Data & onderzoek8 min leestijd

MTA-STS bij Nederlandse bedrijven: hoe ver zijn we

Emailverkeer tussen bedrijven verloopt vaak onversleuteld. MTA-STS verandert dat — maar slechts weinig Nederlandse domeinen hebben het ingericht.

Elke dag vliegen miljoenen bedrijfsmails over het internet. En hoewel je misschien denkt dat ze veilig onderweg zijn, is de realiteit anders: de verbinding tussen twee mailservers is niet standaard versleuteld. Hier komt MTA-STS (Mutual TLS Authentication for SMTP) om de hoek — een manier om die route wél te beveiligen. Maar hoe zit het met de adoptie in Nederland?

Wat is MTA-STS eigenlijk?

MTA-STS is een beveiligingsstandaard die zorgt dat twee mailservers verplicht een versleutelde (TLS) verbinding gebruiken als ze e-mail uitwisselen. Het werkt via een eenvoudig tekstbestand dat je in de DNS van je domein plaatst — als een "beleid" dat zegt: "Voor e-mail naar mij geldt: alleen beveiligde verbinding".

Het verschil met STARTTLS (wat veel mailservers al gebruiken) is cruciaal: STARTTLS is optioneel. Als de ontvangende server zegt "ik kan geen TLS", gaat de e-mail tóch door — maar dan onversleuteld. MTA-STS zegt: "Geen TLS? Dan gaat je e-mail niet door." Veel veiliger.

Jouw mailserverMTA-STS verplichtTLS-verbindingOntvanger checkt beleidBeveiligde route: email aanvaardInboxSpam
E-mail verzenden met en zonder MTA-STS beveiliging

Waarom MTA-STS voor Nederlandse bedrijven?

In Nederland gelden enkele belangrijke regels. De Telecommunicatiewet vereist dat reclame- en commerciële e-mails op een veilige, versleutelde manier worden verstuurd. Ook de AVG (Algemene Verordening Gegevensbescherming — de Nederlandse naam voor GDPR) vraagt om proportioneel beveiligde communicatie. Als je klantgegevens, aanbestedingen of gevoelige informatie per mail verzendt, is MTA-STS een manier om dat risico te verlagen.

Bovendien: steeds meer e-maildiensten (Gmail, Outlook, iCloud) en internetproviders richten hun policies strenger in. Als jouw domein MTA-STS niet ondersteunt, kan je reputatie dalen bij ontvangers die dit controleren. Voor bedrijven op Ziggo, KPN, Hotmail of andere grote providers is dit al relevant.

Best practice: MTA-STS als onderdeel van een stevige basis
Veel Nederlandse bedrijven denken dat SPF en DKIM genoeg zijn. Fout. De volle bescherming bouw je zo op: SPF (authentificatie afzender) + DKIM (digitale handtekening) + DMARC (beleid bij fail) + MTA-STS (TLS-verplicht). Zonder MTA-STS kun je authentificatie bewijzen, maar staat de versleuteling niet garant.

Hoe zet je MTA-STS in op je domein?

Het instellen is eigenlijk vrij rechtlijnig. Volg deze stappen:

  1. Zorg dat je mailserver STARTTLS ondersteunt. MTA-STS werkt alleen als TLS al mogelijk is — het verzet gewoon het defaultgedrag van "optioneel" naar "verplicht".
  2. Maak een mta-sts.txt bestand met het beleid. Dit is een tekstbestand met regels zoals version: STSv1, mode: enforce (of testing om eerst te testen), en max_age: 604800 (hoe lang het beleid geldig is).
  3. Host het bestand op https://mta-sts.joudomein.nl/.well-known/mta-sts.txt — HTTPS verplicht!
  4. Voeg een DNS TXT record toe onder _mta-sts.joudomein.nl die aangeeft waar het beleid te vinden is en welke versie het is.
  5. Test je instellingen met onze gratis inbox placement test — we checken ook je MTA-STS configuratie.
v=STSv1; id=20260713001; mode=enforce;Versie van MTA-STS standaardVersie-ID van je beleidenforce (verplicht) of testing
MTA-STS DNS TXT record voorbeeld

MTA-STS adoptie in Nederland: wat zeggen de cijfers?

Hoewel MTA-STS steeds belangrijker wordt, is de adoptie onder Nederlandse bedrijven nog relatief laag. Ons onderzoek via /email-stats/ scant wekelijks de top domeinen en volgt welke beveiligingsstandaarden zij toepassen.

Het beeld dat emergeert: grote bedrijven en mailproviders (Gmail-domeinhouders, Exchange Online organisaties) hebben MTA-STS vaker ingericht. Maar veel midden- en kleinbedrijven — vooral in traditionele sectoren — hebben het nog niet als prioriteit gesteld. Dit hangt ook samen met het feit dat MTA-STS "stilletjes" werkt: het breekt niet zichtbaar het mail-versturen, het vergroot alleen de veiligheid.

Als je je domein wil vergelijken met de landelijke trend, check de live gegevens op /email-stats/ — daar zie je real-time adoption rates voor SPF, DKIM, DMARC, MTA-STS en andere standaarden. Op die manier hou je voeling met wat concurrenten en partners doen.

Veelgestelde vragen over MTA-STS

Werkt MTA-STS ook als mijn ontvangers geen MTA-STS ondersteunen?

Ja, MTA-STS is eenrichtingsverkeer. Jij definieert het beleid voor inkomende mail naar jouw domein. Wanneer jij zelf e-mails naar anderen verzendt, controleert jouw mailserver hun MTA-STS beleid (als ze dat hebben). Dus: MTA-STS beschermt jouw ontvangst, onafhankelijk van hoe anderen het regelen.

Wat is het verschil tussen STARTTLS, DANE en MTA-STS?

STARTTLS: Optionele TLS-upgrade van verbinding — als het faalt, gaat de mail tóch door.
DANE: Gebruikt DNSSEC om TLS-certificaat te verifiëren — maar vereist dat je DNSSEC op je domein hebt ingericht (complexer).
MTA-STS: Forceert TLS en is gemakkelijker in te stellen dan DANE — geen DNSSEC nodig. Ideaal voor meeste bedrijven.

Kan MTA-STS e-mails blokkeren die ik eigenlijk wíl ontvangen?

Ja, in "enforce"-modus. Als een legitieme partner geen TLS kan bieden, gaat die mail niet door. Daarom raden we aan eerst in "testing"-modus te gaan — dan stuur je alleen waarschuwingen naar je maillog, maar e-mails gaan gewoon door. Na 1–2 weken testen kun je naar "enforce" schakelen.
Gerelateerde artikelen
Found this useful? Share it
AB
Over de auteur
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Controleer je afleverbaarheid bij 20+ providers

Gmail, Outlook, Yahoo, GMX, ProtonMail en meer. Echte inbox-screenshots, SPF/DKIM/DMARC, spamfilter-oordelen. Gratis, zonder registratie.

Start gratis test →

Onbeperkt testen · 20+ seed-mailboxen · Live resultaten · Geen account nodig