Je winkelwagen is leeg
Producten die je toevoegt, verschijnen hier.
Samenvatting: email authenticatie in 4 stappen
- SPF record — bepaal welke servers mogen mailen
- DKIM record — onderteken je berichten cryptografisch
- DMARC record — stel je beleid in en ontvang rapporten
- BIMI (optioneel) — toon je logo in de inbox
Gebruik onze SPF generator, DKIM generator en DMARC analyzer om elk record te maken en te controleren.
Je e-mails belanden in de spamfolder. Je klanten ontvangen phishing
KeurigOnline zegtPhishingPhishing is een cyberaanval waarbij criminelen zich voordoen als betrouwbare organisaties om gevoelige informatie te stelen.-mails die van jouw domein lijken te komen. Of grote providers zoals Gmail en Yahoo weigeren simpelweg je berichten. Dit overkomt dagelijks duizenden Nederlandse bedrijven met .nl, .com en .be domeinen.
De oplossing? Volledige email authenticatieKeurigOnline zegtEmail authenticatieEmail authenticatie is een verzameling DNS-protocollen (SPF, DKIM, DMARC) die bewijzen dat een email daadwerkelijk van het geclaimde domein komt. met SPF, DKIMKeurigOnline zegtDKIMDKIM beveiligt e-mails met een digitale handtekening om spam tegen te gaan., DMARCKeurigOnline zegtDMARCDMARC is een e-mailbeveiligingsprotocol dat domeinen beschermt tegen phishing en spoofing via SPF en DKIM. en optioneel BIMI. Sinds februari 2024 zijn deze standaarden verplicht voor Gmail en Yahoo als je bulk e-mails verstuurt.
In deze checklist doorloop je alle stappen in de juiste volgorde. Je leert precies welke DNS records je moet toevoegen, hoe je ze verifieert, en welke veelgemaakte fouten je moet vermijden. Aan het eind heb je een volledig beveiligde e-mailconfiguratie.
Wil je eerst begrijpen hoe email en DNSKeurigOnline zegtDNSHet Domain Name System (DNS) vertaalt domeinnamen naar IP-adressen, zodat websites makkelijk bereikbaar zijn. samenwerken? Lees dan ons uitgebreide artikel over email DNS records voor de volledige achtergrond.
Waarom is email authenticatie belangrijk?
Definitie: Email authenticatie is een verzameling DNS-gebaseerde protocollen (SPF, DKIM, DMARC, BIMI) waarmee ontvangende mailservers kunnen verifiëren dat een e-mail daadwerkelijk afkomstig is van het domein dat in de "From"-header staat. Dit voorkomt spoofing, phishing en verbetert de deliverability.
Zonder email authenticatie kan iedereen e-mails versturen die lijken te komen van jouw domein. Dit leidt tot drie problemen:
- Deliverability-problemen — Je legitieme e-mails belanden in de spamfolder omdat mailservers je domein niet kunnen vertrouwen
- Reputatieschade — Criminelen versturen phishing-mails namens jouw domein, wat je merkimago beschadigt
- Wettelijke risico's — De NCSC-richtlijn adviseert Nederlandse organisaties om email authenticatie te implementeren
Google en Yahoo requirements 2024
Sinds 1 februari 2024 gelden strengere eisen voor bulk verzenders (meer dan 5.000 e-mails per dag):
| Requirement | Gmail | Yahoo |
|---|---|---|
| SPF of DKIM | ✅ Verplicht | ✅ Verplicht |
| DMARC record | ✅ Verplicht (p=none minimaal) | ✅ Verplicht |
| DKIM alignment | ✅ Verplicht | ✅ Verplicht |
| One-click unsubscribe | ✅ Verplicht | ✅ Verplicht |
Ook als je geen bulk verzender bent, verbetert volledige authenticatie je deliverability. Begrijp je nog niet precies hoe DNS werkt? Lees dan eerst die basis.
Stap 1: SPF record instellen
Definitie: Een SPF record (Sender Policy Framework) is een RFC 7208 standaard die via een DNS TXT-record aangeeft welke IP-adressen en mailservers e-mail mogen versturen namens jouw domein.
Wat SPF doet
SPF controleert de "envelope sender" (Return-Path) van een e-mail. De ontvangende mailserver vergelijkt het IP-adres van de verzendende server met de toegestane servers in jouw SPF record. Bij een match passeert de e-mail de SPF-check.
SPF record maken
SPF record instellen in 4 stappen
- Inventariseer verzendende servers — Website-mail, Google Workspace, Microsoft 365, CRM, nieuwsbrief-tools
- Genereer je SPF record — Gebruik onze SPF record generator vergelijking
- Voeg TXT record toe aan DNS — Bij je domeinregistrar of DNS provider
- Verifieer — Test met een DNS test tool
Voorbeeld SPF record
v=spf1 include:_spf.google.com include:_spf.keurigonline.nl ~allDit record staat Google Workspace en KeurigOnline toe om namens je domein te mailen. De ~all betekent "softfail" — niet-gematchte mail wordt gemarkeerd maar niet geweigerd.
Let op: maximaal 10 DNS lookups
SPF staat maximaal 10 DNS lookups toe. Elke include:, a:, mx: en redirect= telt mee. Overschrijding veroorzaakt een "permerror" en SPF faalt volledig. Gebruik DMARCIAN SPF Surveyor om je lookups te tellen.
SPF verificatie
Controleer je SPF record met het dig commando:
dig TXT jouwdomein.nl +short | grep spfOf gebruik MXToolbox SuperTool voor een visuele check.
Stap 2: DKIM instellen
Definitie: Een DKIM record (DomainKeys Identified Mail) is een RFC 6376 standaard die e-mails cryptografisch ondertekent. De publieke sleutel staat in een DNS TXT-record; de privésleutel blijft op je mailserver.
Wat DKIM doet
DKIM voegt een digitale handtekening toe aan je e-mails. Dit bewijst twee dingen:
- Authenticiteit — De e-mail komt daadwerkelijk van het genoemde domein
- Integriteit — De inhoud is niet gewijzigd tijdens transport
DKIM instellen
DKIM record instellen in 4 stappen
- Genereer DKIM sleutelpaar — Via je mailprovider of onze DKIM generator tools
- Voeg publieke sleutel toe aan DNS — Als TXT-record op
selector._domainkey.jouwdomein.nl - Configureer mailserver — Activeer DKIM signing met de privésleutel
- Verifieer — Stuur een test-email en check de headers
Voorbeeld DKIM record
google._domainkey.jouwdomein.nl IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..."De selector (hier: "google") identificeert welke sleutel wordt gebruikt. Je kunt meerdere selectors hebben voor verschillende diensten.
DKIM bij populaire providers
| Provider | Selector | Documentatie |
|---|---|---|
| Google Workspace | google |
Google DKIM setup |
| Microsoft 365 | selector1, selector2 |
Microsoft DKIM setup |
| Mailchimp | k1, k2 |
Mailchimp authentication |
| SendGrid | s1, s2 |
SendGrid domain auth |
DKIM verificatie
Test je DKIM configuratie door een e-mail te sturen naar mail-tester.com of bekijk de e-mailheaders voor dkim=pass.
Stap 3: DMARC instellen
Definitie: Een DMARC record (Domain-based Message Authentication, Reporting & Conformance) is een RFC 7489 standaard die aangeeft wat moet gebeuren als SPF of DKIM faalt, en die rapporten genereert over alle e-mails die namens jouw domein worden verstuurd.
Wat DMARC doet
DMARC verbindt SPF en DKIM aan het domein dat de gebruiker ziet (de "From" header). Daarnaast bepaalt DMARC:
- Beleid — Wat moet er gebeuren met e-mails die falen? (none/quarantine/reject)
- Alignment — Moeten SPF/DKIM domeinen exact matchen of is een subdomeinKeurigOnline zegtSubdomeinEen subdomein is een extra voorvoegsel voor je domeinnaam, zoals blog.voorbeeld.nl of shop.voorbeeld.nl. voldoende?
- Rapportage — Ontvang dagelijkse XMLKeurigOnline zegtXMLXML is een opmaaktaal die gebruikt wordt om gestructureerde data uit te wisselen tussen systemen.-rapporten over alle e-mails namens jouw domein
DMARC instellen
DMARC record instellen in 5 stappen
- Zorg eerst voor werkende SPF en DKIM — DMARC vereist minstens één van beide
- Start met p=none — Monitor eerst zonder mail te blokkeren
- Voeg DMARC record toe aan DNS — Als TXT-record op
_dmarc.jouwdomein.nl - Analyseer rapporten — Gebruik een DMARC analyzer
- Verscherp beleid — Van
p=none→p=quarantine→p=reject
Voorbeeld DMARC record
v=DMARC1; p=quarantine; rua=mailto:dmarc@jouwdomein.nl; ruf=mailto:dmarc-forensic@jouwdomein.nl; pct=100; adkim=r; aspf=rDit record:
p=quarantine— Plaats falende mail in spamrua=— Ontvang dagelijkse aggregate rapportenruf=— Ontvang forensic rapporten bij failurespct=100— Pas beleid toe op 100% van de mailadkim=r/aspf=r— Relaxed alignment (subdomeinen toegestaan)
DMARC beleidsniveaus
| Beleid | Actie | Wanneer gebruiken |
|---|---|---|
p=none |
Alleen monitoring, geen actie | Start hier. Analyseer rapporten. |
p=quarantine |
Plaats in spamfolder | Na 2-4 weken monitoring zonder issues |
p=reject |
Weiger de e-mail volledig | Maximale bescherming, alle bronnen gevalideerd |
Begin nooit met p=reject
Direct starten met p=reject kan legitieme e-mail blokkeren. Begin altijd met p=none, analyseer 2-4 weken lang de DMARC rapporten, en verscherp pas daarna het beleid. Zie onze gids voor DNS problemen oplossen bij issues.
Stap 4: BIMI instellen (optioneel)
Definitie: BIMI (Brand Indicators for Message Identification) is een standaard waarmee je je bedrijfslogo toont naast e-mails in ondersteunde clients zoals Gmail, Yahoo Mail en Apple Mail. Dit versterkt merkherkenning en vertrouwen.
BIMI requirements
BIMI vereist:
- DMARC met p=quarantine of p=reject — Je moet streng DMARC beleid hebben
- SVG logo in Tiny PS formaat — Specifiek formaat voor email clients
- VMC certificaatKeurigOnline zegtVMC certificaatEen VMC (Verified Mark Certificate) bewijst eigenaarschap van een handelsmerk en is vereist voor BIMI in Gmail. (optioneel voor Gmail) — Verified Mark Certificate voor het blauwe vinkje
BIMI instellen
BIMI instellen in 4 stappen
- Zorg voor DMARC p=quarantine of p=reject
- Converteer je logo naar SVG Tiny PS — Gebruik onze BIMI generator tools
- Host je logo op HTTPS — Bijvoorbeeld
https://jouwdomein.nl/bimi-logo.svg - Voeg BIMI record toe aan DNS — Als TXT-record op
default._bimi.jouwdomein.nl
Voorbeeld BIMI record
default._bimi.jouwdomein.nl IN TXT "v=BIMI1; l=https://jouwdomein.nl/bimi-logo.svg; a=;"De a= parameter is voor het VMC certificaat. Zonder VMC laat je dit leeg.
VMC certificaat (voor Gmail verified checkmark)
Gmail toont alleen je logo met blauw vinkje als je een Verified Mark Certificate hebt. Dit certificaat kost €1.000-1.500 per jaar en is verkrijgbaar bij:
Voor kleine bedrijven is dit vaak niet nodig — Yahoo en Apple Mail tonen je logo ook zonder VMC.
Alles testen: de complete verificatie
Na het instellen van alle records moet je verifiëren dat alles correct werkt. Gebruik deze tools:
Snelle check (5 minuten)
| Protocol | Test tool |
|---|---|
| SPF | MXToolbox SPF Check |
| DKIM | MXToolbox DKIM Check |
| DMARC | MXToolbox DMARC Check |
| BIMI | BIMI Group Inspector |
| Alles tegelijk | Mail-Tester.com |
Zie onze complete vergelijking van DNS test tools en email deliverability testers voor meer opties.
Test via e-mailheaders
Stuur een test-email naar jezelf en bekijk de headers. Zoek naar:
Authentication-Results: mx.google.com;
dkim=pass header.i=@jouwdomein.nl header.s=google;
spf=pass (google.com: domain of noreply@jouwdomein.nl) smtp.mailfrom=noreply@jouwdomein.nl;
dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=jouwdomein.nlJe wilt pass zien voor alle drie: dkim=pass, spf=pass, dmarc=pass.
SPF record voorbeelden
Hier zijn kant-en-klare SPF records voor veelvoorkomende configuraties:
KeurigOnline hosting + Google Workspace
v=spf1 include:_spf.keurigonline.nl include:_spf.google.com ~allDit record autoriseert zowel KeurigOnline's mailservers als Google Workspace om e-mail te versturen namens je domein.
KeurigOnline hosting + Microsoft 365
v=spf1 include:_spf.keurigonline.nl include:spf.protection.outlook.com ~allWebhosting + nieuwsbrief tool + eigen IP
v=spf1 include:_spf.keurigonline.nl include:servers.mcsv.net ip4:123.45.67.89 ~allVervang 123.45.67.89 door het IP-adres van je eigen mailserver indien van toepassing.
Tip: Gebruik onze SPF record generator om een SPF record op maat te maken voor jouw specifieke configuratie. Zo voorkom je fouten en houd je het aantal DNS lookups binnen de limiet van 10.
Meer informatie over geavanceerde DNS configuratie en TTLKeurigOnline zegtTTLTTL bepaalt hoe lang DNS-informatie of cache-data geldig blijft voordat deze ververst wordt.-instellingen.
Troubleshooting: veelvoorkomende problemen
Email belandt nog steeds in spam
Als je email nog steeds in de spamfolder belandt ondanks correcte authenticatie, ligt het probleem vaak bij je domeinreputatie of content:
- Check domain reputation — Gebruik Google Postmaster Tools voor inzicht in hoe Gmail je domein beoordeelt
- Check IP reputation — Gebruik MXToolbox Blacklist Check om te zien of je IP op blacklists staat
- Analyseer content — Mail-Tester scoort ook je content op spam-indicatoren
- Controleer engagement — Lage open rates en hoge bounce rates schaden je reputatie
- Warm-up nieuwe domeinen — Nieuwe domeinen moeten geleidelijk volume opbouwen
SPF permerror: te veel DNS lookups
Een van de meest voorkomende SPF-problemen is het overschrijden van de 10 DNS lookup limiet. Dit veroorzaakt een "permerror" waardoor je SPF volledig faalt.
Zo tel je je huidige lookups:
- Ga naar DMARCIAN SPF Surveyor
- Voer je domeinnaamKeurigOnline zegtDomeinnaamEen domeinnaam is een uniek webadres gekoppeld aan je website en e-mail, zoals voorbeeld.nl, bedrijf.com of startup.ai. in
- Bekijk de "lookup tree" — elke vertakking telt als lookup
Oplossingen voor te veel lookups:
- SPF flatteningKeurigOnline zegtSPF flatteningSPF flattening vervangt include-statements door directe IP-adressen om onder de 10 DNS lookup limiet te blijven. — Vervang
include:statements door directe IP-ranges. Let op: dit vereist regelmatig onderhoud als IP's wijzigen. - Verwijder oude includes — Diensten die je niet meer gebruikt (oude CRM, vorige nieuwsbrief-tool)
- Consolideer verzending — Verstuur alle mail via één dienst in plaats van meerdere
DMARC alignment failures
SPF/DKIM pass maar DMARC faalt?
Dit is een alignment probleem. DMARC vereist dat het domein in SPF of DKIM overeenkomt met het "From" domein. Bijvoorbeeld: als je SPF check slaagt voor mail.jouwdomein.nl maar de From header jouwdomein.nl gebruikt, dan faalt DMARC alignment tenzij je relaxed mode (aspf=r) gebruikt.
Er zijn twee alignment modes:
- Strict (
adkim=s/aspf=s) — Domeinen moeten exact matchen.mail.jouwdomein.nl≠jouwdomein.nl - Relaxed (
adkim=r/aspf=r) — Organizational domain moet matchen.mail.jouwdomein.nl=jouwdomein.nl
De meeste organisaties gebruiken relaxed mode omdat dit flexibeler is met subdomeinen en externe diensten.
DKIM signature invalid of missing
DKIM failures komen vaak voor door:
- Verkeerde selector — De selector in je email matcht niet met je DNS record
- Ontbrekend DNS record — Het DKIM TXT-recordKeurigOnline zegtTXT-recordEen TXT-record bevat tekstinformatie in DNS, vaak gebruikt voor domeinverificatie en e-mailbeveiliging. is niet toegevoegd of nog niet gepropageerd
- Content wijzigingen — Mailing lists of forwarding services wijzigen de mail, waardoor de handtekening breekt
- Key rotation — De sleutel is geroteerd maar het oude DNS record staat er nog
Controleer je DKIM setup met: dig TXT selector._domainkey.jouwdomein.nl +short
Mailing lists en forwarding breken DKIM (ARC)
Een veelvoorkomend probleem: je DKIM is correct geconfigureerd, maar e-mails via mailing lists of forwarding services falen toch. Dit komt doordat deze diensten de e-mail wijzigen (bijvoorbeeld een footer toevoegen), waardoor de DKIM-handtekening ongeldig wordt.
Definitie: ARC (Authenticated Received Chain) is een RFC 8617 standaard die de originele authenticatieresultaten bewaart wanneer een e-mail wordt doorgestuurd of verwerkt door tussenliggende servers. Dit voorkomt DMARC-failures bij legitieme mailing lists.
Hoe ARC werkt:
- De originele e-mail passeert SPF, DKIM en DMARC bij de eerste hop
- Een mailing list wijzigt de e-mail (footer, subject prefix)
- De mailing list voegt ARC-headers toe die de originele authenticatiestatus vastleggen
- De ontvangende mailserver ziet dat DKIM faalt, maar vertrouwt de ARC-chain van de bekende mailing list
Wat kun je doen?
- Voor ontvangers: Gmail, Microsoft 365 en Yahoo ondersteunen ARC automatisch — geen actie nodig
- Voor mailing list beheerders: Configureer ARC-signing in je mailing list software (Mailman 3+, Sympa)
- Voor verzenders: Overweeg
p=quarantinein plaats vanp=rejectals veel ontvangers mailing lists gebruiken
Tip: Check je DMARC aggregate rapporten op "arc=pass" resultaten. Dit toont aan dat ARC correct werkt voor doorgestuurde e-mails van bekende mailing lists.
DNS propagatie duurt lang
Na het toevoegen van DNS records kunnen deze niet direct actief zijn. Dit komt door DNS caching:
- TTL (Time To Live) — Oude records blijven gecached tot de TTL verloopt
- Recursive resolvers — ISPKeurigOnline zegtISPEen ISP (Internet Service Provider) is de aanbieder van jouw internetverbinding.'s en providers cachen DNS queries
Tips voor snellere propagatie:
- Verlaag je TTL naar 300 seconden voordat je wijzigingen doorvoert
- Gebruik DNS Checker om propagatie wereldwijd te monitoren
- Flush je lokale DNSKeurigOnline zegtDNSHet Domain Name System (DNS) vertaalt domeinnamen naar IP-adressen, zodat websites makkelijk bereikbaar zijn. cacheKeurigOnline zegtCacheEen cache is een tijdelijke opslaglaag die veelgebruikte gegevens bewaart voor snellere toegang en betere prestaties. met
ipconfig /flushdns(Windows) ofsudo dscacheutil -flushcache(macOS)
Te veel DNS lookups (SPF permerror)
Als je SPF faalt met "permerror" heb je waarschijnlijk meer dan 10 DNS lookups. Oplossingen:
- SPF flattening — Vervang includes door directe IP-ranges
- Verwijder ongebruikte includes — Oude diensten die je niet meer gebruikt
- Gebruik SPF macro's — Geavanceerde techniek voor complexe setups
Zie onze gids voor DNS problemen oplossen voor meer troubleshooting tips.
Third-party diensten correct configureren
Veel email authenticatie problemen ontstaan door third-party diensten die namens je domein mailen. Zorg dat je voor elke dienst de juiste configuratie doorvoert:
| Dienst | SPF include | DKIM |
|---|---|---|
| Mailchimp | include:servers.mcsv.net |
CNAME records (k1, k2) |
| SendGrid | include:sendgrid.net |
CNAME records (s1, s2) |
| HubSpot | include:spf.protection.outlook.com |
Provider-specifiek |
| Zendesk | include:mail.zendesk.com |
TXT record |
| Freshdesk | include:email.freshdesk.com |
CNAME record |
Raadpleeg altijd de officiële documentatie van de dienst voor de meest actuele configuratie.
Veelgestelde vragen
Wat is een SPF record en waarvoor wordt het gebruikt?
Een SPF record (Sender Policy Framework) is een DNS TXT-record dat specificeert welke mailservers e-mail mogen versturen namens jouw domein.
Hoe het werkt: Wanneer een ontvangende mailserver een e-mail ontvangt, controleert deze het SPF record van het afzenderdomein om te verifiëren of de verzendende server geautoriseerd is.
Voordeel: SPF helpt spam en phishingKeurigOnline zegtPhishingPhishing is een cyberaanval waarbij criminelen zich voordoen als betrouwbare organisaties om gevoelige informatie te stelen. te voorkomen door te controleren of e-mails daadwerkelijk afkomstig zijn van toegestane bronnen.
Wat is een DKIM record en hoe werkt het?
Een DKIMKeurigOnline zegtDKIMDKIM beveiligt e-mails met een digitale handtekening om spam tegen te gaan. record (DomainKeys Identified Mail) is een DNS TXT-record dat een cryptografische publieke sleutel bevat.
Het proces:
- Bij het versturen voegt je mailserver een digitale handtekening toe met een privésleutel
- De ontvangende mailserver verifieert deze handtekening met de publieke sleutel uit je DKIM record
Dit bewijst: De e-mail is niet gewijzigd tijdens transport én is daadwerkelijk van jouw domein afkomstig.
Wat is een DMARC record en waarom heb ik het nodig?
Een DMARC record (Domain-based Message Authentication, Reporting & Conformance) bepaalt wat er moet gebeuren met e-mails die SPF of DKIM controles niet doorstaan.
DMARC biedt drie beleidsopties:
p=none— alleen rapportage, geen actiep=quarantine— naar spam verplaatsenp=reject— volledig weigeren
Extra voordeel: Je ontvangt dagelijkse rapporten over alle e-mails die namens jouw domein worden verstuurd.
In welke volgorde moet ik SPF, DKIM en DMARC instellen?
De juiste volgorde is: SPF → DKIM → DMARCKeurigOnline zegtDMARCDMARC is een e-mailbeveiligingsprotocol dat domeinen beschermt tegen phishing en spoofing via SPF en DKIM. → BIMI
- SPF — definieer welke servers mogen mailen
- DKIM — configureer cryptografische ondertekening
- DMARC — pas toe als SPF/DKIM werken (begin met
p=none) - BIMI — optioneel, vereist strikt DMARC beleid
Waarom deze volgorde? Dit voorkomt dat legitieme e-mail wordt geblokkeerd tijdens de configuratie.
Waarom belandt mijn e-mail in spam ondanks correcte SPF en DKIM?
Als je e-mail nog steeds in spam belandt ondanks werkende SPF en DKIM, controleer deze punten:
- DMARC alignment — domein in SPF/DKIM moet overeenkomen met From-adres
- Domeinreputatie — check via Google Postmaster Tools
- IP blacklists — controleer via MXToolbox BlacklistKeurigOnline zegtBlacklistEen blacklist is een lijst met geblokkeerde IP-adressen, domeinnamen of e-mailadressen die als spam of onveilig worden beschouwd. Check
- E-mailcontent — scan op spam-indicatoren
- Engagement metrics — lage open rates en hoge bounces schaden reputatie
Let op: Nieuwe domeinen moeten eerst "opwarmen" door geleidelijk volume op te bouwen.
Hoe los ik "SPF permerror: te veel DNS lookups" op?
SPF staat maximaal 10 DNS lookups toe. Elke include:, a:, mx: en redirect= telt mee.
Oplossingen:
- SPF flatteningKeurigOnline zegtSPF flatteningSPF flattening vervangt include-statements door directe IP-adressen om onder de 10 DNS lookup limiet te blijven. — vervang includes door directe IP-ranges (let op: vereist onderhoud bij IP-wijzigingen)
- Opschonen — verwijder ongebruikte includes van oude diensten
- Consolideren — verstuur via minder externe diensten
Tool: Gebruik DMARCIAN SPF Surveyor om je huidige lookups te tellen.
Hoe lang duurt het voordat mijn DNS wijzigingen actief zijn?
DNS propagatietijd hangt af van de TTL (Time To Live) van je records:
- TTL 300 sec (5 min) → wijzigingen binnen 5-15 minuten
- TTL 3600 sec (1 uur) → kan tot een uur duren
Tips voor snellere propagatie:
- Verlaag je TTLKeurigOnline zegtTTLTTL bepaalt hoe lang DNS-informatie of cache-data geldig blijft voordat deze ververst wordt. naar 300 seconden vóórdat je wijzigingen doorvoert
- Gebruik DNS Checker om propagatie wereldwijd te monitoren
- Flush je lokale DNS cacheKeurigOnline zegtCacheEen cache is een tijdelijke opslaglaag die veelgebruikte gegevens bewaart voor snellere toegang en betere prestaties. voor directe tests
Moet ik email authenticatie ook instellen voor subdomeinen?
Ja, subdomeinen hebben aparte configuratie nodig:
- SPF — wordt niet automatisch geërfd;
marketing.jouwdomein.nlheeft een eigen SPF record nodig - DKIM — vereist aparte selectors per subdomeinKeurigOnline zegtSubdomeinEen subdomein is een extra voorvoegsel voor je domeinnaam, zoals blog.voorbeeld.nl of shop.voorbeeld.nl.
- DMARC — gebruik de
sp=parameter om beleid voor subdomeinen in te stellen
Risico: Zonder deze configuratie kunnen subdomeinen misbruikt worden voor spoofing.
Wat als mijn e-mailprovider de DKIM sleutel beheert?
Providers zoals Google Workspace, Microsoft 365, Mailchimp en SendGrid genereren DKIM sleutels voor je.
Jouw taak: Alleen de publieke sleutel als DNSKeurigOnline zegtDNSHet Domain Name System (DNS) vertaalt domeinnamen naar IP-adressen, zodat websites makkelijk bereikbaar zijn. record toevoegen (TXT-recordKeurigOnline zegtTXT-recordEen TXT-record bevat tekstinformatie in DNS, vaak gebruikt voor domeinverificatie en e-mailbeveiliging. of CNAME).
Selectors per provider:
- Google Workspace:
google - Microsoft 365:
selector1,selector2 - Mailchimp:
k1,k2
De privésleutel blijft bij de provider en is nooit zichtbaar voor jou.
Is BIMI de moeite waard zonder VMC certificaat?
Ja, BIMI zonder VMC certificaatKeurigOnline zegtVMC certificaatEen VMC (Verified Mark Certificate) bewijst eigenaarschap van een handelsmerk en is vereist voor BIMI in Gmail. is waardevol.
Ondersteuning zonder VMC:
- Yahoo Mail — toont je logo
- Apple Mail — toont je logo
Gmail vereist VMC: Alleen met een Verified Mark Certificate (€1.000-1.500/jaar) krijg je het blauwe verified checkmark.
Advies: Begin zonder VMC voor merkherkenning, upgrade later wanneer het budget het toelaat.
Conclusie: je complete email authenticatie stack
Met deze checklist heb je alle stappen doorlopen voor volledige email authenticatie:
- SPF — Bepaalt welke servers mogen mailen (genereer je record)
- DKIM — Ondertekent je berichten cryptografisch (genereer je sleutel)
- DMARC — Stelt beleid in en levert rapporten (analyseer je rapporten)
- BIMI — Toont je logo in de inbox (genereer je record)
Test je complete setup met onze email deliverability testers en gebruik DNS test tools om je records te verifiëren.
Volgende stappen:
- Stel DMARC in met
p=noneen monitor 2-4 weken - Analyseer de rapporten op ongeautoriseerde verzenders
- Verscherp naar
p=quarantineen uiteindelijkp=reject - Overweeg BIMI voor betere merkherkenning
Bronnen en referenties
Dit artikel is gebaseerd op officiële specificaties en gezaghebbende bronnen:
- IETF (2014) — RFC 7208: Sender Policy Framework (SPF): De officiële SPF specificatie
- IETF (2011) — RFC 6376: DomainKeys Identified Mail (DKIM): De officiële DKIMKeurigOnline zegtDKIMDKIM beveiligt e-mails met een digitale handtekening om spam tegen te gaan. specificatie
- IETF (2015) — RFC 7489: DMARC: De officiële DMARCKeurigOnline zegtDMARCDMARC is een e-mailbeveiligingsprotocol dat domeinen beschermt tegen phishing en spoofing via SPF en DKIM. specificatie
- Google (2024) — Gmail sender guidelines: Officiële Google vereisten voor verzenders
- Yahoo (2024) — Yahoo sender best practices: Officiële Yahoo richtlijnen
- NCSC (2023) — Bescherm domeinnamen tegen phishing: Nederlandse overheidsrichtlijn
- SIDNKeurigOnline zegtSIDNSIDN beheert als officiële registry alle .nl-domeinnamen in Nederland sinds 1996. (2024) — Checklist e-mailstandaarden: Nederlandse .nl registry checklist
- BIMI Group (2024) — BIMI Implementation Guide: Officiële BIMI documentatie
- IETF (2019) — RFC 8617: Authenticated Received Chain (ARC): De officiële ARC specificatie voor mailing list forwarding
Let op: Email authenticatieKeurigOnline zegtEmail authenticatieEmail authenticatie is een verzameling DNS-protocollen (SPF, DKIM, DMARC) die bewijzen dat een email daadwerkelijk van het geclaimde domein komt. standaarden en provider requirements kunnen wijzigen. Controleer altijd de officiële documentatie van je e-mailprovider voor de meest actuele informatie. Links gecontroleerd op december 2025.
Test omgeving en verificatie
Deze checklist is getest en geverifieerd in december 2025 op een AlmaLinux 9 server met Postfix 3.5 en Dovecot 2.3. Alle configuraties zijn gecontroleerd met MXToolbox, Mail-Tester en DMARCIAN SPF Surveyor. DMARC rapporten geanalyseerd via Postmark DMARC Digests.
