ik SRS instellen om dit op te lossen? Alleen als u zelf de doorstuurder bent. SRS draait op de server die het doorsturen doet, en zelfs waar het draait, hoort de resulterende SPF-pass bij het domein van de doorstuurder en alignt hij niet met uw From — uw DMARC heeft nog steeds het DKIM-been nodig.

Is SPF zinloos als doorsturen het toch breekt? Nee. De meeste mail wordt rechtstreeks bezorgd, waar SPF precies werkt zoals bedoeld, en het blijft een van uw twee DMARC-benen. Van de 261.086.232 domeinen in de census (2026-06-29) publiceren er 138.927.207 SPF — houd het uwe accuraat via de SPF-reparatiepagina, en laat DKIM het doorgestuurde restant dragen.

Stuur de eigenaar het rapport

Repareert u dit voor een klant of uw werkgever, sluit dan de cirkel met bewijs. Zodra DKIM met eigen domein live is en DMARC gefaseerd is ingevoerd, voert u de gratis scan opnieuw uit en stuurt u het beoordeelde rapport door naar de bedrijfseigenaar: gedateerd, in gewone taal, en het laat zien dat het domein geauthenticeerd blijft, ook als zijn mail wordt doorgestuurd. Dat is het bewijsstuk voor de cyberverzekeringsverlenging en de volgende beveiligingsvragenlijst van leveranciers — een gedocumenteerd voor-en-na, niet “ik heb iets aangezet”.

Controleer uw domein → · DMARC faalt maar SPF en DKIM slagen → · Repareer DKIM → · Hoe wij beoordelen → · Uitsluitend geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.