SPF, DKIM en DMARC instellen op Beehiiv [2026]

door

Laatst bijgewerkt:
9 leestijd: 9 minuten
SPF, DKIM en DMARC instellen op Beehiiv [2026]

Heb je een eigen domein aan Beehiiv gekoppeld of een kritieke waarschuwing ontvangen dat DMARC-authenticatie vereist is? Om ervoor te zorgen dat de afleverbaarheid van je nieuwsbrief optimaal blijft, moet je je e-mailauthenticatieprotocollen correct configureren.

Beehiiv handelt SPF en DKIM op een unieke manier af via automatisch gegenereerde CNAME-records, maar het implementeren van DMARC blijft een handmatige, verplichte stap voor alle aangepaste domeinen. In deze handleiding worden de exacte configuratiestappen, platformspecifieke bijzonderheden en de manier waarop je kunt controleren of je installatie perfect werkt, behandeld.

Belangrijkste Conclusies

  • Automatische generatie van SPF- en DKIM-records: Beehiiv genereert tijdens de configuratie van een aangepast domein automatisch SPF- en DKIM-records als CNAME-records. Je kopieert deze naar je DNS-provider in plaats van zelf TXT-regels op te stellen.
  • DKIM-vertraging bij ‘Not Found’: Het is volkomen normaal dat er direct na de configuratie de status ‘Not Found’ wordt weergegeven. Voor de DKIM-verificatie van Beehiiv is uitgaand e-mailverkeer nodig om de detectie in gang te zetten.
  • Let op bij Cloudflare-proxy: als je DNS via Cloudflare wordt beheerd, zorg er dan voor dat je authenticatierecords zijn ingesteld op ‘Alleen DNS’. Beehiiv kan ‘Proxied’-records niet detecteren of verifiëren.
  • Afkoelperiode van 72 uur: Het kan tot 72 uur duren voordat de domeingegevens zijn doorgevoerd. Vermijd het verwijderen en opnieuw toevoegen van je records tijdens deze periode om te voorkomen dat je door de SSL-provider van Beehiiv aan een verwerkingslimiet wordt onderworpen.

Wat Beehiiv automatisch instelt (en wat je zelf nog moet doen)

Wanneer je gebruikmaakt van de standaard subdomeininfrastructuur van Beehiiv, zijn de protocollen voor e-mailverificatie volledig vooraf geconfigureerd. Zodra je echter een eigen domein koppelt, ben je zelf verantwoordelijk voor de verificatie van het domeineigendom.

Om uw merk te beschermen en de zichtbaarheid te verbeteren:

Hoewel Beehiiv de instellingen voor je eigen domein regelt via dynamische tracking-vermeldingen, moet je DMARC apart en handmatig instellen bij je domeinregistrar.

Een eigen domein toevoegen en SPF-/DKIM-records instellen

Stap 1: Start de installatie van het aangepaste domein

1. Log in op je Beehiiv-dashboard.

1 Beehiiv-dashboard

2. Ga naar de linkeronderhoek en klik op Instellingen.

3. Selecteer het tabblad ‘Domeinen’ en zoek vervolgens de knop ‘Aangepast domein instellen’ en klik erop.

4. Voer uw hoofddomein of het door u gekozen subdomein in, stel uw omleidingsvoorkeur in (het wordt ten zeerste aanbevolen om een www-omleiding in te schakelen, zodat uw publicatie altijd correct wordt weergegeven) en voer het door u aangewezen verzenddomein in.

4 Voer uw hoofddomein in

Stap 2: DNS-records controleren en aanmaken

1. Ga naar het scherm ‘Controleren en instellen’ en controleer of de gegevens van uw domein volledig correct zijn.

5. Controleren en genereren

2. Klik op ‘Installatie voltooien’.

6. Afstelling voltooien

3. Beehiiv geeft je direct je unieke DNS-map. Het systeem genereert een complete reeks web-, routerings- en koppelingsrecords, waarvan drie specifieke CNAME-records uitsluitend bedoeld zijn voor het opzetten van je SPF- en DKIM-infrastructuur.

Stap 3: Kies voor Entri (geautomatiseerd) of handmatige installatie

Beehiiv biedt twee manieren om records naar je DNS-provider te schrijven:

  • Entri (geautomatiseerd): Als je domeinprovider wordt ondersteund door de geautomatiseerde partner van Beehiiv, kun je Entri machtigen om veilig in te loggen bij je registrar en de gegenereerde records automatisch aan te brengen. Deze optie beperkt fouten door handmatig kopiëren en plakken tot een minimum.

7 Entri (geautomatiseerd)

  • Handmatige configuratie: Voor niet-ondersteunde registrars of beheerders die de toegang tot het geautomatiseerde configuratiescherm liever beperken, kunt u elke afzonderlijke host en point-to-waarde handmatig kopiëren.

10 Handmatige installatie

Stap 4: Voeg de CNAME-records voor SPF/DKIM toe

1. Log rechtstreeks in bij uw domeinregistrar of externe DNS-hostbeheerder.

2. Maak voor elk van de drie automatisch gegenereerde Beehiiv-authenticatiestrings een nieuw record aan:

  • Type: CNAME
  • Host/Naam: Plak de exacte host-sleutel die door Beehiiv is gegenereerd (bijv. bh._domainkey). Opmerking: Bij sommige DNS-beheerpanelen is alleen het subdomeinvoorvoegsel vereist; controleer de opmaakregels van je host.
  • Doel/Waarde: Plak de door het paneel opgegeven doelreeks.
  • TTL: Laat op ‘Auto’ of ‘1 uur’ staan.

3. Opmerking van Cloudflare: Als je DNS via Cloudflare verloopt, schakel dan de proxystatus voor deze records om van ‘Proxied’ (oranje wolk) naar ‘DNS Only’ (grijze wolk). Beehiiv kan geen records lezen die door een proxyschild worden verborgen.

4. Sla elk record veilig op.

Stap 5: Controleer je wijzigingen

1. Ga terug naar je Beehiiv-dashboard en klik op ‘Configuratie controleren’.

2. Bij een domein dat met succes is geverifieerd, wordt een vinkje weergegeven, samen met een statusbanner met de tekst ‘E-mail’ naast het domein.

3. Als de validatie niet onmiddellijk wordt bevestigd, wacht dan even totdat de globale caching is bijgewerkt. Het doorvoeren van de wijzigingen kan tot 72 uur duren. Wijzig, verwijder of vernieuw records niet tijdens deze validatieperiode, aangezien dit leidt tot blokkades vanwege de limiet op het aantal certificaataanvragen bij de SSL-uitgiftedienst van Beehiiv.

Stap 6: Voeg het Beehiiv DMARC-record toe

Om een correct en volledig DMARC-record aan te maken, kun je gebruikmaken van de gratis DMARC-recordgenerator van PowerDMARC.

1. Ga naar de tool ‘DMARC Record Generator’:

11 DMARC-recordgenerator

Dit is wat de nieuwe tags betekenen:

np (Beleid inzake niet-bestaande subdomeinen)

De tag `np` richt zich op subdomeinen die een DNS NXDOMAIN-antwoord retourneren (d.w.z. die niet bestaan).

t (testmodus)

De t-tag is in de plaats gekomen van de pct-tag (percentage) en maakt het voor jou gemakkelijker om strenge beleidsregels te testen. Het belangrijkste is dat t=y je DMARC-beleid niet uitschakelt.

psd (Public Suffix Domain)

psd wordt gebruikt voor het organisatiedomein tijdens de DMARC-evaluatie, voornamelijk voor domeinen met een openbaar achtervoegsel en aangepaste domeinhierarchieën.

2. Kies het beleid p=none (d.w.z. alleen monitoring), zodat u uw e-mailverkeer kunt controleren voordat u overschakelt naar p=quarantine (softe handhaving) of p=reject (strikte handhaving).

Opmerking

Stel niet meteen p=reject in, want dit kan ervoor zorgen dat je eigen legitieme zakelijke e-mails worden geblokkeerd. Begin in plaats daarvan altijd met p=none. Pas nadat je hebt gecontroleerd en je ervan hebt verzekerd dat alle legitieme afzenders correct zijn geconfigureerd, kun je overgaan op strengere beleidsregels.

3. Voer je e-mailadres in het veld ‘Rapportage’ in, op het adres waar je je geaggregeerde DMARC-RUA-rapporten wilt ontvangen.

4. Kopieer het DNS-TXT-record en plak het vervolgens in uw DNS-beheerconsole.

5. Ga naar je DNS-beheerconsole. Voeg het gekopieerde record toe:

  • Type: TXT
  • Host/Naam: _dmarc (of _dmarc.uwdomein.com)
  • Waarde: [Plak de gegenereerde DMARC TXT-waarde]

6. Sla het record op.

Opmerking van Cloudflare: Als je DNS via Cloudflare verloopt, schakel dan de proxystatus voor deze records om van ‘Proxied’ (oranje wolk) naar ‘DNS Only’ (grijze wolk). Beehiiv kan geen records lezen die door een proxyschild worden verborgen.

Stap 7: Controleer de verspreiding

Nadat je hebt opgeslagen, kun je de PowerDMARC DMARC Checker gebruiken om te controleren of je nieuwe record wereldwijd actief wordt omgezet.

Controleer de voortplanting

De gefaseerde invoering van DMARC

Ga niet meteen over op een restrictief uitvoeringsbeleid. Een goede DMARC-strategie volgt een weloverwogen, gefaseerde aanpak om te voorkomen dat legitieme e-mailstromen worden geblokkeerd.

[Fase 1: Controle (p=geen)] ➔ [Fase 2: Quarantaine (p=quarantaine)] ➔ [Fase 3: Afwijzen (p=afwijzen)]

FaseBeleidstagOperationele gevolgen
Week 1–4p=geenMonitoringmodus: Verzamel XML-diagnostische telemetrie. Houd je verzenders in het algemeen in de gaten, controleer of Beehiiv naar behoren functioneert en los eventuele afwijkingen aan de bron op zonder dat dit ten koste gaat van de afleverbaarheid.
Week 5–8p=quarantineZachte handhaving: E-mails die de authenticatiecontroles niet doorstaan, worden automatisch uit de inbox verplaatst naar de map met ongewenste e-mail of spam. Gebruik deze periode om te controleren of er geen legitieme tools zijn die niet meer werken.
Week 9 en verderp=afwijzenVolledige handhaving: Kwaadwillige, niet-geverifieerde of vervalste e-mailberichten die zich voordoen als afkomstig van uw domein, worden direct bij de poort van de ontvangende server tegengehouden.

Opmerking: Ruwe DMARC-XML-gegevens zijn qua structuur complex en moeilijk handmatig te lezen. Door uw gegevensfeeds via ons DMARC Analyzer-platform te verwerken, worden ruwe XML-logbestanden omgezet in een intuïtief en voor mensen leesbaar dashboard, waarop duidelijke percentages voor ‘geslaagd’ en ‘mislukt’ voor uw gehele afzenderprofiel worden weergegeven.

Veelvoorkomende problemen met e-mailverificatie bij Beehiiv

DKIM geeft direct na de installatie ‘Niet gevonden’ weer

  • Symptoom: Je SPF- en DMARC-items worden weergegeven met groene vinkjes, maar in de interface van Beehiiv wordt aangegeven dat DKIM ontbreekt of niet is geverifieerd.
  • Reden: Statische DNS-sleutels worden direct ingelezen, maar het interne platform van Beehiiv valideert DKIM-handtekeningen dynamisch door tijdens het verzendproces de ondertekende e-mailenvelop te controleren. Als je nieuwe aangepaste domein nog geen uitgaande verzendgeschiedenis heeft, is er geen informatie om te beoordelen.
  • Oplossing: Verstuur een testbericht of stel een geautomatiseerde welkomstmail in die naar je eigen account wordt verzonden. Zodra het e-mailsysteem een actieve transactie registreert, wordt de status in de interface bijgewerkt naar ‘actief’.

Het domein kan niet worden geverifieerd na het toevoegen van records in Cloudflare

  • Symptoom: Elk record komt volledig overeen met de gegevenselementen in Beehiiv, maar de validatiecontroles lopen herhaaldelijk vast of mislukken.
  • Oorzaak: De standaardproxyconfiguratie van Cloudflare verbergt structurele DNS-gegevens achter zijn eigen edge-optimalisatienetwerk.
  • Oplossing: Ga naar je Cloudflare DNS-console, klik bij elk van de drie CNAME-records die naar Beehiiv verwijzen op ‘Bewerken’ en zet de schakelaar om van ‘Proxied’ (oranje wolk) naar ‘DNS Only’ (grijze wolk).

Verificatie loopt al meer dan 72 uur vast

  • Symptoom: De verwerkingsstatus van het domein blijft ver na het verwachte tijdsbestek vastzitten in de status ‘in afwachting’.
  • Oorzaak: Dit gebeurt meestal als je records verwijdert en opnieuw toevoegt tijdens het eerste synchronisatievenster, waardoor de veiligheidslimieten van de geautomatiseerde SSL-provider van Beehiiv in werking treden.
  • Oplossing: Laat alle gegevens volledig ongewijzigd. Als de validatie na 72 uur nog steeds vastloopt, gebruik dan de in-app chatbot van Beehiiv om hun technische helpdesk hiervan op de hoogte te stellen.

Conflict rond privé-e-mail bij Namecheap

  • Symptoom: Uw primaire e-mailworkflows werken niet meer of de domeinconfiguratie loopt systematisch vast, uitsluitend bij domeinen die door Namecheap worden gehost.
  • Oorzaak: Als je het specifieke woord ‘mail’ kiest als je structurele verzendsubdomein (bijv. mail.jouwdomein.com), ontstaat er een architectonisch conflict met de routeringsregels van de Private Email-server van Namecheap.
  • Oplossing: Kies een andere variant voor het voorvoegsel van het subdomein waarmee je je nieuwsbrief verstuurt (zoals news, letters of send). Het validatiesysteem van Beehiiv signaleert dit specifieke risico automatisch tijdens de eerste configuratiestappen.

DMARC-controle mislukt, hoewel SPF en DKIM afzonderlijk wel slagen

  • Symptoom: Uit een grondige analyse van de berichtheader blijkt dat er afzonderlijke logboekvermeldingen zijn voor spf=pass en dkim=pass, maar het systeem als geheel geeft een dmarc=fail-foutmelding weer.
  • Oorzaak: Afwijking in de toewijzing. DMARC vereist dat het domein dat de SPF/DKIM-authenticatie afhandelt, overeenkomt met het hoofddomein dat wordt weergegeven in het zichtbare veld „Van:”.
  • Oplossing: Controleer of de configuratie van je verzenddomein in Beehiiv overeenkomt met de domeinnaam die wordt weergegeven in de openbare „Van:”-adressen van je campagne.

Hoe je kunt controleren of alles goed werkt

Voer de volgende validatiestappen uit om te controleren of uw e-mailverificatie correct is ingesteld:

  • Een uitgaande e-mail verzenden testen: verstuur een live testbericht vanuit je Beehiiv-account naar een externe inbox (zoals een persoonlijk Gmail-adres). Open de weergave van de ruwe header (“Origineel weergeven” in Gmail) en controleer of in het authenticatieblok duidelijk de vermeldingen SPF: PASS, DKIM: PASS en DMARC: PASS staan.
  • Voer een SPF-recordcontrole uit: controleer of je openbare sleutels correct worden omgezet, zonder fouten in de syntaxis.
  • Voer een DKIM-recordcontrole uit: zorg ervoor dat de configuraties van uw cryptografische sleutels correct worden gepubliceerd op alle wereldwijde naamservers.
  • Voer een DMARC Record Checker uit: controleer of de tags in je beleidsstructuur overeenkomen met de door jou beoogde handhavingsparameters.
  • Controleer de totale domeinscore: plak uw hoofdwebadres rechtstreeks in de uitgebreide PowerDMARC Domain Analyzer voor een allesomvattende diagnostische score die inzicht geeft in de algehele status van uw e-mailbeveiliging en authenticatie.

Best practices voor e-mailverificatie bij Beehiiv

  • Proactieve implementatie: Zorg ervoor dat u uw SPF- en DKIM-records altijd configureert voordat u uw eerste grote e-mailcampagne plant, om uw reputatie als afzender vanaf het begin te beschermen.
  • Sla DMARC nooit over: DMARC is een verplichte nalevingsvereiste voor alle eigen domeinen op Beehiiv. Als je dit overslaat, kan dit leiden tot problemen met de afleverbaarheid of tot het niet voldoen aan de vereisten voor je account.
  • Vermijd overhaaste implementatie: pas een ‘p=reject’-regel nooit meteen vanaf dag één toe. Voer uw beleid geleidelijk in via een gecontroleerde, gefaseerde uitrol om te voorkomen dat u per ongeluk uw eigen legitieme e-mails blokkeert.
  • Controleer toekomstige wijzigingen in de verzending: als je later aanvullende platforms migreert of externe transactiesoftware in je domein introduceert, controleer dan opnieuw je DNS-instellingen om er zeker van te zijn dat deze tools niet in conflict komen met je Beehiiv-configuratie.

Veelgestelde Vragen

Stelt Beehiiv SPF en DKIM automatisch in?

Ja, maar alleen als je het standaard subdomein *.beehiiv.com gebruikt. Als je je nieuwsbrief op een eigen domein host, genereert Beehiiv automatisch aangepaste CNAME-records die je moet kopiëren en publiceren in het DNS-paneel van je domein.

Is DMARC verplicht op Beehiiv?

Ja. Sinds februari 2024 eist Beehiiv dat DMARC verplicht wordt geïmplementeerd voor alle aangepaste domeinen, om te voldoen aan de beveiligingsnormen van e-mailproviders en om bescherming te bieden tegen domeinspoofing.

Waarom wordt mijn Beehiiv DKIM-record weergegeven als „Niet gevonden“?

In tegenstelling tot statische records controleert Beehiiv DKIM dynamisch door echte e-mails tijdens de verzending te verifiëren. Stuur gewoon een korte test-e-mail of een nieuwsbrief vanuit je account om de verificatie te starten.

Hoe lang duurt de domeinverificatie bij Beehiiv?

Het duurt doorgaans enkele minuten tot 72 uur voordat wereldwijde DNS-wijzigingen volledig zijn doorgevoerd. Vermijd het wijzigen of opnieuw toevoegen van uw records tijdens deze periode om te voorkomen dat uw beveiligingsprovider limieten oplegt.

Kan ik Beehiiv gebruiken in combinatie met Cloudflare DNS?

Absoluut. Je moet echter de proxystatus voor je Beehiiv-authenticatie-CNAME-records wijzigen van ‘Proxied’ (oranje wolk) naar ‘DNS Only’ (grijze wolk), anders zullen de validatiecontroles mislukken.

Met welk DMARC-beleid moet ik op Beehiiv beginnen?

Begin altijd met een beleid dat uitsluitend op monitoring is gericht (p=none). Zo kunt u rapporten over de afleverbaarheid verzamelen en eventuele afwijkingen in de afstemming verhelpen, voordat u veilig overgaat op strengere handhavingsmaatregelen, zoals quarantaine of afwijzing.