SPF, DKIM, DMARC: wat ze zijn en waarom ze belangrijk zijn

SPF, DKIM en DMARC zijn drie e-mailverificatieprotocollen die samenwerken om te controleren of uw e-mails legitiem zijn, uw merk te beschermen tegen identiteitsfraude en te bepalen wat er gebeurt als een bericht de verificatie niet doorstaat.

Dit is vandaag de dag belangrijker dan ooit. Google, Yahoo, Apple en nu ook Microsoft vereisen allemaal SPF, DKIM en DMARC voor verzenders van grote volumes. Sinds 5 mei 2025 wijst Microsoft e-mails geweigerd afkomstig van domeinen die meer dan 5000 berichten per dag naar Outlook verzenden. E-mailverificatie is niet langer optioneel.

Deze gids legt uit hoe SPF, DKIM en DMARC werken, waarom u alle drie nodig hebt en hoe u ze correct implementeert.

Wat zijn SPF, DKIM en DMARC?

SPF (Sender Policy Framework)

SPF (Sender Policy Framework) is een e-mailvalidatieprotocol waarmee domeineigenaren een lijst kunnen opstellen van geautoriseerde e-mailservers die namens hun domein e-mails mogen versturen.

Zie het als een gastenlijst voor uw domein. Als een server niet op de lijst staat, weet de ontvangende mailserver dat er iets niet klopt. Het helpt bij het beperken van e-mailspoofing en zorgt ervoor dat alleen geautoriseerde servers e-mails kunnen verzenden met een specifiek domein.

SPF alleen heeft echter beperkingen. Het controleert de inhoud van de e-mail niet en vertelt de ontvangende server niet wat hij moet doen als een controle mislukt.

Dat is waar DKIM en DMARC om de hoek komen kijken.

Aanbevolen lectuur: DMARC vs. DKIM | Wat is beter voor u en waarom?

DKIM

DKIM (DomainKeys Identified Mail) is een methode voor e-mailverificatie waarbij een digitale handtekening wordt toegevoegd aan uitgaande e-mails om de authenticiteit en integriteit van het bericht te waarborgen.

Terwijl SPF bevestigt wie er mag verzenden, bevestigt DKIM dat het bericht niet is gewijzigd nadat het de server van de afzender heeft verlaten.

DKIM biedt een essentiële vertrouwenslaag, voorkomt e-mailspoofing en garandeert de integriteit van berichten. Maar net als SPF vertellen DKIM-records alleen de ontvangende server niet welke actie moet worden ondernomen wanneer de verificatie mislukt. Daarvoor hebt u DMARC nodig.

DMARC

DMARC (Domain-based Message Authentication, Reporting, and Conformance) stelt domeineigenaren in staat om e-mailontvangers instructies te geven over hoe ze moeten omgaan met niet-geverifieerde e-mails die vanaf hun domein worden verzonden.

Het combineert de mogelijkheden van zowel SPF als DKIM en voegt twee cruciale functies toe die geen van beide protocollen afzonderlijk biedt: beleidsafdwinging en rapportage.

Het is het enige protocol dat inboxen vertelt wat ze moeten doen met mislukte e-mailberichten en u inzicht geeft via rapporten.

SPF versus DKIM versus DMARC: belangrijkste verschillen

Alle drie protocollen spelen een rol bij e-mailverificatie, maar elk protocol behandelt een ander onderdeel van de puzzel. Hier volgt een vergelijking tussen de protocollen.

Bekijk deze video voor meer informatie:

SPF, DKIM en DMARC protocollen uitgelegd

Hoe SPF, DKIM en DMARC samenwerken

SPF, DKIM en DMARC hebben elk een ander doel en u hebt ze alle drie nodig om uw domein volledig te beschermen tegen spoofing, phishing en identiteitsfraude. Hieronder wordt uitgelegd hoe de authenticatieprocedure werkt wanneer een e-mail in iemands inbox terechtkomt:

1. SPF-controle: De ontvangende server bekijkt het verzendende IP-adres en vergelijkt dit met de geautoriseerde afzenders die in het SPF-record van het domein staan vermeld. Als het IP-adres op de lijst staat, is de SPF-controle geslaagd.
2. DKIM-controle: De ontvangende server controleert de DKIM-Signature-header in de e-mail en haalt de openbare sleutel op uit de DNS van de afzender. Als de handtekening geldig is en het bericht niet is gewijzigd, wordt DKIM goedgekeurd.
3. DMARC-evaluatie: DMARC controleert vervolgens of ten minste één van deze protocollen (SPF of DKIM) is geslaagd en of het domein dat bij die controle is gebruikt, overeenkomt met het domein in het Van-adres. Als de overeenstemming wordt goedgekeurd, wordt de e-mail normaal afgeleverd. Als dit niet het geval is, past DMARC het door de domeineigenaar ingestelde beleid toe (geen, quarantaine of weigeren).
4. Rapportage: Ongeacht de uitkomst stuurt DMARC rapporten terug naar de domeineigenaar met details over authenticatieresultaten, verzendbronnen en eventuele pogingen tot spoofing.

Zonder DMARC zou een vervalste e-mail SPF kunnen passeren (als de aanvaller een ander Return-Path-domein gebruikt) of DKIM omzeilen (als het bericht niet is ondertekend). DMARC dicht deze hiaten door afstemming tussen de authenticatieresultaten en het zichtbare Van-adres te vereisen.

Aanbevolen lectuur: Waarom faalt DMARC? Veelvoorkomende oorzaken en oplossingen

Hoe SPF, DKIM en DMARC instellen

Het instellen van alle drie de protocollen klinkt misschien technisch, maar het proces is eenvoudig als je eenmaal weet wat waar hoort. Om SPF, DKIM en DMARC te implementeren, heb je toegang nodig tot de instellingen van je domein-DNS-provider.

Stap 1: SPF instellen

Een SPF-record wordt gepubliceerd als een TXT-record in de DNS van uw domein. Uw SPF-record vertelt ontvangende servers welke IP-adressen en mailservers bevoegd zijn om e-mails namens uw domein te verzenden.

Om uw SPF-record aan te maken:

1. Identificeer alle servers en diensten die e-mails versturen voor uw domein (uw mailserver, marketingplatforms, CRM-tools, enz.).
2. Maak een TXT-record aan in uw DNS met de geautoriseerde verzendbronnen.
3. Publiceer het record en test het om te controleren of het de SPF-controles doorstaat.

Een SPF-record ziet er ongeveer zo uit:

v=spf1 include:_spf.google.com include:sendgrid.net -all

Dit voorbeeld geeft Google en SendGrid toestemming om e-mails voor het domein te versturen en vertelt ontvangers om alle andere bronnen te weigeren.

Stap 2: DKIM instellen

DKIM vereist dat een openbare sleutel wordt gepubliceerd in de DNS van de afzender om de digitale handtekening op uitgaande e-mails te verifiëren.

Om DKIM instellen:

1. Genereer een DKIM-sleutelpaar (openbare en privésleutel) via uw e-mailserviceprovider of mailserver.
2. Voeg de openbare sleutel toe als een TXT-record in de DNS van uw domein.
3. Configureer uw e-mailserver of provider om uitgaande berichten te ondertekenen met de privésleutel.
4. Test door een e-mail te versturen en de headers te controleren om te bevestigen dat de DKIM-handtekening aanwezig en geldig is.

Stap 3: DMARC instellen

De DMARC-records worden ook opgeslagen als TXT-records in de DNS van uw domein. Om DMARC in te stellen, moet u een beleid definiëren dat ontvangende servers vertelt hoe ze moeten omgaan met e-mails die niet voldoen aan de SPF- en DKIM-controles.

Om uw DMARC-record aanmaken:

1. Begin met een beleid van p=none om uw e-mailverkeer te monitoren zonder de leverbaarheid te beïnvloeden.
2. Voeg een rapportageadres toe zodat u geaggregeerde rapporten over authenticatieresultaten kunt ontvangen.
3. Publiceer het DMARC-record in uw DNS.
4. Controleer uw rapporten regelmatig en zodra u er zeker van bent dat uw legitieme e-mails worden doorgelaten, gaat u naar p=quarantaine en uiteindelijk p=reject.

Een standaard DMARC-record ziet er als volgt uit:

v=DMARC1; p=none; rua=mailto:[email protected];

Stap 4: Controleer uw instellingen

U kunt controleren of een e-mail de SPF-, DKIM- en DMARC-controles heeft doorstaan door naar de e-mailheaders te kijken. Stuur een test-e-mail en controleer de Authentication-Results-header om te bevestigen dat alle drie de protocollen zijn doorstaan.

De gratis tools van PowerDMARC maken dit nog eenvoudiger. U kunt de DMARC Generator, SPF Generatoren DKIM Generator om uw records met één klik aan te maken, en het rapportagedashboard van het platform geeft u volledig inzicht in uw authenticatiestatus.

Wat gebeurt er als u SPF, DKIM en DMARC niet implementeert?

Het overslaan van e-mailverificatie lijkt misschien onschuldig, totdat de gevolgen zich opstapelen. Dit is wat er op het spel staat als u uw domein onbeschermd laat.

Beschadigde reputatie van afzender

Het niet implementeren van e-mailverificatie kan leiden tot een beschadigde merkreputatie vanwege een verhoogde kwetsbaarheid voor phishingaanvallen.

Als aanvallers uw domein vervalsen en frauduleuze e-mails naar uw klanten, partners of medewerkers sturen, wordt het vertrouwen dat u bij uw publiek hebt opgebouwd snel ondermijnd. Zelfs als u niet verantwoordelijk bent voor de aanval, associëren ontvangers de phishingpoging met uw merk.

Lagere e-mailbezorgbaarheid

Zonder e-mailverificatie kunnen legitieme e-mails als spam worden gemarkeerd, wat resulteert in lagere e-mailbezorgingspercentages.

Veel e-mailserviceproviders vereisen tegenwoordig dat DKIM en DMARC zijn ingesteld om e-mails succesvol te kunnen bezorgen. Als uw e-mails consequent in de spamfolder terechtkomen, daalt uw open rate, lijden uw marketinginspanningen daaronder en bereiken belangrijke transactionele e-mails mogelijk nooit de beoogde ontvangers.

Financiële verliezen en problemen met het vertrouwen van klanten

Als u geen e-mailverificatie implementeert, kunnen aanvallers zich voordoen als uw domein, wat kan leiden tot financiële verliezen en een verlies van vertrouwen bij klanten.

Business email compromise (BEC)-aanvallen, waarbij een aanvaller zich voordoet als een leidinggevende of leverancier, kunnen leiden tot frauduleuze overschrijvingen, gestolen inloggegevens en wettelijke aansprakelijkheid.

Verlies van zichtbaarheid

Als u geen e-mailverificatie gebruikt, kan dit leiden tot een verlies van inzicht in de prestaties en beveiliging van e-mail, waardoor het moeilijk wordt om ongeoorloofd gebruik van uw domein te identificeren.

Zonder DMARC-rapporten kunt u onmogelijk weten wie er namens u e-mails verstuurt en of uw legitieme e-mails correct worden geverifieerd, of dat aanvallers actief uw domein spoofen.

SPF, DKIM en DMARC: best practices

Het publiceren van uw records is nog maar het begin. Om optimaal gebruik te maken van SPF, DKIM en DMARC, volgt u deze best practices om uw e-mailverificatie op lange termijn sterk te houden.

Begin met DMARC op p=none en bouw dit geleidelijk op.

Wanneer u DMARC voor het eerst implementeert, begin dan met een beleid van p=none , zodat u uw e-mailverkeer kunt controleren en alle legitieme verzendbronnen kunt identificeren.

Zodra u er zeker van bent dat alles correct is geauthenticeerd, gaat u naar p=quarantine en vervolgens p=reject voor volledige bescherming.

Houd uw SPF-gegevens up-to-date

Telkens wanneer u een e-maildienst toevoegt of verwijdert (een nieuw marketingplatform, CRM, helpdesktool, enz.), moet u uw SPF-record bijwerken om de wijziging weer te geven.

Een verouderd SPF-record kan ervoor zorgen dat legitieme e-mails niet worden geverifieerd.

Draai uw DKIM-sleutels regelmatig om

Door uw DKIM-sleutels regelmatig te roteren, vermindert u het risico dat ze worden gehackt. De meeste beveiligingsexperts raden aan om sleutels minstens één of twee keer per jaar te roteren.

Gebruik een platform om het beheer te vereenvoudigen

Het beheren van SPF, DKIM en DMARC voor meerdere domeinen en verzendbronnen kan al snel complex worden.

Een platform zoals PowerDMARC brengt alles samen in één dashboard met gehoste recordbeheer, leesbare rapporten en realtime waarschuwingen, zodat u uw authenticatiestatus kunt bijhouden zonder handmatig DNS-bewerkingen uit te voeren.

Beveilig uw domein met vertrouwen met PowerDMARC

Als uw vertrouwde partner op het gebied van e-mailbeveiliging raden wij elke organisatie aan om SPF, DKIM en DMARC te implementeren. Deze protocollen vormen de ruggengraat van moderne e-mailbeveiliging en helpen u cyberdreigingen voor te blijven en het vertrouwen te behouden bij elk bericht dat u verstuurt.

Op basis van jarenlange ervaring met het beveiligen van de e-mailinfrastructuur van organisaties, adviseert ons team bij PowerDMARC een gefaseerde aanpak voor de implementatie.

Begin met monitoring, analyseer de gegevens en voer vervolgens geleidelijk strengere beleidsregels door naarmate u meer vertrouwen krijgt in uw opzet.

Om monitoring, rapportage en voortdurende optimalisatie te vergemakkelijken, brengt PowerDMARC SPF-, DKIM- en DMARC-beheer samen in één platform. Met realtime zichtbaarheid, begeleide beleidsafdwinging en geautomatiseerde inzichten neemt het veel handmatig werk uit het proces weg, waardoor teams een veilige, betrouwbare e-mailverificatie-instelling kunnen handhaven.

Start een gratis proefperiode van 15 dagen om uw domeinbescherming te versterken.

Veelgestelde vragen (FAQ's)

1. Wat is het verschil tussen SPF, DKIM en DMARC?

SPF controleert of e-mails afkomstig zijn van geautoriseerde IP-adressen, DKIM zorgt ervoor dat de inhoud van e-mails niet is gemanipuleerd met behulp van digitale handtekeningen, en DMARC zorgt voor beleidsafdwinging en rapportage door voort te bouwen op zowel SPF als DKIM. Zie SPF als het controleren van het e-mailadres van de afzender, DKIM als het verifiëren van de integriteit van het bericht en DMARC als het algemene beveiligingsbeleid dat bepaalt wat er moet gebeuren als controles mislukken.

2. Heb ik zowel SPF als DKIM nodig voor mijn domein?

Hoewel u SPF of DKIM afzonderlijk kunt implementeren, biedt het gebruik van beide samen een aanzienlijk sterkere bescherming. SPF kan falen wanneer e-mails worden doorgestuurd, en DKIM alleen controleert de verzendende infrastructuur niet. Voor maximale veiligheid en DMARC-compliance implementeert u zowel SPF als DKIM en voegt u vervolgens DMARC toe voor beleidsafdwinging en rapportage.

3. Hoe kan ik controleren of mijn SPF-, DKIM- en DMARC-records werken?

Gebruik DNS-lookuptools om te controleren of records bestaan, verstuur test-e-mails en controleer headers voor domeinauthenticatieresultaten, analyseer DMARC-rapporten op fouten en gebruik online validators zoals de gratis tools van PowerDMARC. Regelmatige monitoring via DMARC-rapporten is de meest uitgebreide manier om voortdurende bescherming te garanderen.

4. Hebben SPF, DKIM of DMARC invloed op hoe mijn e-mails eruitzien voor ontvangers?

Nee. Deze protocollen werken achter de schermen en veranderen niets aan het uiterlijk, de inhoud of de lay-out van uw e-mails. Ontvangers zien de resultaten van SPF, DKIM of DMARC niet direct. E-mails die op de juiste manier zijn geauthenticeerd, worden echter minder snel als spam gemarkeerd, wat de plaatsing in de inbox en het algehele vertrouwen ten goede komt.

5. Hoe vaak moet ik mijn SPF-, DKIM- en DMARC-records controleren of bijwerken?

U moet uw records controleren telkens wanneer u e-mailverzendingsdiensten toevoegt of verwijdert, en als onderdeel van regelmatig onderhoud. SPF-records moeten vaak worden bijgewerkt wanneer nieuwe tools of leveranciers worden geïntroduceerd. DKIM-sleutels moeten om veiligheidsredenen periodiek worden gewijzigd. DMARC-rapporten moeten consequent worden gecontroleerd om problemen vroegtijdig op te sporen en het beleid te kunnen handhaven.

• Over
• Laatste berichten

Ahona Rudra

Expert domein- en e-mailbeveiliging bij PowerDMARC

Ahona is marketingmanager bij PowerDMARC en heeft meer dan vijf jaar ervaring met het schrijven over cybersecurity, gespecialiseerd in domein- en e-mailbeveiliging. Ahona heeft een masterdiploma in journalistiek en communicatie, en heeft sinds 2019 haar carrière in de beveiligingssector verder uitgebouwd.

Laatste berichten van Ahona Rudra (Bekijk alle berichten)

• Avanan SPF-record: hoe u uw SPF voor Check Point Harmony Email instelt, repareert en optimaliseert - 7 mei 2026
• DNS SPF-record: hoe het werkt en hoe je het instelt - 6 mei 2026
• Wat is v=spf1? Waarvoor dient het? - 5 mei 2026