Als je bulk-e-mails verstuurt — of gewoon van een bedrijfsdomein — dan hebben e-mailproviders als Gmail, Yahoo en Outlook zich sinds begin 2024 steeds strenger gaan gedragen. Ze eisen niet alleen dat je domein herkenbaar is, maar ook dat je aantoont dat je het echt bent. Dat doen ze via drie technische standaarden: SPF, DKIM en DMARC. Deze zijn niet alleen voor webshops en marketingteams; ze zijn essentieel voor iedereen die serieus e-mail wil versturen.
In deze gids leggen we uit wat elk mechanisme doet, hoe ze samenwerken, en hoe je ze zelf kunt controleren.
Wat is SPF (Sender Policy Framework)?
SPF is de eerste verdedigingslinie: het vertelt de mailserver van de ontvanger welke mailservers van jou afkomstig e-mail mogen verzenden.
Stel je voor: een crimineel stuurt een e-mail van jouw bedrijfsadres vanuit een random server op het internet. Zonder SPF ziet de ontvangende mailserver geen reden om dat niet te geloven. Met SPF plaats je een DNS-record dat zegt: "Alleen mailservers met IP-adres X.X.X.X mogen e-mails van mijn domein versturen."
SPF werkt dus op IP-adres-level. Het controleert: "Komt dit bericht van een geautoriseerde server voor dit domein?"
Een typisch SPF-record ziet er zo uit:
v=spf1 include:_spf.google.com include:sendgrid.net ~allDit betekent: "Dit domein staat Google en SendGrid toe e-mails te versturen. Alles wat niet in deze lijst staat, kan waarschijnlijk niet vertrouwd worden (~all = softfail)."
Wat is DKIM (DomainKeys Identified Mail)?
DKIM gaat een stap verder dan SPF: het ondertekent het bericht zelf digitaal met een privésleutel van jouw domein.
Denk eraan zoals een handtekening op een brief. Iedereen kan zien dat het bericht echt van jou afkomstig is door te controleren of de digitale handtekening klopt met de publieke sleutel die jij in je DNS hebt gepubliceerd.
DKIM werkt dus op bericht-level. Zelfs als de e-mail via een ander kanaal gaat, kan de ontvanger verifiëren dat het originele bericht niet is aangepast.
Jij genereert twee sleutels: de privésleutel bewaar je op je mailserver (of je ESP doet dit voor je), en de publieke sleutel plaats je in je DNS onder een speciaal record.
Wat is DMARC (Domain-based Message Authentication, Reporting, and Conformance)?
DMARC is de "baas" die de andere twee coördineert. Het stelt een beleid in: wat moet de ontvangende mailserver doen als een bericht SPF of DKIM niet verifiëert?
DMARC biedt drie opties:
- p=none — Geen actie (alleen rapporteren). Handig als je aan het testen bent.
- p=quarantine — Verdacht bericht naar spammap.
- p=reject — Bericht weigeren. Dit is het strengste, maar ook het veiligst.
Plus: DMARC stuurt je dagelijks XML-rapportjes met statistieken over welke e-mails van jouw domein slagen of falen. Zo krijg je zicht op potentiële problemen of aanvallen.
Hoe werken ze samen?
Een ontvanger voert deze stappen uit:
- Controleer SPF: "Zijn dit geautoriseerde IP-adressen voor dit domein?"
- Controleer DKIM: "Klopt de digitale handtekening van het bericht?"
- Controleer DMARC: "Welke policy zegt dit domein voor mislukte verificaties?" Pas de policy toe (reject, quarantine, none).
Je hoeft niet allemaal drie in één keer perfect in te stellen. Veel organisaties beginnen met SPF, voegen DKIM toe, en schakelen DMARC stap voor stap van p=none naar p=reject over, naarmate ze zeker weten dat alle legale e-mails verifiëren.
Hoe controleer je jouw records?
Je kunt zelf controleren of jouw domein correct is ingesteld via command line:
dig TXT jouwdomein.nl
dig TXT default._domainkey.jouwdomein.nlOf nog makkelijker: stuur een testbericht naar onze gratis inbox placement checker. Deze toont je niet alleen je DNS-records, maar ook of Gmail, Ziggo, Outlook en twintig andere Nederlandse en internationale providers je bericht accepteren.
Waarom is dit nu opeens verplicht?
Google en Yahoo hebben sinds februari 2024 strikte eisen ingesteld voor massaverstuurders:
- SPF en DKIM zijn verplicht.
- DMARC moet op zijn minst ingesteld zijn (p=none of p=quarantine).
- Spam rate in Postmaster Tools mag niet hoger zijn dan 0,3%.
- One-click unsubscribe moet in elk bericht zitten.
Dit geldt niet alleen voor Amerikaanse providers. Europese providers als KPN, Ziggo en Outlook volgen dezelfde lijn. Dus zelfs als je alleen naar Nederlandse klanten e-mailet, moet je je domein goed configureren.
Wat als je een Email Service Provider gebruikt?
Veel organisaties gebruiken een Email Service Provider zoals Copernica, Spotler of Laposta. Die nemen veel werk uit handen: ze genereren de DKIM-sleutels, helpen je SPF in te stellen, en voorzien dashboards voor DMARC-rapportjes.
Wat je zelf moet doen:
- De DNS-records van SPF en DKIM toevoegen aan je domein-beheerder (GoDaddy, Cloudflare, enz.).
- DMARC-record instellen en een e-mailadres opgeven voor rapportjes.
- Verifiëren dat alles werkt (testbericht versturen, DNS controleren).
Moet ik echt SPF, DKIM én DMARC gebruiken?
SPF alleen is niet voldoende; het is slechts een "hint" voor de mailserver. DKIM voegt digital signing toe. DMARC bepaalt wat er moet gebeuren bij falen. Voor massaverspreiding (newsletters, transactionele mail) eisen grote providers nu alle drie. Je kunt beginnen met SPF en DKIM, maar DMARC is sterk aanbevolen.
Wat is het verschil tussen DMARC p=none en p=reject?
Met p=none voert de ontvanger geen actie uit; het bericht arriveert normaal, maar jij ontvangt rapporten. Dit is veilig voor testen. Met p=reject weigert de mailserver berichten die niet verifiëren. Tussentrap: p=quarantine stuurt twijfelachtige berichten naar spam. Begin met p=none, beweeg voorzichtig naar reject zodra je zeker weet dat alle legale mail verifiëert.
Hoe vaak moet ik mijn records controleren?
Minstens elke keer als je je mailserver, ESP of DNS-configuratie verandert. Daarna: controleer je DMARC-rapportjes minstens wekelijks op anomalieën (onverwachte mislukkingen, potentiële spoofing). We hebben een gratis inbox placement test waar je snel kunt zien of je records correct zijn en waar je mail landen.