SPF, DKIM en DMARC Uitgelegd: E-mail Authenticatie voor Beginners

Je hebt misschien wel eens gehoord van SPF, DKIM of DMARC, maar wat betekenen deze afkortingen eigenlijk? En waarom zijn ze belangrijk voor je e-mail? In dit artikel leggen we alles uit in begrijpelijke taal.

Waarom E-mail Authenticatie Belangrijk Is

E-mail werd in de jaren '70 ontworpen zonder beveiliging. Iedereen kan technisch gezien een e-mail versturen die lijkt te komen van jouw domein. Dit heet e-mail spoofing en wordt misbruikt voor:

• Phishing aanvallen
• Spam versturen
• Identiteitsfraude
• Merkreputatie schaden

SPF, DKIM en DMARC zijn drie technologieën die dit probleem aanpakken.

Wat is SPF?

SPF staat voor Sender Policy Framework. Het is als een gastenlijst voor je e-mail.

Hoe SPF Werkt

1. Je publiceert een SPF-record in je DNS
2. Dit record zegt: "Alleen deze servers mogen e-mail namens mij versturen"
3. Ontvangende servers controleren of de verzendende server op de lijst staat
4. Zo niet, dan wordt de e-mail als verdacht gemarkeerd

Voorbeeld SPF Record

v=spf1 include:_spf.google.com include:mail.jouwhosting.nl -all

Dit betekent:

• v=spf1 - Dit is een SPF versie 1 record
• include:_spf.google.com - Google mag namens je versturen
• include:mail.jouwhosting.nl - Je hosting mag namens je versturen
• -all - Alle andere servers worden afgewezen

SPF Resultaten

• Pass: Server staat op de lijst ✓
• Fail: Server staat niet op de lijst ✗
• Softfail: Server staat waarschijnlijk niet op de lijst (~)
• Neutral: Geen uitspraak (?)

Wat is DKIM?

DKIM staat voor DomainKeys Identified Mail. Het is als een digitale handtekening voor je e-mails.

Hoe DKIM Werkt

1. Je mailserver voegt een digitale handtekening toe aan elke e-mail
2. De publieke sleutel wordt in je DNS gepubliceerd
3. Ontvangende servers verifiëren de handtekening met de publieke sleutel
4. Als de handtekening klopt, is de e-mail niet aangepast onderweg

Voorbeeld DKIM Record

selector._domainkey.jouwdomein.nl TXT "v=DKIM1; k=rsa; p=MIGfMA0GCS..."

De onderdelen:

• selector - Identificeert welke sleutel gebruikt wordt
• _domainkey - Standaard prefix
• v=DKIM1 - DKIM versie
• k=rsa - Type encryptie
• p=... - De publieke sleutel

Wat DKIM Beschermt

• Integriteit: E-mail is niet aangepast tijdens transport
• Authenticatie: E-mail komt echt van het geclaimde domein
• Reputatie: Bouwt vertrouwen op bij ontvangende servers

Wat is DMARC?

DMARC staat voor Domain-based Message Authentication, Reporting and Conformance. Het brengt SPF en DKIM samen en voegt rapportage toe.

Hoe DMARC Werkt

1. Je publiceert een DMARC-policy in je DNS
2. Deze policy zegt wat er moet gebeuren als SPF en/of DKIM faalt
3. Ontvangende servers volgen jouw instructies
4. Je ontvangt rapporten over wie e-mail namens jouw domein verstuurt

Voorbeeld DMARC Record

_dmarc.jouwdomein.nl TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@jouwdomein.nl"

De onderdelen:

• v=DMARC1 - DMARC versie
• p=quarantine - Beleid (none/quarantine/reject)
• rua=mailto:... - Waar rapporten naartoe moeten

DMARC Policies

• none: Alleen monitoren, niets doen (startfase)
• quarantine: Verdachte mail naar spam verplaatsen
• reject: Verdachte mail volledig weigeren

Hoe de Drie Samenwerken

E-mail verstuurd
       ↓
[SPF Check] → Komt van geautoriseerde server?
       ↓
[DKIM Check] → Is de handtekening geldig?
       ↓
[DMARC Check] → Wat zegt het domeinbeleid?
       ↓
Beslissing: Afleverenen / Spam / Weigeren

Stap-voor-Stap Instellen

Stap 1: SPF Record Toevoegen

1. Log in bij je DNS-beheer (hostingpanel of domeinregistrar)
2. Maak een nieuw TXT-record aan
3. Naam: @ of leeg (voor hoofddomein)
4. Waarde: v=spf1 include:[je-hosting-spf] ~all
5. Sla op en wacht op propagatie (tot 48 uur)

Stap 2: DKIM Activeren

1. DKIM moet door je mailserver geconfigureerd worden
2. Bij managed hosting: vaak automatisch geregeld
3. Check je hostingpanel voor DKIM-instellingen
4. Kopieer het DKIM-record naar je DNS

Stap 3: DMARC Record Toevoegen

1. Begin met monitoring: v=DMARC1; p=none; rua=mailto:dmarc@jouwdomein.nl
2. Analyseer de rapporten gedurende 2-4 weken
3. Verscherp naar quarantine als alles goed gaat
4. Uiteindelijk: reject voor maximale bescherming

Veelgemaakte Fouten

Fout 1: Te Streng Beginnen

Begin niet direct met p=reject. Start met p=none om te monitoren.

Fout 2: Legitieme Servers Vergeten

Vergeet niet alle diensten die namens jou mailen:

• Nieuwsbrief software (Mailchimp, etc.)
• CRM systemen
• Webformulieren
• Factuur software

Fout 3: Records Niet Testen

Test je records altijd na configuratie met online tools.

Fout 4: DKIM Selector Vergeten

DKIM heeft een selector nodig. Zorg dat deze overeenkomt tussen server en DNS.

Testen en Valideren

Online Test Tools

• MXToolbox: mxtoolbox.com/spf.aspx
• DKIM Validator: dkimvalidator.com
• DMARC Analyzer: dmarcanalyzer.com

E-mail Test

Stuur een test e-mail naar een Gmail-adres en bekijk de headers:

1. Open de e-mail in Gmail
2. Klik op de drie puntjes → "Origineel weergeven"
3. Check de SPF, DKIM en DMARC resultaten

Voordelen van Correcte Setup

Betere Deliverability

E-mails komen vaker in de inbox en niet in spam.

Merkbescherming

Niemand kan zich voordoen als jouw organisatie.

Inzicht in Mailflow

DMARC-rapporten tonen wie namens jouw domein mailt.

Voldoen aan Best Practices

Veel grote providers (Google, Microsoft) eisen tegenwoordig SPF/DKIM.

Meer informatie: WordPress.org documentatie

Gerelateerd: Zakelijke e-mail hosting vergelijken: de beste opties

Veelgestelde vragen

Hoe lang duurt het om dit te implementeren?

De implementatietijd varieert per situatie. Voor eenvoudige configuraties is dit binnen een uur geregeld, complexere setups kunnen enkele uren tot een dag duren.

Wat zijn de kosten?

De kosten zijn afhankelijk van je hosting provider en pakket. Veel basisfuncties zijn gratis inbegrepen, voor geavanceerde functies kunnen extra kosten gelden.

Heb ik technische kennis nodig?

Voor de basis heb je weinig technische kennis nodig. De meeste hosting providers bieden uitgebreide documentatie en support om je te helpen.