Een SPF-record (Sender Policy Framework) is een beveiligingsmechanisme voor e-mail dat domeinbeheerders in staat stelt om te specificeren welke mailservers geautoriseerd zijn om e-mail te versturen namens hun domein. Dit helpt e-mailspoofing en phishing-aanvallen te voorkomen door ontvangende mailservers de mogelijkheid te geven om te verifiëren of een inkomende e-mail wel echt afkomstig is van een geautoriseerde bron.
Een SPF-record wordt gepubliceerd als een TXT-record in het DNS (Domain Name System) van een domein. Wanneer een mailserver een e-mail ontvangt, kijkt deze naar het SPF-record van het verzendende domein om te controleren of het IP-adres van de verzendende mailserver is geautoriseerd. Het record bevat mechanismen zoals ip4:, ip6:, a, mx en include: die aangeven welke IP-adressen en servers toestemming hebben om e-mail te versturen. Een SPF-record eindigt meestal met een qualifier zoals -all (fail), ~all (softfail) of ?all (neutral) die bepaalt hoe ontvangende servers moeten omgaan met e-mails van niet-geautoriseerde bronnen.
SPF is cruciaal voor e-mailbezorging en spampreventie. Zonder een correct geconfigureerd SPF-record kunnen legitieme e-mails als spam worden gemarkeerd of volledig worden afgewezen. E-mailproviders zoals Gmail, Outlook en Yahoo gebruiken SPF als één van de belangrijkste factoren bij het bepalen van de betrouwbaarheid van inkomende e-mail. Een goed SPF-record verbetert de deliverability van uitgaande e-mail aanzienlijk en beschermt het domein tegen misbruik door spammers en phishers die proberen zich voor te doen als het domein.
Het instellen van een SPF-record vereist toegang tot de DNS-instellingen van het domein. Een basis SPF-record heeft de vorm: v=spf1 ip4:192.168.1.1 include:_spf.google.com -all. Hierbij staat v=spf1 voor de SPF-versie, gevolgd door de geautoriseerde IP-adressen of includes van externe e-mailproviders zoals Google Workspace of Microsoft 365. Het is belangrijk om alle legitieme bronnen op te nemen en te eindigen met -all om ongeautoriseerde verzenders te blokkeren. SPF werkt het beste in combinatie met DKIM (DomainKeys Identified Mail) en DMARC (Domain-based Message Authentication, Reporting & Conformance) voor een complete e-mailauthenticatie-strategie.
SPF (Sender Policy Framework) werd ontwikkeld als reactie op het groeiende probleem van e-mailspoofing en spam in het begin van de jaren 2000. De eerste publieke vermelding van het SPF-concept dateert uit 2000, maar kreeg pas in 2002 serieuze aandacht toen Dana Valerie Reese en Paul Vixie onafhankelijk van elkaar SPF-achtige specificaties publiceerden op de IETF "namedroppers" mailinglijst. Deze posts leidden tot de oprichting van de IETF Anti-Spam Research Group (ASRG).
In juni 2003 nam Meng Weng Wong van pobox.com het voortouw door verschillende voorstellen te combineren, waaronder "Reverse MX" (RMX) van Hadmut Danisch en "Designated Mailer Protocol" (DMP) van Gordon Fecyk. Op 10 oktober 2003 presenteerde Wong een nieuw concept dat ideeën van verschillende bijdragers verenigde, en de syntax begon steeds meer te lijken op het huidige SPF (v=spf1). Aanvankelijk stond SMTP+SPF voor "Sender Permitted From", maar in februari 2004 werd de naam veranderd in Sender Policy Framework.
SPF heeft zich sinds 2003 gestag ontwikkeld en zag deployment buiten de ontwikkelaarsgemeenschap vanaf december 2003. Na de turbulente periode met de MARID werkgroep in 2004 ontstonden twee technologieën: SPF en SenderID. SPF werd in april 2006 gepubliceerd als experimenteel protocol in RFC 4408, geschreven door M. Wong en W. Schlitt.
De definitieve standaard kwam in april 2014 met RFC 7208, geschreven door S. Kitterman. Deze RFC verving RFC 4408 en werd gepromoveerd tot "proposed standard" op het Internet Standards Track. Sindsdien is SPF een fundamenteel onderdeel geworden van moderne e-mailbeveiliging, breed ingezet door grote e-mailproviders en een essentiële bouwsteen in de strijd tegen e-mailspoofing en phishing.
