Je hebt SMTP correct ingesteld, en tóch belandt je e-mail in de spam. Of erger: iemand verstuurt phishingmail uit jouw naam. De oplossing zijn drie DNS-records: SPF, DKIM en DMARC. Ze vormen samen het authenticatie-fundament van moderne e-mail. In deze handleiding leer je wat ze doen en hoe je ze instelt.
Waarom je deze drie records nodig hebt
Grote mailproviders (Gmail, Outlook, Yahoo) vereisen sinds 2024 dat afzenders hun mail authenticeren. Zonder SPF, DKIM en DMARC wordt je mail steeds vaker geweigerd of als spam gemarkeerd — hoe goed je SMTP ook is ingesteld. Bovendien voorkomen deze records dat oplichters je domein gebruiken voor phishing.
SPF instellen
SPF (Sender Policy Framework) is een DNS TXT-record dat aangeeft welke servers namens jouw domein mogen verzenden. Een voorbeeld:
`` v=spf1 include:_spf.jouwprovider.nl ~all ``
Let op het lookup-limiet
SPF mag maximaal tien DNS-lookups bevatten. Stapel je veel include:-regels (mailprovider, nieuwsbrieftool, CRM), dan loop je daar snel tegenaan en faalt SPF stilletjes. Houd het record kort en gebruik desnoods een SPF-flattening-tool.
DKIM instellen
DKIM (DomainKeys Identified Mail) zet een digitale handtekening in de header van elke uitgaande mail. De ontvanger controleert die handtekening tegen een publieke sleutel in je DNS. Klopt het, dan staat vast dat de mail onderweg niet is aangepast en echt van jouw domein komt.
Je mail- of SMTP-provider levert hiervoor een DKIM-sleutel aan die je als TXT- of CNAME-record op een ._domainkey-subdomein plaatst. Activeer DKIM vervolgens in het dashboard van je provider.
DMARC instellen
DMARC (Domain-based Message Authentication, Reporting & Conformance) bindt SPF en DKIM samen en vertelt ontvangers wat te doen als een mail de controle niet doorstaat. Begin met een mild beleid:
`` v=DMARC1; p=none; rua=mailto:dmarc@jouwdomein.nl ``
Bouw het beleid stap voor stap op
- p=none — alleen monitoren en rapporteren, geen invloed op aflevering.
- p=quarantine — verdachte mail naar de spam.
- p=reject — verdachte mail volledig weigeren (het einddoel).
Verhoog het beleid pas als je zeker weet dat al je legitieme verzenders correct door SPF en DKIM komen. De rua-rapportages helpen je daarbij.
Controleer je instellingen
Stuur een testmail naar een Gmail-adres, open de mail, kies Toon origineel en controleer of SPF, DKIM én DMARC alle drie op PASS staan. Pas daarna scherp je DMARC-beleid verder aan.
In één keer goed laten doen?
Domein- en e-mailconfiguratie is precies werk waar één foutje de hele aflevering onderuit haalt. Wij richten SPF, DKIM en DMARC standaard correct in bij elk project — combineer het met de juiste SMTP-instellingen of neem contact op en wij regelen het volledig.
Veelgestelde vragen
Wat is het verschil tussen SPF, DKIM en DMARC?
SPF bepaalt welke servers namens jouw domein e-mail mogen versturen. DKIM zet een digitale handtekening op elke mail, zodat de ontvanger kan controleren dat de inhoud niet is aangepast en echt van jou komt. DMARC bindt beide samen: het vertelt ontvangende servers wat ze moeten doen als SPF of DKIM faalt, en stuurt je rapportages. Je hebt alle drie nodig voor betrouwbare aflevering.
Moet ik DMARC meteen op p=reject zetten?
Nee. Begin met p=none — dan verandert er niets aan de aflevering, maar ontvang je wel rapportages over wie er namens je domein mailt. Controleer een paar weken die rapporten, zorg dat al je legitieme verzenders correct door SPF en DKIM komen, en scherp daarna stapsgewijs aan naar p=quarantine en uiteindelijk p=reject.
Mijn e-mail komt nog steeds in de spam, ondanks SPF en DKIM. Hoe kan dat?
Controleer of je echt verstuurt vanaf je eigen domein (en niet via een gratis adres), of het SPF-record niet meer dan tien lookups bevat, en of DKIM correct is ondertekend. Ook reputatie speelt mee: een nieuw domein of een verkeerd ingestelde SMTP-server kan alsnog in de spam belanden. Begin bij de juiste SMTP-instellingen.
Veelgestelde vragen
Wat is het verschil tussen SPF, DKIM en DMARC?
SPF bepaalt welke servers namens jouw domein e-mail mogen versturen. DKIM zet een digitale handtekening op elke mail, zodat de ontvanger kan controleren dat de inhoud niet is aangepast en echt van jou komt. DMARC bindt beide samen: het vertelt ontvangende servers wat ze moeten doen als SPF of DKIM faalt, en stuurt je rapportages. Je hebt alle drie nodig voor betrouwbare aflevering.
Moet ik DMARC meteen op p=reject zetten?
Nee. Begin met p=none — dan verandert er niets aan de aflevering, maar ontvang je wel rapportages over wie er namens je domein mailt. Controleer een paar weken die rapporten, zorg dat al je legitieme verzenders correct door SPF en DKIM komen, en scherp daarna stapsgewijs aan naar p=quarantine en uiteindelijk p=reject.
Mijn e-mail komt nog steeds in de spam, ondanks SPF en DKIM. Hoe kan dat?
Controleer of je echt verstuurt vanaf je eigen domein (en niet via een gratis adres), of het SPF-record niet meer dan tien lookups bevat, en of DKIM correct is ondertekend. Ook reputatie speelt mee: een nieuw domein of een verkeerd ingestelde SMTP-server kan alsnog in de spam belanden. Begin bij de juiste SMTP-instellingen.
