Als het om e-mail gaat, is vertrouwen alles. Maar voordat je bericht zelfs maar iemands inbox bereikt, moet het een paar stille beveiligingscontroles doorstaan. SPF, DKIM en DMARC bepalen of je e-mails legitiem lijken of in de spam belanden.
Weten hoe deze records werken, en hoe je ze correct instelt, kan je domein beschermen en ervoor zorgen dat je berichten altijd terechtkomen waar ze horen.
Wat zijn SPF, DKIM en DMARC in e-mail?
Tussen het moment van verzenden en het aankomen van je e-mail begint een stille keten van controles. Elke controle stelt dezelfde vraag: komt dit echt van jou?
SPF, DKIM en DMARC vormen samen een feedbacklus tussen afzender en ontvanger, waarbij je identiteit wordt geverifieerd voordat je bericht je domein verlaat, wanneer het aankomt, of beide. Samen vormen ze de barrière tussen je bericht en de spammap.
SPF, DKIM en DMARC kort uitgelegd:
SPF – controleert of de server die je bericht verzendt op de goedgekeurde lijst van je domein staat. Zo ja, dan komt de e-mail door. Zo niet, dan wordt die gemarkeerd. Zie het als de gastenlijst voor je domein.
DKIM – voegt een digitaal zegel toe aan je bericht voordat het je inbox verlaat. Zodra het aan de andere kant aankomt, opent de ontvangende server het zegel om te controleren of er tijdens het transport niets is gewijzigd.
DMARC – bepaalt wat er gebeurt als een van die controles mislukt. Het vertelt de ontvangende server wat die moet doen: het bericht afleveren, naar spam sturen of volledig blokkeren.
Deze drie werken samen: één verifieert de afzender, één beschermt het bericht en één handhaaft de regels.
Waarom zijn SPF, DKIM en DMARC belangrijk voor e-mailbeveiliging?
SPF, DKIM en DMARC beschermen tegen twee van de grootste bedreigingen voor e-mail van vandaag: spam en spoofing. Aanvallers sturen vaak berichten alsof ze iemand anders zijn. Stel je voor dat je een e-mail ontvangt van Support@yourbank.com, met het verzoek je accountgegevens te bevestigen. Deze drie controles zorgen ervoor dat je “bank” ook echt je bank is:
Bij een phishingaanval gebruiken hackers valse e-mails om mensen te misleiden zodat ze wachtwoorden, creditcardnummers delen of op kwaadaardige links klikken. Zonder deze bescherming kan je domein worden nagebootst en kunnen klanten overtuigende berichten ontvangen die lijken alsof ze van jou komen. Met SPF, DKIM en DMARC ingesteld worden die valse berichten meestal gestopt voordat ze ooit een inbox bereiken.
SPF zou controleren of de e-mail vanaf een goedgekeurde server is verzonden.
DKIM zou ervoor zorgen dat er tijdens het transport niet met de e-mail is geknoeid.
Als een van deze controles zou mislukken, dan zou DMARC ervoor zorgen dat de e-mail werd weggegooid voordat die je inbox bereikte
Op dezelfde manier sturen hackers tijdens een phishingaanval valse e-mails om mensen te misleiden zodat ze wachtwoorden prijsgeven of op gevaarlijke links klikken. Als het domein van je bedrijf niet is beschermd, kunnen ze zich voordoen als een medewerker en je klanten e-mailen met het verzoek om hun gegevens. Als SPF, DKIM en DMARC zijn ingesteld, zouden de meeste van deze valse berichten de inbox van klanten nooit bereiken, omdat de ontvangende servers kunnen zien dat ze niet echt van jou afkomstig zijn.
Waarom ze ook belangrijk zijn voor afleverbaarheid (niet alleen voor beveiliging)
Als je nieuwsbrieven, facturen of marketingcampagnes verstuurt, is je doel waarschijnlijk niet alleen om te verzenden, maar ook om gezien te worden. Maar nu wereldwijde spam sterk is toegenomen, hebben grote providers zoals Gmail en Yahoo nieuwe regels ingevoerd om inboxen schoon te houden.
Sinds 2024 eisen deze providers dat afzenders hun domeinen authenticeren met SPF, DKIM en DMARC. Zonder deze instellingen kunnen je e-mails worden geweigerd voordat ze je inbox zelfs maar verlaten. Deze controles consequent doorstaan versterkt je afzenderreputatie en voorkomt dat je e-mails in de spam belanden. Hoe beter je reputatie, hoe sneller je aflevering, hoe minder spammarkeringen en hoe sterker je geloofwaardigheid. Die reputatie opbouwen op een nieuw verzenddomein — of herstellen op een beschadigd domein — is precies waarvoor speciale warm-upplatforms zoals Warmy zijn ontworpen: het uitgaande volume geleidelijk opvoeren in gecontroleerde dagelijkse stappen en positieve betrokkenheidssignalen genereren bij grote mailboxproviders, zodat met SPF, DKIM en DMARC geauthenticeerde mail consequent in de primaire inbox terechtkomt in plaats van bij promoties of spam.
SPF vs DKIM vs DMARC — Wat is het verschil?
Elke keer dat je in een vliegtuig stapt, doorloop je een proces dat bijna identiek is aan hoe SPF, DKIM en DMARC werken. Dat klinkt misschien vreemd, maar deze drie termen liggen niet bepaald lekker in de mond, en het helpt om een eenvoudigere manier te hebben om ze te onthouden. Bovendien is de kans groot dat je e-mail zonder deze drie instellingen net zo eindigt als jij wanneer je te laat bent voor het inchecken van een vlucht. In de kou.
SPF – Het eerste beveiligingscontrolepunt van je e-mail
Wanneer je bij de balie aankomt, klaar om aan boord te gaan, controleert de medewerker je ticket aan de hand van de vluchtlijst. Staat je naam erop, dan mag je vliegen. Zo niet, geen instapkaart, geen vlucht.
SPF werkt op dezelfde manier. Elk domein, zoals example.com, houdt een “passagierslijst” bij, oftewel een record van welke mailservers namens het domein e-mails mogen verzenden. Wanneer je een e-mail verstuurt, controleert de ontvangende server of je verzendende server op die lijst staat. Door je SPF-record in te stellen, voeg je in feite je naam toe aan de lijst zodat je berichten zonder vertraging door de beveiliging komen.
DKIM – De identiteitscontrole voor je inbox
Zodra je ticket in orde is, is het tijd om je identiteit te bewijzen. Je pasfoto bevestigt dat jij echt jij bent, een fysieke handtekening die niet gemakkelijk kan worden vervalst. DKIM doet hetzelfde, maar dan voor e-mail.
DomainKeys Identified Mail (DKIM) voegt een digitale handtekening toe aan elk uitgaand bericht. Deze handtekening bewijst dat de e-mail tijdens het transport niet is gewijzigd of gemanipuleerd en voorkomt dat je e-mail wordt gevolgd. Wanneer je op verzenden klikt, ondertekent je server de e-mail met een privésleutel. Wanneer die aankomt, verifieert de ontvangende server die handtekening en bevestigt zo dat het bericht echt en onaangetast is.
DMARC – Wat er gebeurt als er iets misgaat
Als je zonder ticket of paspoort op de luchthaven verschijnt, heeft de luchtvaartmaatschappij een duidelijk beleid voor wat er daarna gebeurt. DMARC werkt op dezelfde manier wanneer SPF- of DKIM-controles mislukken.
DMARC vertelt de ontvangende server wat er met de e-mail moet gebeuren als de SPF- of DKIM-controle mislukt. Het kan:
Niets doen
Het bericht in quarantaine plaatsen (naar spam sturen)
Het bericht volledig weigeren
Als afzender bepaal jij welke regel van toepassing is. Je stelt die in je DNS in en definieert wat er gebeurt wanneer je berichten de controle niet doorstaan.
Hoe je SPF, DKIM en DMARC instelt voor je domein
Om SPF, DKIM en DMARC in te stellen, heb je toegang nodig tot je DNS. Dit is waar de nameservers van je domein naartoe wijzen, dus de registrar of DNS-host.
Zoals we hierboven al noemden, werkt SPF als een passagierslijst die ontvangende servers vertelt welke hosts e-mail voor je domein mogen verzenden. Dus om SPF in te stellen, moet je je e-mail op die passagierslijst krijgen. Daarvoor zijn een paar stappen nodig.
1. Controleer of je al SPF hebt
Begin met een gratis DNS-opzoektool om te controleren of je domein al een SPF-record heeft. Als de tool op het tabblad TXT een record toont dat begint met v=spf1, betekent dit dat SPF al is ingesteld voor je domein.
Als zo’n record niet verschijnt, moet je vanaf nul een nieuw SPF-record aanmaken.
2. Voeg een nieuw SPF-record toe in DNS
Om een nieuw SPF-record toe te voegen, ga je naar de DNS-instellingen van je domeinhost. Dit kan Spaceship, Google, Outlook enzovoort zijn, afhankelijk van wie je provider is. Zoek de lijst met bestaande records en selecteer Record toevoegen, kies daarna TXT in het typemenu.
Vul vervolgens de velden in zoals hieronder weergegeven om je SPF-item aan te maken.
Voor Spacemail ziet dit er zo uit:Type: TXT Record | Host: @ | Value: v=spf1 include:spf.spacemail.com ~all | TTL: Automatic
Sla op en wacht een paar minuten op propagatie.
3. Verifieer het record
Op dit punt kun je nog een controle uitvoeren met je DNS-opzoektool. Als die je waarde weergeeft, zit je goed. Het is ook belangrijk om te onthouden dat het hostrecord tot 24 uur nodig kan hebben om te worden bijgewerkt, dus raak niet in paniek als het er niet meteen staat.
Stap 2. Werk je DKIM-instellingen bij
DKIM voegt een digitale handtekening toe aan elke e-mail die je domein verzendt, als bewijs dat er niet mee is geknoeid.
1: Genereer je DKIM-record
Begin in de instellingen van je e-mailprovider.
Ga naar het gedeelte voor domeinauthenticatie of e-mailbeveiliging.
Zoek een optie met het label DKIM, DomainKeys of iets vergelijkbaars.
Selecteer de knop om nieuwe DKIM-sleutels te genereren.
Je provider geeft je twee belangrijke gegevens:
Een selector (bijvoorbeeld selector1._domainkey)
Het DKIM-record zelf — een lange reeks versleutelde tekst
Het is een goed idee om beide ergens veilig op te slaan, want je hebt ze in de volgende stap nodig.
2: Voeg het DKIM-record toe aan je DNS
Log vervolgens in bij je DNS-provider.
Open je DNS-records en maak een nieuw item aan.
Kies CNAME als het record kort is, of TXT als het een langere sleutel is.
Voer in het veld Host of Name de DKIM-selector in (bijvoorbeeld selector1._domainkey).
Plak in het veld Value het DKIM-record van je e-mailprovider.
Sla je wijzigingen op.
Geef het een paar minuten, want DNS-wijzigingen kunnen even duren voordat ze zijn bijgewerkt.
Voor Spacemail zakelijke e-mail kun je met deze handleiding een DKIM-record instellen.
Stap 3. Voeg DMARC-instellingen toe
Zodra SPF en DKIM zijn ingesteld, is de laatste stap DMARC. Je voegt gewoon nog één TXT-record toe aan de DNS van je domein. Dit record vertelt ontvangende mailservers wat ze moeten doen als een e-mail van je domein de authenticatie niet doorstaat, en het geeft je inzicht in wie namens jou e-mail verzendt.
Een DMARC-record heeft een paar belangrijke onderdelen die je moet begrijpen voordat je het toevoegt:
v=DMARC1 – dit vertelt mailservers dat je DMARC gebruikt. Het komt altijd als eerste.
p= – Hiermee stel je je beleid in voor hoe niet-geauthenticeerde berichten moeten worden afgehandeld:
rua=mailto: – Dit vertelt mailservers waar ze je dagelijkse DMARC-rapporten naartoe moeten sturen. Je kunt een adres gebruiken zoals security@yourdomain.com of dmarc@yourdomain.com. Deze rapporten laten zien welke IP's namens je domein verzenden, zodat je alles wat ongebruikelijk is kunt opsporen.
1: Genereer een DMARC-record voor je domein
Open de DMARC Record Generator tool (gebruik gerust elke DMARC-generatortool die je verkiest) en vul je domeinnaam in de zoekbalk in. Klik daarna op de knop Check DMARC Record. Pas de DMARC-instellingen aan je behoeften aan en haal je gegenereerde record op.
2: Voeg je DMARC-record toe aan de DNS-instellingen
Ga naar je DNS-provider. Maak een nieuw record aan en selecteer TXT als hostrecordtype. DMARC gebruikt een TXT-recordindeling, net als SPF.
Gebruik host: _dmarc Voeg waarde toe, degene die je eerder hebt gegenereerd
Zodra je het hebt toegevoegd, sla je je wijzigingen op en wacht je een paar minuten totdat het is gepropageerd. Je kunt tools zoals MX Lookup Tool of andere gratis tools gebruiken om te controleren of je DMARC-record correct is ingesteld.
Je kunt deze handleiding gebruiken om een DMARC-record voor je domein in te stellen met Spacemail.
Je e-mailinstellingen goed krijgen
Als je berichten steeds in de spam belanden of halverwege verdwijnen, kan dat komen door ontbrekende authenticatie. SPF, DKIM en DMARC geven je e-mails de gegevens die ze nodig hebben om veilig de inbox te bereiken.
Als je SPF, DKIM en DMARC uitgelegd hoort, kan het ingewikkeld klinken, maar het beste is dat ze geen dure tools of complexe configuraties vereisen, alleen een paar DNS-records en een beetje geduld. Het zijn enkele van de eenvoudigste e-mailprotocollen die je aan je e-mailsysteem kunt toevoegen en die zich uitbetalen telkens wanneer je bericht precies terechtkomt waar het hoort.
Veelgestelde vragen
SPF verifieert dat je e-mail vanaf een goedgekeurde server wordt verzonden. DKIM-e-mailbeveiliging werkt door elk bericht te ondertekenen met een digitale sleutel, zodat de ontvanger weet dat er niet met het bericht is geknoeid. DMARC verbindt ze met elkaar en vertelt de server wat die moet doen als iets niet klopt. Samen houden ze je e-mails vertrouwd, geverifieerd en veilig.
Als je kijkt naar DMARC vs SPF en DKIM, werken ze het best als een team. SPF- en DKIM-e-mailauthenticatie doen de controles, terwijl DMARC bepaalt wat er gebeurt als die controles mislukken. Zonder DMARC kunnen je e-mails nog steeds slagen, maar heb je geen controle over wat er gebeurt wanneer dat niet zo is. Stel alle drie één keer in, en je dekt alle bases voor zowel beveiliging als bezorging.
Spoofing gebeurt wanneer iemand een e-mail verstuurt en doet alsof die van jou komt. SPF controleert waar het bericht vandaan kwam, DKIM bevestigt dat het niet is gewijzigd en DMARC blokkeert alles wat verdacht is.
Zonder DMARC is er geen duidelijke regel voor hoe mailservers verdachte berichten afhandelen. Dat betekent dat valse e-mails erdoorheen kunnen glippen, of dat je echte e-mails als spam kunnen worden gemarkeerd. DMARC is het onderdeel dat de regels handhaaft en zonder dat blijft je domein onbeschermd.
Niet echt, ze doen gewoon verschillende taken. SPF controleert wie de e-mail verzendt; DKIM controleert of die is gewijzigd. Geen van beide werkt perfect op zichzelf, maar samen vormen ze een sterke eerste verdedigingslinie.


Deel uw gedachten