Basiskennis8 min leestijd

Wat zijn SPF, DKIM en DMARC?

Deze drie beveiligingsstandaarden werken samen om je e-mails van spoofing te beschermen en je afzenderreputatie intact te houden. Ontdek hoe ze werken en waarom ze essentieel zijn.

Als je bulk-e-mails verstuurt — of gewoon van een bedrijfsdomein — dan hebben e-mailproviders als Gmail, Yahoo en Outlook zich sinds begin 2024 steeds strenger gaan gedragen. Ze eisen niet alleen dat je domein herkenbaar is, maar ook dat je aantoont dat je het echt bent. Dat doen ze via drie technische standaarden: SPF, DKIM en DMARC. Deze zijn niet alleen voor webshops en marketingteams; ze zijn essentieel voor iedereen die serieus e-mail wil versturen.

In deze gids leggen we uit wat elk mechanisme doet, hoe ze samenwerken, en hoe je ze zelf kunt controleren.

Wat is SPF (Sender Policy Framework)?

SPF is de eerste verdedigingslinie: het vertelt de mailserver van de ontvanger welke mailservers van jou afkomstig e-mail mogen verzenden.

Stel je voor: een crimineel stuurt een e-mail van jouw bedrijfsadres vanuit een random server op het internet. Zonder SPF ziet de ontvangende mailserver geen reden om dat niet te geloven. Met SPF plaats je een DNS-record dat zegt: "Alleen mailservers met IP-adres X.X.X.X mogen e-mails van mijn domein versturen."

SPF werkt dus op IP-adres-level. Het controleert: "Komt dit bericht van een geautoriseerde server voor dit domein?"

Een typisch SPF-record ziet er zo uit:

v=spf1 include:_spf.google.com include:sendgrid.net ~all

Dit betekent: "Dit domein staat Google en SendGrid toe e-mails te versturen. Alles wat niet in deze lijst staat, kan waarschijnlijk niet vertrouwd worden (~all = softfail)."

Wat is DKIM (DomainKeys Identified Mail)?

DKIM gaat een stap verder dan SPF: het ondertekent het bericht zelf digitaal met een privésleutel van jouw domein.

Denk eraan zoals een handtekening op een brief. Iedereen kan zien dat het bericht echt van jou afkomstig is door te controleren of de digitale handtekening klopt met de publieke sleutel die jij in je DNS hebt gepubliceerd.

DKIM werkt dus op bericht-level. Zelfs als de e-mail via een ander kanaal gaat, kan de ontvanger verifiëren dat het originele bericht niet is aangepast.

Jij genereert twee sleutels: de privésleutel bewaar je op je mailserver (of je ESP doet dit voor je), en de publieke sleutel plaats je in je DNS onder een speciaal record.

Wat is DMARC (Domain-based Message Authentication, Reporting, and Conformance)?

DMARC is de "baas" die de andere twee coördineert. Het stelt een beleid in: wat moet de ontvangende mailserver doen als een bericht SPF of DKIM niet verifiëert?

DMARC biedt drie opties:

  • p=none — Geen actie (alleen rapporteren). Handig als je aan het testen bent.
  • p=quarantine — Verdacht bericht naar spammap.
  • p=reject — Bericht weigeren. Dit is het strengste, maar ook het veiligst.

Plus: DMARC stuurt je dagelijks XML-rapportjes met statistieken over welke e-mails van jouw domein slagen of falen. Zo krijg je zicht op potentiële problemen of aanvallen.

Hoe werken ze samen?

SPFControleert: is de mailserver geautoriseerd?DKIMControleert: is het bericht digitaal ondertekend en onveranderd?DMARCBepaalt de policy: reject, quarantine of none?
De drie beveiligingslagen: SPF (IP-verificatie), DKIM (bericht-ondertekening) en DMARC (beleid en rapportage)

Een ontvanger voert deze stappen uit:

  1. Controleer SPF: "Zijn dit geautoriseerde IP-adressen voor dit domein?"
  2. Controleer DKIM: "Klopt de digitale handtekening van het bericht?"
  3. Controleer DMARC: "Welke policy zegt dit domein voor mislukte verificaties?" Pas de policy toe (reject, quarantine, none).

Je hoeft niet allemaal drie in één keer perfect in te stellen. Veel organisaties beginnen met SPF, voegen DKIM toe, en schakelen DMARC stap voor stap van p=none naar p=reject over, naarmate ze zeker weten dat alle legale e-mails verifiëren.

Hoe controleer je jouw records?

Je kunt zelf controleren of jouw domein correct is ingesteld via command line:

dig TXT jouwdomein.nl dig TXT default._domainkey.jouwdomein.nl

Of nog makkelijker: stuur een testbericht naar onze gratis inbox placement checker. Deze toont je niet alleen je DNS-records, maar ook of Gmail, Ziggo, Outlook en twintig andere Nederlandse en internationale providers je bericht accepteren.

v=spf1 include:_spf.google.com include:sendgrid.net ~allVersie van het SPF-protocolGoogle mag e-mails verzenden voor dit domeinSendGrid mag e-mails verzendenAlles anders = soft fail (waarschuwing, geen reject)
Voorbeeld van een SPF-record in DNS en de onderdelen
Begin klein: van p=none naar reject
De fout die veel organisaties maken: ze zetten DMARC meteen op p=reject zonder ervoor te zorgen dat alle legale e-mails verifiëren. Gevolg: klant-e-mails verdwijnen. Beste praktijk: Start met p=none, monitor de rapportjes een tot twee weken, zorg dat SPF en DKIM beide werken, en pas dan over op p=quarantine of p=reject.

Waarom is dit nu opeens verplicht?

Google en Yahoo hebben sinds februari 2024 strikte eisen ingesteld voor massaverstuurders:

  • SPF en DKIM zijn verplicht.
  • DMARC moet op zijn minst ingesteld zijn (p=none of p=quarantine).
  • Spam rate in Postmaster Tools mag niet hoger zijn dan 0,3%.
  • One-click unsubscribe moet in elk bericht zitten.

Dit geldt niet alleen voor Amerikaanse providers. Europese providers als KPN, Ziggo en Outlook volgen dezelfde lijn. Dus zelfs als je alleen naar Nederlandse klanten e-mailet, moet je je domein goed configureren.

Wat als je een Email Service Provider gebruikt?

Veel organisaties gebruiken een Email Service Provider zoals Copernica, Spotler of Laposta. Die nemen veel werk uit handen: ze genereren de DKIM-sleutels, helpen je SPF in te stellen, en voorzien dashboards voor DMARC-rapportjes.

Wat je zelf moet doen:

  • De DNS-records van SPF en DKIM toevoegen aan je domein-beheerder (GoDaddy, Cloudflare, enz.).
  • DMARC-record instellen en een e-mailadres opgeven voor rapportjes.
  • Verifiëren dat alles werkt (testbericht versturen, DNS controleren).

Moet ik echt SPF, DKIM én DMARC gebruiken?

SPF alleen is niet voldoende; het is slechts een "hint" voor de mailserver. DKIM voegt digital signing toe. DMARC bepaalt wat er moet gebeuren bij falen. Voor massaverspreiding (newsletters, transactionele mail) eisen grote providers nu alle drie. Je kunt beginnen met SPF en DKIM, maar DMARC is sterk aanbevolen.

Wat is het verschil tussen DMARC p=none en p=reject?

Met p=none voert de ontvanger geen actie uit; het bericht arriveert normaal, maar jij ontvangt rapporten. Dit is veilig voor testen. Met p=reject weigert de mailserver berichten die niet verifiëren. Tussentrap: p=quarantine stuurt twijfelachtige berichten naar spam. Begin met p=none, beweeg voorzichtig naar reject zodra je zeker weet dat alle legale mail verifiëert.

Hoe vaak moet ik mijn records controleren?

Minstens elke keer als je je mailserver, ESP of DNS-configuratie verandert. Daarna: controleer je DMARC-rapportjes minstens wekelijks op anomalieën (onverwachte mislukkingen, potentiële spoofing). We hebben een gratis inbox placement test waar je snel kunt zien of je records correct zijn en waar je mail landen.

Gerelateerde artikelen
Found this useful? Share it
AB
Over de auteur
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Controleer je afleverbaarheid bij 20+ providers

Gmail, Outlook, Yahoo, GMX, ProtonMail en meer. Echte inbox-screenshots, SPF/DKIM/DMARC, spamfilter-oordelen. Gratis, zonder registratie.

Start gratis test →

Onbeperkt testen · 20+ seed-mailboxen · Live resultaten · Geen account nodig