Je winkelwagen is leeg
Producten die je toevoegt, verschijnen hier.
Samenvatting: Email authenticatie
KeurigOnline zegtEmail authenticatieEmail authenticatie is een verzameling DNS-protocollen (SPF, DKIM, DMARC) die bewijzen dat een email daadwerkelijk van het geclaimde domein komt. in het kort
Email authenticatie via DNSKeurigOnline zegtDNSHet Domain Name System (DNS) vertaalt domeinnamen naar IP-adressen, zodat websites makkelijk bereikbaar zijn. voorkomt spoofing en verbetert deliverability. SPF records specificeren welke servers namens je domein mogen mailen. DKIMKeurigOnline zegtDKIMDKIM beveiligt e-mails met een digitale handtekening om spam tegen te gaan. records voegen een digitale handtekening toe. DMARCKeurigOnline zegtDMARCDMARC is een e-mailbeveiligingsprotocol dat domeinen beschermt tegen phishing en spoofing via SPF en DKIM. records combineren SPF en DKIM met beleid voor gefaalde authenticatie. BIMI toont je logo in de inbox. Voor extra beveiliging zijn er MTA-STSKeurigOnline zegtMTA-STSMTA-STS dwingt TLS-versleuteling af voor email transport en voorkomt downgrade-aanvallen op SMTP-verbindingen. (TLSKeurigOnline zegtTLSTLS is het standaardprotocol voor versleutelde, betrouwbare communicatie tussen client en server. afdwingen) en DANE (certificaatvalidatie via DNSSECKeurigOnline zegtDNSSECDNSSEC (DNS Security Extensions) beveiligt DNS-informatie door deze cryptografisch te ondertekenen.).
Komt je zakelijke email in de spamfolder terecht? Of ontvangen klanten phishingKeurigOnline zegtPhishingPhishing is een cyberaanval waarbij criminelen zich voordoen als betrouwbare organisaties om gevoelige informatie te stelen.-mails die van jouw domein lijken te komen? Dit zijn veelvoorkomende problemen die ontstaan door ontbrekende of verkeerd geconfigureerde email DNS records.
Het Domain Name System slaat niet alleen IP-adressen op. Het bevat ook alle routeringsinformatie voor email én de beveiligingsrecords die authenticatie mogelijk maken.
In deze gids leer je hoe SPF, DKIM, DMARC, BIMI, MTA-STS en DANE samenwerken om je email te beveiligen. We behandelen elke technologie met praktische voorbeelden voor Nederlandse domeinen.
Hoe werkt email authenticatie?
Definitie: Email authenticatie is een verzameling DNS-records en protocollen die bewijzen dat een email daadwerkelijk van het geclaimde domein komt. Dit beschermt tegen spoofing, phishingKeurigOnline zegtPhishingPhishing is een cyberaanval waarbij criminelen zich voordoen als betrouwbare organisaties om gevoelige informatie te stelen. en spam.
Wanneer je een email verstuurt, doorloopt deze meerdere authenticatiecontroles voordat de ontvanger hem ziet:
- MX lookup — Bepaalt welke server de email moet ontvangen
- SPF check — Controleert of de verzendende server gemachtigd is
- DKIM verificatie — Valideert de digitale handtekening
- DMARC evaluatie — Past het beleid toe op basis van SPF en DKIM resultaten
- BIMI lookup — Haalt optioneel het merklogo op
De authenticatiepiramide
Email authenticatie werkt in lagen. Elke laag bouwt voort op de vorige:
| Laag | Protocol | Functie |
|---|---|---|
| 1. Basis | MX |
Email routering |
| 2. Authenticatie | SPF, DKIM |
Afzenderverificatie |
| 3. Beleid | DMARC |
Handhaving + rapportage |
| 4. Branding | BIMI |
Logo in inbox |
| 5. Transport | MTA-STS, DANE |
TLS afdwingen |
Laten we elke laag in detail bekijken.
Google en Yahoo bulk sender requirements
Sinds februari 2024 gelden strengere eisen voor bulk verzenders (meer dan 5.000 e-mails per dag naar Gmail of Yahoo). Deze eisen zijn nu standaard:
| Requirement | Gmail | Yahoo |
|---|---|---|
| SPF of DKIM | ✅ Verplicht | ✅ Verplicht |
| DMARC record | ✅ Verplicht (p=none minimaal) | ✅ Verplicht |
| DKIM alignment | ✅ Verplicht | ✅ Verplicht |
| One-click unsubscribe | ✅ Verplicht | ✅ Verplicht |
Ook als je geen bulk verzender bent, verbetert volledige authenticatie je deliverability aanzienlijk. Zie de officiële Gmail sender guidelines en Yahoo sender best practices voor de complete eisen.
MX records: email routering
MX records bepalen welke mailservers email voor je domein ontvangen. We hebben deze uitgebreid behandeld in ons artikel over DNS record types.
Definitie: Een MX record (Mail Exchange) specificeert de mailserver die verantwoordelijk is voor het ontvangen van email voor een domein. Het bevat een prioriteit en een servernaam.
Voorbeeld MX records:
voorbeeld.nl. 3600 IN MX 10 mail.voorbeeld.nl.
voorbeeld.nl. 3600 IN MX 20 backup.voorbeeld.nl.De prioriteit (10, 20) bepaalt de volgorde. Lagere waarde = hogere prioriteit.
MX records voor populaire diensten
| Dienst | MX record |
|---|---|
| Google Workspace | 1 aspmx.l.google.com |
| Microsoft 365 | 0 tenant-nl.mail.protection.outlook.com |
| TransIP Mail | 10 mail.transip.email |
SPF records: wie mag namens jou mailen?
SPF is de eerste verdedigingslinie tegen email spoofingKeurigOnline zegtEmail spoofingEmail spoofing is het vervalsen van de afzender van een email om te doen alsof deze van een ander domein komt.. Het specificeert welke mailservers gemachtigd zijn om email te versturen namens jouw domein.
Definitie: SPF (Sender Policy Framework) is een TXT record dat aangeeft welke IP-adressen en servers email mogen versturen namens een domein. Ontvangende servers controleren dit om spoofing te detecteren.
SPF record syntax
Basis SPF record:
v=spf1 ip4:185.199.108.0/24 include:_spf.google.com ~allDe onderdelen uitgelegd:
v=spf1— Versie indicator (verplicht)ip4:— Specifiek IPv4KeurigOnline zegtIPv4IPv4 is het 32-bit adresseringssysteem dat het grootste deel van het internet nog steeds aandrijft.-adres of range toestaanip6:— Specifiek IPv6KeurigOnline zegtIPv6IPv6 is de nieuwste versie van het internetprotocol dat IPv4 opvolgt met een enorme adresruimte van 128-bit.-adres toestaaninclude:— SPF record van ander domein includena— IP-adres(sen) van het A record toestaanmx— IP-adres(sen) van de MX servers toestaan
SPF qualifiers
Het laatste deel van een SPF record bepaalt wat er moet gebeuren met niet-gematchte bronnen:
| Qualifier | Betekenis | Aanbevolen? |
|---|---|---|
-all |
Hard fail — weiger niet-gematchte bronnen | Ja, na testen |
~all |
Soft fail — markeer als verdacht | Ja, tijdens testen |
?all |
Neutral — geen actie | Nee |
+all |
Pass — alles toestaan | Nooit! |
SPF voor populaire diensten
Google Workspace:
v=spf1 include:_spf.google.com ~allMicrosoft 365:
v=spf1 include:spf.protection.outlook.com ~allCombinatie (meerdere diensten):
v=spf1 include:_spf.google.com include:sendgrid.net include:mailchimp.com ~allLet op: SPF lookup limiet
SPF staat maximaal 10 DNS lookups toe[1]. Elke include:, a, mx, ptr en redirect telt mee. Bij meer dan 10 lookups faalt de SPF check automatisch.KeurigOnline zegtRedirectEen redirect stuurt bezoekers automatisch door naar een andere webpagina.
Oplossing: Gebruik ip4: en ip6: waar mogelijk, of gebruik een SPF flatteningKeurigOnline zegtSPF flatteningSPF flattening vervangt include-statements door directe IP-adressen om onder de 10 DNS lookup limiet te blijven. service.
SPF record instellen
- Inventariseer alle diensten die namens je domein mailen
- Verzamel de SPF includes van elke dienst
- Maak een TXT record aan op
@(root domein) - Begin met
~allen test grondig - Schakel over naar
-allzodra alles werkt
DKIM records: digitale handtekening voor email
DKIM voegt een cryptografische handtekening toe aan elke uitgaande email. Ontvangende servers kunnen deze handtekening verifiëren om te bewijzen dat de email niet is aangepast onderweg.
Definitie: DKIM (DomainKeys Identified Mail) is een authenticatiemethode die een digitale handtekening toevoegt aan email headers. De publieke sleutel wordt als TXT record in DNS gepubliceerd zodat ontvangers de handtekening kunnen verifiëren.
Hoe werkt DKIM?
- Je mailserver ondertekent uitgaande mail met een private key
- De handtekening wordt toegevoegd aan de email header
- De public key wordt gepubliceerd als DNS record
- Ontvangende servers verifiëren de handtekening met de public key
DKIM record structuur
DKIM records worden opgeslagen als TXT record met een specifieke naam:
selector._domainkey.voorbeeld.nl. 3600 IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3..."De onderdelen:
selector— Unieke naam gekozen door de maildienst (bijv.google,s1)_domainkey— Vaste subdomain indicatorv=DKIM1— DKIM versiek=rsa— Algoritme (meestal RSA)p=— De public key (base64 encoded)
DKIM voor populaire diensten
Google Workspace:
google._domainkey.voorbeeld.nl TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhki..."Microsoft 365:
selector1._domainkey.voorbeeld.nl CNAME selector1-voorbeeld-nl._domainkey.tenantname.onmicrosoft.comselector2._domainkey.voorbeeld.nl CNAME selector2-voorbeeld-nl._domainkey.tenantname.onmicrosoft.comMailchimp:
k1._domainkey.voorbeeld.nl CNAME dkim.mcsv.netMeerdere DKIM records
Je kunt meerdere DKIM records hebben voor verschillende diensten. Elke dienst gebruikt zijn eigen selector:
google._domainkey— Google Workspaceselector1._domainkey— Microsoft 365k1._domainkey— Mailchimpsendgrid._domainkey— SendGrid
Tip: DKIM instellen
- Ga naar de admin console van je maildienst
- Zoek naar "DKIM" of "Email authenticatie"
- Genereer de DKIM keys
- Kopieer het DNS record dat de dienst geeft
- Voeg het record toe aan je DNS
- Activeer DKIM signing in de dienst
DMARC records: beleid en rapportage
DMARC combineert SPF en DKIM en voegt er beleid aan toe. Het vertelt ontvangende servers wat ze moeten doen als authenticatie faalt én stuurt je rapportages over mislukte authenticaties.
Definitie: DMARC (Domain-based Message Authentication, Reporting & Conformance) is een beleid dat specificeert hoe ontvangende servers moeten omgaan met emails die niet door SPF of DKIM komen. Het biedt ook rapportage over authenticatiepogingen.
DMARC alignment
DMARC vereist niet alleen dat SPF of DKIM slaagt, maar ook dat het aligned is. Dit betekent dat het domein in de "From" header overeenkomt met het domein dat door SPF of DKIM is geauthenticeerd.
DMARC record structuur
Voorbeeld DMARC record:
_dmarc.voorbeeld.nl. 3600 IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@voorbeeld.nl; ruf=mailto:forensics@voorbeeld.nl; pct=100"De onderdelen:
v=DMARC1— DMARC versie (verplicht)p=— Beleid voor gefaalde authenticatie (verplicht)rua=— Email adres voor aggregate rapportenruf=— Email adres voor forensic rapportenpct=— Percentage van emails waarop beleid wordt toegepastsp=— Beleid voor subdomeinen
DMARC beleid opties
| Beleid | Actie | Wanneer gebruiken? |
|---|---|---|
p=none |
Alleen monitoren, geen actie | Start: data verzamelen |
p=quarantine |
Naar spam verplaatsen | Tussenstap na analyse |
p=reject |
Email weigeren | Einddoel: maximale bescherming |
Geleidelijke DMARC implementatie
Tip: Aanbevolen DMARC roadmap
- Week 1-4:
p=none— Verzamel data, analyseer rapporten - Week 5-8:
p=quarantine; pct=25— Test met 25% - Week 9-12:
p=quarantine; pct=100— Volledig quarantine - Week 13+:
p=reject— Maximale bescherming
DMARC rapporten lezen
DMARC stuurt dagelijks aggregate rapporten in XMLKeurigOnline zegtXMLXML is een opmaaktaal die gebruikt wordt om gestructureerde data uit te wisselen tussen systemen.-formaat. Handmatig lezen is lastig. Gebruik een DMARC analyzer:
- Dmarcian — Gratis tier beschikbaar
- Valimail — Enterprise oplossing
- Postmark DMARC — Gratis weekly digest
BIMI records: je logo in de inbox
BIMI is de nieuwste toevoeging aan email authenticatieKeurigOnline zegtEmail authenticatieEmail authenticatie is een verzameling DNS-protocollen (SPF, DKIM, DMARC) die bewijzen dat een email daadwerkelijk van het geclaimde domein komt.. Het toont je merklogo naast geauthenticeerde emails in de inbox van de ontvanger.
Definitie: BIMI (Brand Indicators for Message Identification) is een DNS record dat een URL naar je merklogo specificeert. Email clients die BIMI ondersteunen tonen dit logo naast emails die DMARC-authenticatie doorstaan.
BIMI vereisten
BIMI werkt alleen als aan alle voorwaarden is voldaan:
- DMARC met
p=quarantineofp=reject - Logo in SVG Tiny PS formaat
- VMC (Verified Mark Certificate) — Vereist door Gmail
- Geregistreerd handelsmerk — Voor VMC
BIMI record structuur
Voorbeeld BIMI recordKeurigOnline zegtBIMI recordBIMI (Brand Indicators for Message Identification) toont je merklogo naast geauthenticeerde emails in de inbox.:
default._bimi.voorbeeld.nl. 3600 IN TXT "v=BIMI1; l=https://voorbeeld.nl/logo.svg; a=https://voorbeeld.nl/vmc.pem"De onderdelen:
v=BIMI1— BIMI versiel=— URL naar je logo (SVG Tiny PS formaat)a=— URL naar je VMC certificaatKeurigOnline zegtVMC certificaatEen VMC (Verified Mark Certificate) bewijst eigenaarschap van een handelsmerk en is vereist voor BIMI in Gmail. (optioneel maar aanbevolen)
SVG Tiny PS specificaties
BIMI accepteert niet zomaar elke SVG. Je logo moet voldoen aan:
- Formaat: SVG Tiny Portable/Secure (SVG Tiny 1.2)
- Vierkant: 1:1 aspect ratio
- Geen scripts, animaties of links
- Maximaal 32KB
Gebruik de BIMI Generator om je logo te converteren.
VMC (Verified Mark Certificate)
Gmail vereist een VMC om BIMI logos te tonen. Een VMC bewijst dat je rechtmatig eigenaar bent van het handelsmerk.
VMC providers:
Kosten: €1.000-1.500 per jaar. Geschikt voor grotere organisaties met een geregistreerd handelsmerk.
BIMI ondersteuning
| Email client | BIMI support | VMC vereist? |
|---|---|---|
| Gmail | ✅ Ja | Ja |
| Yahoo Mail | ✅ Ja | Nee |
| Apple Mail | ✅ Ja (iOS 16+) | Ja |
| Outlook | ❌ Nee (nog niet) | - |
MTA-STS: TLS versleuteling afdwingen
MTA-STS dwingt versleutelde verbindingen af voor email transport. Het voorkomt dat aanvallers email onderscheppen door TLS te downgraden.
Definitie: MTA-STS (Mail Transfer Agent Strict Transport Security) is een standaard die verzendende mailservers dwingt om TLS 1.2+ te gebruiken bij het afleveren van email. Het voorkomt downgrade-aanvallen en man-in-the-middle interceptie.
Waarom MTA-STS?
SMTP gebruikt standaard STARTTLS voor optionele versleuteling. Maar dit is kwetsbaar:
- Een aanvaller kan het
STARTTLScommando strippen - De verbinding valt dan terug naar onversleuteld
- Email kan worden afgeluisterd of aangepast
MTA-STS lost dit op door te eisen dat verzendende servers:
- Altijd TLS gebruiken (geen fallback naar plaintext)
- Certificaten valideren tegen het beleid
- Verbindingen weigeren als TLSKeurigOnline zegtTLSTLS is het standaardprotocol voor versleutelde, betrouwbare communicatie tussen client en server. niet mogelijk is
MTA-STS instellen
MTA-STS vereist twee componenten:
1. DNS record
_mta-sts.voorbeeld.nl. 3600 IN TXT "v=STSv1; id=20241209120000"De id is een unieke identifier die je wijzigt bij elke beleidsupdate.
2. Policy file (HTTPS)
Plaats een tekstbestand op:
https://mta-stsKeurigOnline zegtMTA-STSMTA-STS dwingt TLS-versleuteling af voor email transport en voorkomt downgrade-aanvallen op SMTP-verbindingen..voorbeeld.nl/.well-known/mta-sts.txt
version: STSv1
mode: enforce
mx: mail.voorbeeld.nl
mx: backup.voorbeeld.nl
max_age: 604800De onderdelen:
mode: testing— Alleen rapporteren, niet afdwingenmode: enforce— TLS afdwingenmx:— Lijst van geldige MX hostnamesmax_age:— CacheKeurigOnline zegtCacheEen cache is een tijdelijke opslaglaag die veelgebruikte gegevens bewaart voor snellere toegang en betere prestaties. tijd in seconden (604800 = 1 week)
TLS-RPT: rapportage
Voeg een TLS-RPTKeurigOnline zegtTLS-RPTTLS-RPT is een DNS record voor het ontvangen van rapporten over TLS-fouten bij email transport. record toe om rapporten te ontvangen over TLS-fouten:
_smtp._tls.voorbeeld.nl. 3600 IN TXT "v=TLSRPTv1; rua=mailto:tls-reports@voorbeeld.nl"DANE: geavanceerde certificaatvalidatie
DANE is een alternatief voor MTA-STS dat certificaatvalidatie via DNSSEC regelt. Het is veiliger maar complexer om in te stellen.
Definitie: DANE (DNSKeurigOnline zegtDNSHet Domain Name System (DNS) vertaalt domeinnamen naar IP-adressen, zodat websites makkelijk bereikbaar zijn.-based Authentication of Named Entities) gebruikt TLSA records om TLS-certificaten te authenticeren via DNS in plaats van Certificate Authorities. Dit vereist DNSSEC voor de integriteit van DNS-antwoorden.
DANE vs MTA-STS
| Aspect | MTA-STS | DANE |
|---|---|---|
| Vereist DNSSEC | Nee | Ja |
| Vereist CA certificaat | Ja | Nee (self-signed mogelijk) |
| Complexiteit | Medium | Hoog |
| Veiligheid | Goed | Uitstekend |
TLSA record structuur
DANE gebruikt TLSA records om certificaatinformatie te publiceren:
_25._tcp.mail.voorbeeld.nl. 3600 IN TLSA 3 1 1 abc123def456...De vier velden:
- Certificate Usage (3) — Hoe het certificaat moet worden gevalideerd
- Selector (1) — Welk deel van het certificaat (0=full, 1=public key)
- Matching Type (1) — Hash algoritme (1=SHA-256, 2=SHA-512)
- Hash — De certificaat fingerprint
Wanneer DANE gebruiken?
DANE is vooral geschikt voor:
- Organisaties die al DNSSEC gebruiken (bijv. overheidsinstellingen)
- Hoge-beveiligingsomgevingen
- Wanneer onafhankelijkheid van CA's gewenst is
Let op: SIDN ondersteunt DNSSECKeurigOnline zegtDNSSECDNSSEC (DNS Security Extensions) beveiligt DNS-informatie door deze cryptografisch te ondertekenen. voor alle .nl domeinen. Activeer eerst DNSSEC voordat je DANE implementeert.
Email problemen oplossen
Problemen met email deliverabilityKeurigOnline zegtEmail deliverabilityEmail deliverability is de mate waarin je emails succesvol in de inbox terechtkomen in plaats van spam.? Hier is een systematische aanpak voor debugging.
Veelvoorkomende problemen
| Probleem | Mogelijke oorzaak | Oplossing |
|---|---|---|
| Email in spam | SPF/DKIM/DMARC faalt | Controleer DNS records |
| Email bounced | MX record ontbreekt | Voeg MX records toe |
| SPF permerror | Te veel DNS lookups | Flatten SPF record |
| DKIM fail | Verkeerde selector | Check selector naam |
| DMARC fail | Alignment probleem | Check From header domain |
Testing tools
Handige email diagnostiek tools
- MXToolbox — Complete DNS en email diagnostiek
- Mail-tester.com — Spam score tester
- DMARC Inspector — DMARC record validator
- DKIM Validator — DKIM key checker
- Learn DMARC — Interactieve DMARC uitleg
Email headers analyseren
Open de volledige headers van een ontvangen email en zoek naar:
Authentication-Results: mx.google.com;
dkim=pass header.i=@voorbeeld.nl header.s=google;
spf=pass (google.com: domain of info@voorbeeld.nl) smtp.mailfrom=info@voorbeeld.nl;
dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=voorbeeld.nlCheck of alle drie (SPF, DKIMKeurigOnline zegtDKIMDKIM beveiligt e-mails met een digitale handtekening om spam tegen te gaan., DMARC) op pass staan.
Geavanceerde troubleshooting
DMARC alignment failures
SPF en DKIM passen, maar DMARCKeurigOnline zegtDMARCDMARC is een e-mailbeveiligingsprotocol dat domeinen beschermt tegen phishing en spoofing via SPF en DKIM. faalt? Dit is een alignment probleem. DMARC vereist dat het domein in SPF of DKIM overeenkomt met het "From" domein dat de gebruiker ziet.
SPF/DKIM pass maar DMARC faalt?
Bijvoorbeeld: als je SPF check slaagt voor mail.jouwdomein.nl maar de From header jouwdomein.nl gebruikt, dan faalt DMARC alignment tenzij je relaxed mode (aspf=r) gebruikt.
Er zijn twee alignment modes:
- Strict (
adkim=s/aspf=s) — Domeinen moeten exact matchen.mail.jouwdomein.nl≠jouwdomein.nl - Relaxed (
adkim=r/aspf=r) — Organizational domain moet matchen.mail.jouwdomein.nl=jouwdomein.nl
De meeste organisaties gebruiken relaxed mode omdat dit flexibeler is met subdomeinen en externe diensten.
Mailing lists en forwarding breken DKIM (ARC)
Een veelvoorkomend probleem: je DKIM is correct geconfigureerd, maar e-mails via mailing lists of forwarding services falen toch. Dit komt doordat deze diensten de e-mail wijzigen (bijvoorbeeld een footer toevoegen), waardoor de DKIM-handtekening ongeldig wordt.
Definitie: ARC (Authenticated Received Chain) is een RFC 8617 standaard die de originele authenticatieresultaten bewaart wanneer een e-mail wordt doorgestuurd of verwerkt door tussenliggende servers. Dit voorkomt DMARC-failures bij legitieme mailing lists.
Hoe ARC werkt:
- De originele e-mail passeert SPF, DKIM en DMARC bij de eerste hop
- Een mailing list wijzigt de e-mail (footer, subject prefix)
- De mailing list voegt ARC-headers toe die de originele authenticatiestatus vastleggen
- De ontvangende mailserver ziet dat DKIM faalt, maar vertrouwt de ARC-chain van de bekende mailing list
Wat kun je doen?
- Voor ontvangers: Gmail, Microsoft 365 en Yahoo ondersteunen ARC automatisch — geen actie nodig
- Voor mailing list beheerders: Configureer ARC-signing in je mailing list software (Mailman 3+, Sympa)
- Voor verzenders: Overweeg
p=quarantinein plaats vanp=rejectals veel ontvangers mailing lists gebruiken
Tip: Check je DMARC aggregate rapporten op "arc=pass" resultaten. Dit toont aan dat ARC correct werkt voor doorgestuurde e-mails van bekende mailing lists.
Third-party diensten correct configureren
Veel email authenticatie problemen ontstaan door third-party diensten die namens je domein mailen. Zorg dat je voor elke dienst de juiste SPF include en DKIM records toevoegt:
| Dienst | SPF include | DKIM |
|---|---|---|
| Mailchimp | include:servers.mcsv.net |
CNAME records (k1, k2) |
| SendGrid | include:sendgrid.net |
CNAME records (s1, s2) |
| HubSpot | include:spf.protection.outlook.com |
Provider-specifiek |
| Zendesk | include:mail.zendesk.com |
TXT record |
| Freshdesk | include:email.freshdesk.com |
CNAME record |
| ActiveCampaign | include:emsd1.com |
CNAME records |
Raadpleeg altijd de officiële documentatie van de dienst voor de meest actuele configuratie. Gebruik onze SPF generator vergelijking om je record samen te stellen zonder de 10 lookup limiet te overschrijden.
Domein- en IP-reputatie checken
Als je email nog steeds in de spamfolder belandt ondanks correcte authenticatie, ligt het probleem vaak bij je domein- of IP-reputatie:
- Check domain reputation — Gebruik Google Postmaster Tools voor inzicht in hoe Gmail je domein beoordeelt
- Check IP reputation — Gebruik MXToolbox Blacklist Check om te zien of je IP op blacklists staat
- Analyseer content — Mail-Tester scoort ook je content op spam-indicatoren
- Controleer engagement — Lage open rates en hoge bounce rates schaden je reputatie
- Warm-up nieuwe domeinen — Nieuwe domeinen moeten geleidelijk volume opbouwen
Bekijk onze email deliverability testers vergelijking voor meer diagnostiek tools.
Complete email authenticatie checklist
Gebruik deze interactieve checklist om je email DNS configuratie te controleren. Vink elk item aan dat correct is ingesteld. De score wordt automatisch berekend.
Basis routing
Authenticatie (SPF & DKIM)
Beleid (DMARC)
Geavanceerd (optioneel)
Testing & validatie
Email Authenticatie Score
0
/ 9
Vink items aan om je email authenticatie score te berekenen
Begin hier (hoogste prioriteit)
- Voeg SPF record toe met je mailserver IPs
- Configureer DKIM voor je primaire maildienst
- Start met
p=noneDMARC voor monitoring
Veelgestelde vragen over email DNS records
Wat is het verschil tussen SPF, DKIM en DMARC?
SPF controleert of de verzendende server gemachtigd is om te mailen namens je domein. DKIM voegt een cryptografische handtekening toe die bewijst dat de email niet is aangepast. DMARC combineert beide en voegt beleid toe dat specificeert wat er moet gebeuren als authenticatie faalt.
Moet ik alle drie (SPF, DKIM, DMARC) instellen?
Ja, alle drie zijn aanbevolen voor optimale email deliverabilityKeurigOnline zegtEmail deliverabilityEmail deliverability is de mate waarin je emails succesvol in de inbox terechtkomen in plaats van spam. en bescherming tegen spoofing. Begin met SPF, voeg DKIM toe, en implementeer daarna DMARC. Gmail en Microsoft vereisen tegenwoordig minimaal SPF of DKIM.
Hoe lang duurt het voordat email authenticatie werkt?
DNS wijzigingen propageren meestal binnen 1-24 uur. Begin met p=none in je DMARC record en wacht minimaal een week om data te verzamelen voordat je naar quarantine of reject gaat.
Waarom komen mijn emails in spam?
Controleer met MXToolbox of je SPF, DKIM en DMARC correct zijn ingesteld. Andere oorzaken kunnen zijn: slechte reputatie van je IP-adres, spammy content, ontbrekende PTR record, of plaatsing op blacklists.
Wat kost BIMI implementatie?
Het BIMI DNS record zelf is gratis. Echter, Gmail vereist een VMC (Verified Mark Certificate) dat €1.000-1.500 per jaar kost. Dit vereist ook een geregistreerd handelsmerk. Voor kleinere organisaties zonder geregistreerd handelsmerk is BIMI momenteel niet praktisch.
Moet ik MTA-STS of DANE gebruiken?
MTA-STS is eenvoudiger te implementeren en werkt zonder DNSSECKeurigOnline zegtDNSSECDNSSEC (DNS Security Extensions) beveiligt DNS-informatie door deze cryptografisch te ondertekenen.. DANE biedt sterkere beveiliging maar vereist DNSSEC. Voor de meeste organisaties is MTA-STS de praktische keuze. Gebruik DANE als je al DNSSEC hebt of werkt in een hoge-beveiligingsomgeving.
Kan ik meerdere SPF records hebben?
Nee, je mag slechts één SPF record per domein hebben. Als je meerdere diensten gebruikt, combineer ze in één SPF record met meerdere include: statements.
In welke volgorde moet ik SPF, DKIM en DMARC instellen?
De juiste volgorde is: SPF → DKIM → DMARC → BIMI
- SPF — definieer welke servers mogen mailen
- DKIM — configureer cryptografische ondertekening
- DMARC — pas toe als SPF/DKIM werken (begin met
p=none) - BIMI — optioneel, vereist strikt DMARC beleid
Waarom deze volgorde? DMARC vereist werkende SPF of DKIM. Door eerst de authenticatie correct in te stellen voorkom je dat legitieme e-mail wordt geblokkeerd.
Moet ik email authenticatie ook instellen voor subdomeinen?
Ja, subdomeinen hebben aparte configuratie nodig:
- SPF — wordt niet automatisch geërfd;
marketing.jouwdomein.nlheeft een eigen SPF record nodig als daar vanaf gemaild wordt - DKIM — vereist aparte selectors per subdomeinKeurigOnline zegtSubdomeinEen subdomein is een extra voorvoegsel voor je domeinnaam, zoals blog.voorbeeld.nl of shop.voorbeeld.nl.
- DMARC — gebruik de
sp=parameter om beleid voor subdomeinen in te stellen
Risico: Zonder configuratie kunnen subdomeinen misbruikt worden voor spoofing, zelfs als je hoofddomein volledig beschermd is.
Is BIMI de moeite waard zonder VMC certificaat?
Ja, BIMI zonder VMC certificaatKeurigOnline zegtVMC certificaatEen VMC (Verified Mark Certificate) bewijst eigenaarschap van een handelsmerk en is vereist voor BIMI in Gmail. heeft nog steeds waarde voor merkherkenning.
Ondersteuning zonder VMC:
- Yahoo Mail — toont je logo
- Apple Mail (iOS 16+) — toont je logo
Gmail vereist VMC: Alleen met een Verified Mark Certificate (€1.000-1.500/jaar) krijg je het blauwe verified checkmark in Gmail.
Advies: Begin zonder VMC voor merkherkenning bij Yahoo/Apple gebruikers. Upgrade naar VMC later wanneer het budget het toelaat en je een geregistreerd handelsmerk hebt.
Samenvatting: email authenticatie stappenplan
Email authenticatie beschermt je domein tegen spoofing en verbetert deliverability. Hier is het complete stappenplan:
Implementatie volgorde
- MX records — Controleer of deze correct zijn
- SPF record — Specificeer toegestane verzenders
- DKIM — Activeer voor elke maildienst
- DMARC — Begin met
p=none, gradueel verhogen - (Optioneel) BIMI — Voor merkherkenning in inbox
- (Optioneel) MTA-STSKeurigOnline zegtMTA-STSMTA-STS dwingt TLS-versleuteling af voor email transport en voorkomt downgrade-aanvallen op SMTP-verbindingen. — Voor TLSKeurigOnline zegtTLSTLS is het standaardprotocol voor versleutelde, betrouwbare communicatie tussen client en server. enforcement
Volgende stappen
- Test je huidige setup met MXToolbox
- Implementeer ontbrekende records
- Monitor DMARCKeurigOnline zegtDMARCDMARC is een e-mailbeveiligingsprotocol dat domeinen beschermt tegen phishing en spoofing via SPF en DKIM. rapporten
- Versterk beleid naar
p=reject
Wil je meer weten over DNS? Lees dan onze artikelen over DNS record types en hoe DNS werkt.
Bronnen en referenties
Dit artikel is gebaseerd op officiële documentatie en technische standaarden:
- RFC 7208 — Sender Policy Framework (SPF) : Officiële SPF standaard
- RFC 6376 — DomainKeys Identified Mail (DKIM) : DKIMKeurigOnline zegtDKIMDKIM beveiligt e-mails met een digitale handtekening om spam tegen te gaan. signing standaard
- RFC 7489 — DMARC : Domain-based Message Authentication
- RFC 8461 — MTA Strict Transport Security (MTA-STS)
- RFC 6698 — DANE Protocol : DNSKeurigOnline zegtDNSHet Domain Name System (DNS) vertaalt domeinnamen naar IP-adressen, zodat websites makkelijk bereikbaar zijn.-Based Authentication of Named Entities
- BIMI Group — Brand Indicators for Message Identification
- Google Workspace Admin Help — Email authentication
- Microsoft 365 Documentation — Email authentication in EOP
- RFC 8617 — Authenticated Received Chain (ARC) : Officiële ARC specificatie voor mailing list forwarding
- Google (2024) — Gmail sender guidelines : Officiële vereisten voor Gmail verzenders
- Yahoo (2024) — Yahoo sender best practices : Officiële Yahoo richtlijnen voor bulk verzenders
- NCSC (2023) — Bescherm domeinnamen tegen phishing : Nederlandse overheidsrichtlijn
Let op: Email authenticatieKeurigOnline zegtEmail authenticatieEmail authenticatie is een verzameling DNS-protocollen (SPF, DKIM, DMARC) die bewijzen dat een email daadwerkelijk van het geclaimde domein komt. configuratie kan per provider verschillen. Raadpleeg de documentatie van je specifieke provider voor exacte instructies. Gegevens gecontroleerd op 9 december 2025.
