Je stuurt een offerte naar een klant, maar de mail komt nooit aan. Of erger: een crimineel verstuurt een nepfactuur uit naam van jouw bedrijf en je klanten trappen erin. In beide gevallen is de oorzaak vaak hetzelfde. Je e-mail mist de juiste authenticatie.

SPF, DKIM en DMARC zijn de drie standaarden die samen bepalen of een mail uit jouw naam te vertrouwen is. In dit artikel leggen we uit wat ze doen, hoe je ze instelt en waarom ze sinds 2024 belangrijker zijn dan ooit.

Het probleem: spoofing en mails die niet aankomen

E-mail is van oorsprong een open systeem. Iedereen kan een bericht versturen met jouw bedrijfsnaam in het afzenderveld, zonder dat daar standaard een controle op zit. Criminelen maken daar gretig gebruik van met nepfacturen, valse betaalverzoeken en phishing-mails die eruitzien alsof ze van jou komen. Dat heet spoofing.

De keerzijde is net zo vervelend. Mailproviders zoals Gmail en Outlook gaan spoofing tegen met steeds strengere filters. Kun je niet bewijzen dat een mail echt van jouw domein komt, dan belandt hij in de spammap of wordt hij geweigerd. Voor een ondernemer die op offertes en facturen leunt, is dat een direct probleem.

SPF, DKIM en DMARC lossen beide kanten op. Ze bewijzen aan de ontvanger dat een mail echt van jou is en geven jou controle over wat er gebeurt met mail die zich ten onrechte voordoet als jouw domein. Het is een belangrijke aanvulling op de manier waarop je je bedrijf tegen phishing beschermt.

Wat is SPF?

SPF staat voor Sender Policy Framework. Het is een lijst van servers die namens jouw domein e-mail mogen versturen, gepubliceerd als een TXT-record in de DNS van je domein.

Een voorbeeld. Gebruik je Microsoft 365 voor je e-mail, dan staat in je SPF-record dat de mailservers van Microsoft jouw mail mogen verzenden. Komt er een bericht binnen dat zegt van jouw domein te zijn, dan controleert de ontvangende server of de verzendende server in die lijst staat. Zo niet, dan is dat een sterk signaal dat de mail vervalst is.

SPF heeft wel een beperking. Het controleert alleen het technische afzenderdomein, niet de naam die de ontvanger in zijn inbox ziet. En als een mail wordt doorgestuurd, kan SPF breken. Daarom is SPF alleen niet genoeg.

Wat is DKIM?

DKIM staat voor DomainKeys Identified Mail. Waar SPF kijkt naar de verzendende server, voegt DKIM een cryptografische handtekening toe aan elke mail die je verstuurt.

Het werkt met een sleutelpaar. De privésleutel zit bij je mailserver en ondertekent uitgaande berichten. De bijbehorende publieke sleutel publiceer je, net als bij SPF, als een record in je DNS. De ontvangende server controleert de handtekening met die publieke sleutel. Klopt die, dan staat vast dat de mail onderweg niet is aangepast en echt door jouw domein is ondertekend.

De handtekening blijft bovendien behouden als een mail wordt doorgestuurd. Daardoor vult DKIM precies de zwakke plek van SPF aan en geven de twee samen een veel betrouwbaarder beeld.

Wat is DMARC?

SPF en DKIM doen de controle, maar vertellen de ontvanger niet wat hij moet doen als die controle mislukt. Dat is precies waar DMARC binnenkomt. DMARC staat voor Domain-based Message Authentication, Reporting and Conformance.

DMARC doet twee dingen. Ten eerste legt het een beleid vast: wat moet er gebeuren met mail die niet door SPF of DKIM komt? Ten tweede zorgt het voor rapportage. Je ontvangt overzichten van wie er namens jouw domein mailt, inclusief pogingen tot misbruik. Zo zie je of iemand je domein probeert te spoofen.

DMARC werkt bovendien met een principe dat alignment heet. Het controleert niet alleen of SPF of DKIM slaagt, maar ook of het domein in die controle past bij het domein dat de ontvanger ziet. Daarmee dicht het de laatste gaten die spoofers anders nog konden gebruiken.

De drie DMARC-beleidsopties

In je DMARC-record stel je een policy in. Er zijn drie opties, en de keuze bepaalt hoe streng je optreedt.

Bij p=none verandert er niets aan de bezorging. Mail die niet door de controle komt, wordt gewoon afgeleverd, maar je krijgt wel de rapporten binnen. Dit is de stand om mee te beginnen, zodat je zicht krijgt op je mailstromen zonder dat er per ongeluk legitieme mail sneuvelt.

Bij p=quarantine belandt mail die niet door SPF of DKIM komt in de spammap. De ontvanger ziet het bericht dan wel, maar met een duidelijk signaal dat er iets niet klopt.

Bij p=reject wordt verdachte mail helemaal geweigerd. Dit is het strengste niveau en de eindbestemming voor elk bedrijf dat zijn domein serieus beschermt. Schakel hier pas naartoe als je zeker weet dat al je legitieme mailstromen netjes zijn ingericht.

Zo stel je het in via DNS

De drie standaarden regel je allemaal in de DNS van je domein, dezelfde plek waar ook je website en e-mailinstellingen staan. Bij Qware ICT richten we dit voor klanten in, maar het is goed om de stappen te begrijpen.

Je begint met SPF. Je maakt één TXT-record aan waarin alle diensten staan die namens jou mailen, bijvoorbeeld Microsoft 365, je nieuwsbriefsoftware en je boekhoudpakket. Je mag maar één SPF-record per domein hebben, dus alles moet in dat ene record. Werk je met geautomatiseerde e-mailworkflows, vergeet dan niet ook die verzendende dienst toe te voegen.

Daarna activeer je DKIM. In Microsoft 365 of Google Workspace zet je DKIM aan in de beheeromgeving en plaats je de bijbehorende records in je DNS. Vanaf dat moment worden je uitgaande mails automatisch ondertekend.

Tot slot publiceer je een DMARC-record, ook als TXT-record. Daarin zet je je policy en een mailadres waar de rapporten naartoe gaan. Begin altijd met p=none, lees een paar weken de rapporten en schaal pas daarna geleidelijk op naar quarantine en uiteindelijk reject. Die voorzichtige aanpak voorkomt dat je per ongeluk je eigen mail blokkeert.

Veelgemaakte fouten

De meest voorkomende fout is meerdere SPF-records aanmaken. Dat is niet toegestaan en zorgt ervoor dat SPF helemaal niet meer werkt. Voeg nieuwe diensten dus altijd toe aan je bestaande record. Let ook op de limiet van tien DNS-lookups: stapel je te veel diensten op elkaar, dan loop je daar tegenaan en faalt de controle alsnog.

Ook gevaarlijk is direct naar p=reject springen zonder de rapporten te lezen. Vergeet je een dienst die namens jou mailt, dan worden die mails geweigerd en kom je daar pas achter als een klant klaagt. Geduld loont hier.

Een laatste fout is denken dat je klaar bent na het instellen. Je voegt een nieuwe nieuwsbrieftool toe of stapt over naar een ander boekhoudpakket, en elke wijziging kan je records raken. Periodiek controleren hoort er gewoon bij, net als bij goed managed IT-beheer.

Waarom dit sinds 2024 extra belangrijk is

Lange tijd was e-mailauthenticatie iets voor de techneuten. Dat is veranderd. In februari 2024 voerden Google en Yahoo nieuwe eisen in voor bulkverzenders, partijen die ongeveer 5.000 of meer berichten per dag naar persoonlijke accounts sturen. Wie aan die grens komt, moet zowel SPF als DKIM hebben ingesteld en een geldig DMARC-record publiceren met minimaal p=none. Voldoe je niet, dan komt je mail niet meer aan bij Gmail- en Yahoo-gebruikers.

Microsoft volgde in 2025. Vanaf 5 mei 2025 gelden vergelijkbare eisen voor wie meer dan 5.000 mails per dag naar consumentenaccounts als Outlook.com, Hotmail.com en Live.com stuurt. Ook daar moeten SPF, DKIM en DMARC op orde zijn, anders worden berichten geweigerd.

Hoewel deze regels formeel gelden voor grote verzenders, is de boodschap voor elk bedrijf duidelijk. De mailproviders behandelen authenticatie als de norm, niet als een extra. Een MKB-bedrijf dat zijn e-mail goed authenticeert, heeft simpelweg een betere kans dat zijn offertes en facturen aankomen. Dat past in een bredere beweging naar veiliger inloggen en strakker toegangsbeheer, zoals bij multifactor authenticatie instellen voor je bedrijf.

Veelgestelde vragen over SPF, DKIM en DMARC

Heb ik alle drie nodig of is er één genoeg?

Je hebt ze alle drie nodig. SPF en DKIM doen de controle vanuit verschillende invalshoeken en vullen elkaar aan. DMARC bepaalt wat er met de uitkomst gebeurt en geeft je inzicht via rapporten. Pas met de combinatie van de drie ben je echt beschermd.

Belandt mijn mail in de spam als ik dit niet instel?

Dat risico neemt sterk toe. Mailproviders vertrouwen ongeauthenticeerde mail steeds minder. Zeker als je veel mailt of zakelijke afspraken via mail maakt, is goede authenticatie de beste manier om uit de spammap te blijven.

Kan ik dit zelf instellen?

Technisch kan het, maar één foutje in je DNS heeft direct gevolgen voor al je uitgaande mail. Veel ondernemers laten dit liever inrichten en bewaken door een ICT-partner, samen met de rest van hun mailomgeving zoals het instellen van IMAP. Qware ICT, gevestigd in Dordrecht en actief in de hele regio Drechtsteden, doet dit dagelijks voor MKB-bedrijven.

Hoe lang duurt het voordat het werkt?

De DNS-wijzigingen zelf zijn binnen enkele uren actief. Het opbouwen naar p=reject duurt langer, meestal enkele weken, omdat je eerst de rapporten wilt lezen om zeker te weten dat alle legitieme mail blijft aankomen.

Conclusie

SPF, DKIM en DMARC klinken technisch, maar het doel is heel praktisch. Je voorkomt dat criminelen je domein misbruiken en je zorgt dat je eigen mail betrouwbaar aankomt. Sinds de eisen van Google, Yahoo en Microsoft is het geen luxe meer, maar de norm.

Begin met SPF en DKIM, voeg een DMARC-record toe op p=none en schaal voorzichtig op. Twijfel je of je instellingen kloppen? Qware ICT controleert je e-mailauthenticatie en richt het voor je in, zodat je er geen omkijken naar hebt. Bel ons gerust op 078 653 1820 voor een vrijblijvend gesprek.