SPF

Inhoudsopgave

Status

Lijst status ‘Verplicht ('Pas toe of leg uit’)' betekent dat de standaard verplicht moet worden uitgevraagd en toegepast volgens de Instructie rijksdienst bij aanschaf ICT-diensten of ICT-producten. ‘Aanbevolen’ betekent dat dit een gangbare of opkomende standaard is waarvan het Forum Standaardisatie het gebruik aanbeveelt. ‘In behandeling’ betekent dat de standaard wordt getoetst voor opname op een van de lijsten. ‘Archief’ betekent dat de standaard in het verleden op de lijst heeft gestaan of in behandeling is geweest en nu niet (meer) verplicht of aanbevolen wordt.	Verplicht ('Pas toe of leg uit')
Functioneel toepassingsgebied Beschrijft conform de standaard syntaxis de toepassing(en) waarvoor het gebruik van de standaard is verplicht ('Pas toe of leg uit') of wordt aanbevolen (afhankelijk van de lijststatus).	SPF moet worden toegepast op alle overheidsdomeinnamen, ook op domeinen waarvan niet wordt gemaild, én op alle mailservers waarmee de overheid e-mail ontvangt.
Organisatorisch werkingsgebied Benoemt de organisaties waarvoor de verplichting (of aanbeveling) geldt.	Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.
Aanvullende verplichtingen Soms legt het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) voor een standaard verplichtingen op die verder gaan dan de verplichtingen zoals beschreven in de Instructie rijksdienst bij aanschaf ICT-diensten of ICT-producten.	Voor SPF heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt, waarvan de voortgang ieder halfjaar wordt gemeten.
Europese status ‘Ja’ betekent dat de standaard is erkend door het Multi Stakeholder Platform on ICT Standardisation van de Europese Commissie.	Ja

Nut en werking

Typering	Bescherming tegen e-mailphishing
Nut	Het gebruik van SPF verkleint de kans op misbruik van e-mailadressen doordat ontvangers betrouwbaar echte e-mails van phishingmails of spam kunnen onderscheiden.
Werking	SPF is een techniek waarmee een domeinhouder de IP-adressen van verzendende mailservers kan publiceren in de DNS. Een ontvangende mailserver kan deze IP-adressen gebruiken om te controleren of een e-mail daadwerkelijk afkomstig is van een verzendende mailserver van de betreffende domeinhouder.
Domein	Veilig internet
Trefwoorden	Website Informatiebeveiliging E-mail
Relatie met andere standaarden	DMARC
Relatie met andere standaarden	CMIS
Relatie met andere standaarden	DNS

Detailinformatie

Volledige naam	Sender Policy Framework
Versie	1
Specificatiedocument	Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1
Beheerorganisatie	IETF

Toepassing

Community Organisaties waarbij men terecht kan voor adoptieondersteuning, best practices, use cases en/of nadere informatie over de standaard.	Veilige E-mail Coalitie Berichtgeving Veilige E-mail Coalitie Platform Internetstandaarden. Het doel van het platform is het gebruik van moderne internetstandaarden, waaronder SPF, te stimuleren.
Hulpmiddelen Vrij beschikbare hulpmiddelen en software die de adoptie van de standaard ondersteunen. Dit kunnen zijn: referentie-implementaties, open source libraries, test tools, e.d.	Openspf Toolbox (SPF) Bescherm je domeinen tegen phishing
Conformiteitstest Hulpmiddelen of processen waarmee producten kunnen worden getest op conformiteit met de standaard.	Internet.nl SPF Record Testing Tools

Toetsingsinformatie

Toelichting bij opname	Gezien de samenhang is naar aanleiding van de expertbijeenkomst DMARC ook SPF in behandeling genomen voor opname op de lijst. De standaard is dus niet los aangemeld. SPF is tegelijkertijd met DMARC in openbare consultatie gegaan en er is een aanvullende controle geweest of de standaard voldoet aan de toetsingcriteria van het Forum Standaardisatie. Het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis.
Adoptieadviezen De formele adoptieadviezen die het Forum Standaardisatie meegeeft bij plaatsing van de standaard op de 'Pas toe of leg uit'-lijst of lijst aanbevolen standaarden.	Om adoptie van de standaard te bevorderen zijn de volgende adviezen meegegeven: Het NCSC wordt opgeroepen om (in samenwerking met de expertgroep) een handreiking/ICT-richtlijnen voor de beveiliging van e-mail op te stellen, zoals ook is gedaan voor Transport Layer Security (TLS). Het is hierbij niet alleen van belang om de technologie van de standaarden toe te lichten (waaronder aandachtspunten bij de implementatie), maar ook het bestuurlijke belang van de standaarden. Update 1 april 2026: Afgesloten. Dit adoptieadvies is inmiddels achterhaald door een streefbeeldafspraak. Het Forum Standaardisatie wordt opgeroepen om bij (semi)overheidsorganisaties het gebruik van DMARC, SPF en DKIM onder de aandacht te brengen via de leden van het Forum. Het gaat hier met name om (semi)overheidsorganisaties waarvan het aannemelijk is dat burgers, bedrijven en andere overheidsorganisaties e-mails met deze afzenders vertrouwen. Veilige e-mail is een belangrijke basis voor het realiseren van de ambities van de Digitale Overheid 2017 uit het regeerakkoord. De minister van BZK wordt opgeroepen om adoptie van de standaarden voor veilig e-mailverkeer vanuit de overheid richting burgers en bedrijven op de agenda van de Digitale Overheid 2017 te zetten. Update 1 april 2026: Afgesloten. Inmiddels achterhaald. Het Forum Standaardisatie wordt opgeroepen om de CTO-raad, het platform internetstandaarden en het ECP (Platform voor de InformatieSamenleving) te betrekken bij activiteiten ter bevordering van de adoptie van de standaard. Update 1 april: Afgesloten. Dit wordt gedaan via de IV-metingen. Het Forum Standaardisatie wordt opgeroepen om in samenwerking met het College bescherming persoonsgegevens (CBP) te onderzoeken of het mogelijk is om een (voorbeeld) Privacy Impact Assessment uit te (laten) voeren. De uitkomsten uit dit assessment kunnen als voorbeeld gebruikt worden door andere (semi)overheidsorganisaties. Update 1 april 2026: Afgesloten. Inmiddels achterhaald. De eigenaren van informatiebeveiligingsbaselines binnen de overheid, zoals de Baseline Informatiebeveiliging Rijksdienst (BIR), Baseline Informatiebeveiliging Gemeenten (BIG) en de Baseline Informatiebeveiliging Waterschappen (BIWA), worden opgeroepen om de standaarden voor veilige e-mailcommunicatie, zoals DMARC, DKIM en SPF, op te nemen in deze baselines. Update 1 april 2026: Afgesloten. Opgenomen in de BIO, maatregel 5.14.01.
Uitstekend beheer ‘Ja’ betekent dat een nieuwe versie van de standaard na aanmelding op de lijst wordt overgenomen zonder aanvullende toetsing door het Forum Standaardisatie. ‘Nee’ betekent dat een nieuwe versie van de standaard na aanmelding eerst door het Forum Standaardisatie wordt getoetst voordat de huidige versie op de lijst door de nieuwe versie kan worden vervangen.	Nee
Onderzoek	Aanvullend-onderzoek-SPF.pdf PDF Document \| 487.43 KB
Advies	Advies-Nationaal-Beraad-SPF-en-DMARC.pdf PDF Document \| 2.83 MB
Definitief	Agp-4b-Hamerstuk-Standaardisatie-OBDO-24-mei-2018_13.pdf PDF Document \| 158.03 KB
Expertadvies	Expertadvies_DMARC-en-SPF.pdf PDF Document \| 433.13 KB
Forumadvies	Forumadvies-DMARC-en-SPF_0.pdf PDF Document \| 333.45 KB
Forumadvies	FS171011.3E-Forumadvies-toepassingsgebieden-IV-standaarden.pdf PDF Document \| 291.89 KB
Consultatie	Reacties uit openbare consultatie DMARC en SPF_0.pdf PDF Document \| 293.49 KB
Datum van besluit Datum waarop het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) of een van zijn voorgangers heeft besloten de standaard op de lijst te plaatsen.	18-05-2015

Standaard Samenwerken