Regels voor afzenders van bulkmail voor Google, Yahoo, Microsoft en Apple iCloud Mail

E-mailproviders zetten steeds meer in op afzenderverificatie om phishing, spoofing en spam tegen te gaan. Techgiganten als Google, Yahoo, Microsoft en Apple hebben strenge nalevingsregels ingevoerd voor bulkverzenders, en deze worden nu actief gehandhaafd bij alle grote providers.

Als uw organisatie grote hoeveelheden e-mails verstuurt, zal het niet voldoen aan deze vereisten niet worden nageleefd, zullen uw e-mails op SMTP-niveau worden geweigerd; ze komen niet eens in de spamfolder terecht. Het goede nieuws? Naleving hoeft niet ingewikkeld te zijn. Hier is dus een complete gids met de vereisten voor verzenders van bulk-e-mails bij de belangrijkste e-mailserviceproviders!

Het staat duidelijk op het spel: verzenders die aan de regels voldoen, komen in 2026 gemiddeld voor 89% in de inbox terecht in 2026, terwijl bij niet-conforme afzenders 22–34% van hun e-mail naar de spamfolder wordt geleid — een straf van 3 tot 7 keer zo groot. Twee jaar na de invoering is de kloof tussen conforme en niet-conforme programma's nog nooit zo groot geweest.

Wat is een afzender van bulkmail?

Een bulk e-mailverzender is een individu of organisatie die een grote hoeveelheid e-mails verstuurt. De meeste providers classificeren hen als iemand die 5.000 of meer berichten per dag verstuurt. Dit geldt voor e-mails die vanaf één domein naar meerdere ontvangersmeestal voor:

• Marketingcampagnes
• Nieuwsbrieven
• Transactieberichten (bijv. orderbevestigingen, resetten van wachtwoorden)
• Meldingen of waarschuwingen

Belangrijkste kenmerken van bulkverzenders:

• E-mails worden vaak in batches verstuurd (geen één-op-één communicatie).
• De ontvangers kunnen al dan niet eerder contact hebben gehad met de afzender.
• De berichten zijn vaak geautomatiseerd en worden verzonden via e-mailmarketingplatforms, CRM's of tools voor bulkverzending.

Belangrijk: de regels van Google gelden alleen voor e-mails die naar persoonlijke Gmail-accounts (@gmail.com en @googlemail.com) worden verzonden. Betaalde Google Workspace-accounts vallen niet onder de limiet voor bulkverzenders. De regels van Microsoft gelden voor consumentendomeinen: Outlook.com, Hotmail.com en Live.com.

Drempels en vereisten voor bulkverzenders per aanbieder

Als je duizenden e-mails per dag verstuurt, sta je op de radar. Hier lees je hoe elke grote provider een bulkverzender definieert en wat ze van je verwachten:

1. Google (Gmail)

Drempel voor bulkverzenders: 5.000+ e-mails per dag per domein

Belangrijkste vereisten:

• SPF, DKIM, en DMARC implementatie
• Spam rate <0.3%
• Met één klik afmelden (RFC 8058-headers)
• Conform RFC 5322
• Geldige PTR-records
• ARC-headers voor doorgestuurde e-mails
• TLS-versleuteling voor e-mailverkeer

Tijdlijn voor handhaving:

• Februari 2024: Tijdelijke fouten voor niet-conforme e-mails
• April 2024: Geleidelijke afwijzing van e-mails die niet aan de regels voldoen
• Juni 2024: Volledige handhaving met regelrechte afwijzing van niet-conforme e-mails
• Oktober 2025: Google stopt met de oude Postmaster Tools en lanceert Postmaster Tools v2, waarbij de binaire nalevingsstatus (geslaagd/niet geslaagd) de oude reputatieschaal vervangt
• November 2025: Gmail schakelt over van tijdelijke uitstel (421-fouten) naar definitieve afwijzingen (550-fouten). Bulk-e-mails die niet aan de regels voldoen, worden nu direct op SMTP-niveau geweigerd en er wordt geen nieuwe poging ondernomen.

Belangrijke foutcodes om in de gaten te houden:

• 550-5.7.26 — E-mail voldoet niet aan de DMARC-vereisten (nieuw sinds november 2025)
• 421-4.7.32 — SPF/DKIM-verificatie mislukt
• 550-5.7.1 — SPF-fout

Meer informatie vind je in Google Workspace-beheerdershulp. Zie ook: Gmail-handhaving 2025: Google begint e-mails te weigeren

2. Yahoo

Drempel voor bulkverzenders: 5.000+ e-mails per dag per domein

Belangrijkste vereisten:

• Implementatie van SPF, DKIM en DMARC
• Spam rate <0.3%
• Eenvoudig uitschrijven (RFC 8058-headers met één klik)
• Geldige PTR-records
• Conform RFC 5322

Handhaving: Actief sinds februari 2024. Yahoo volgt de authenticatievereisten van Gmail met gelijkwaardige handhavingsmaatregelen.

Meer informatie in Yahoo Hub voor afzenders.

3. Microsoft (Outlook, Hotmail en Live)

Drempel voor bulkverzenders: 5.000+ e-mails per dag per domein

Belangrijkste vereisten:

• Implementatie van SPF en DKIM
• DMARC afgestemd op SPF of DKIM (bij voorkeur beide)
• DMARC-beleid met minimaal p=none
• Geldige 'Van'- en 'Antwoord aan'-adressen
• Werkende afmeldlinks (aanbevolen)
• Gegevensopschoning en transparante verzendpraktijken

Tijdschema voor de handhaving: (Bijgewerkt)

• 5 mei 2025: De eisen worden bekendgemaakt en de eerste handhaving gaat van start
• Augustus 2025: E-mails die niet aan de regels voldoen, worden met een waarschuwingskop naar de map met ongewenste e-mail doorgestuurd
• November 2025: Volledige handhaving van de afwijzingsregels. E-mails die niet aan de regels voldoen, krijgen nu permanent de foutcode 550 5.7.515 en worden direct geweigerd — ze komen niet in de map met ongewenste e-mail of spam terecht.

Belangrijkste verschil met Google: Microsoft hecht naast de reputatie van het domein ook veel belang aan de reputatie van het IP-adres. Als u een gedeeld IP-adres deelt met een spammer, zal uw afleverbaarheid bij Microsoft daaronder lijden, zelfs als uw authenticatie in orde is.

Lees meer in de Microsoft Community Hub. 

Zie ook: Microsoft-vereisten voor afzenders 2025 — DMARC vereist voor Outlook

4. Apple (iCloud Mail)

Drempelwaarde voor bulkverzenders: Niet formeel gespecificeerd

Belangrijkste vereisten:

• Implementatie van SPF, DKIM en DMARC
• ARC-headers toegevoegd aan doorgestuurde e-mails
• Geldig en consistent Van: naam
• Link afmelden
• Geldige PTR-records
• Conform RFC 5322

Uitvoeringstermijn: Niet vastgesteld. Echter, de richtlijnen van Apple voor bulkverzenders sluiten al nauw aan bij die van Google, Yahoo en Microsoft. Analisten in de sector verwachten algemeen dat Apple de handhaving in de periode 2026–2027 zal formaliseren.

Opmerking: Wij bij PowerDMARC raden aan om de DMARC-implementatie te starten met p=none en geleidelijk over te stappen naar p=quarantine en uiteindelijk naar p=reject, terwijl u uw DMARC-rapporten.

Vergelijking van aanbieders naast elkaar

Wat gebeurt er als je je niet aan de regels houdt?

Het niet naleven van de regels is niet langer een theoretisch risico. Dit is wat er tegenwoordig gebeurt als uw e-mails niet voldoen aan de vereisten voor bulkverzenders:

• Google: E-mails krijgen op SMTP-niveau steeds een 550-afwijzingsfout. Ze worden nooit afgeleverd in de inbox of de spamfolder. De nalevingsstatus in uw Postmaster Tools geeft ‘Mislukt’ aan.
• Microsoft: E-mails krijgen de permanente foutcode 550 5.7.515. In tegenstelling tot de eerdere aanpak van Google, waarbij dergelijke e-mails naar de spamfolder werden doorgestuurd, weigert Microsoft ze nu direct.
• Yahoo: Soortgelijk afwijzingsgedrag bij niet-conforme authenticatie.

De gevolgen voor de afleverbaarheid zijn duidelijk:

• Verzenders die aan de regels voldoen: ~89% plaatsingspercentage in de inbox in 2026
• Afzenders die niet aan de regels voldoen: 22–34% in de spamfolder — 3 tot 7 keer het gemiddelde
• Ongeveer 30% van de bulkverzenders voldoet nog steeds niet volledig aan ten minste één vereiste, meestal de RFC 8058-header voor uitschrijven met één klik

Aanbevolen artikelen: Gmail-handhaving 2025: Google begint e-mails te weigeren

Waarom e-mailverificatie belangrijk is voor bulkverzenders?

SPF (Policy Framework voor afzenders): SPF helpt domeinen om geautoriseerde afzenders te verifiëren. Wanneer een e-mail wordt ontvangen, controleert de ontvangende server het SPF-record in het DNS van de afzender. Als de afzender niet in de lijst staat, faalt de e-mail bij SPF.

DKIM (DomainKeys Identified Mail): DKIM voegt een digitale handtekening toe aan e-mails. Hierdoor kan de ontvangende server controleren dat het bericht niet is gewijzigd en echt afkomstig is van de geclaimde afzender.

DMARC (Domain-based Message Authentication Reporting & Conformance): DMARC bouwt voort op SPF en DKIM. Het stelt domeineigenaren in staat om aan te geven hoe ongeautoriseerde berichten moeten worden behandeld. DMARC biedt gedetailleerde rapporten over e-mailverificatieactiviteit.

Samen bestrijken deze drie protocollen meer dan 90% van een gemiddelde B2C-e-maillijst bij Google, Yahoo, Microsoft en Apple samen. Als ze niet alle drie correct zijn geconfigureerd, lopen uw e-mails het risico te worden geweigerd door alle grote e-mailproviders.

Met DMARCbis is nu gepubliceerd als RFC 9989 (mei 2026), is DMARC opgewaardeerd van een informatief document naar een voorgestelde standaard, een duidelijk signaal dat de e-mailindustrie authenticatie beschouwt als fundamentele infrastructuur, en niet als een optionele best practice.

Verplichte en aanbevolen aanvullende vereisten voor bulkverzender

1. Geldige PTR-records

Zonder correcte PTR-records (rDNS) worden spamfilters wantrouwig. Je e-mails kunnen dan in de spamfolder terechtkomen. Als je e-mails verstuurt vanaf een eigen IP-adres of een zelfgehoste MTA, moet dat IP-adres een geldig PTR-record hebben (ook wel reverse DNS genoemd). Simpel gezegd: het IP-adres moet naar een domeinnaam verwijzen, en die domeinnaam moet weer naar hetzelfde IP-adres verwijzen. Het is een controle in twee richtingen.

2. Afmelden met één klik (RFC 8058)

E-maildienstverleners, waaronder Google, Yahoo en Apple, eisen dat verzenders van bulkmail een eenvoudige optie om zich met één klik af te melden in e-mails op te nemen. Microsoft beveelt dit ook aan als onderdeel van zijn lijst met best practices voor e-mailhygiëne.

Dit is de meest verkeerd begrepen vereiste. Het gaat hier niet om de afmeldlink in de voettekst van je e-mail. Google verwacht dat u speciale headers toevoegt waarmee gebruikers zich met één klik kunnen uitschrijven. Zonder deze headers kan Google de knop 'Uitschrijven' niet weergeven in de Gmail-inbox.

Dit is wat je moet doen: neem deze twee kopteksten op in je e-mail:

List-Unsubscribe-Post: List-Unsubscribe=Met één klik

List-Unsubscribe: <https://yourdomain.com/unsubscribe/example>

Opmerking: De HTTPS-link in de List-Unsubscribe-header moet reageren op een POST-verzoek zonder omleidingen of bevestigingspagina’s. Bovendien moet u verzoeken om uitschrijving binnen 48 uur verwerken. Deze vereiste geldt uitsluitend voor marketing- en promotie-e-mails — transactionele e-mails (orderbevestigingen, het opnieuw instellen van wachtwoorden) vallen hier niet onder.

3. Lage tarieven voor spam

E-mailproviders houden uw spamklachten nauwlettend in de gaten. Als te veel mensen uw e-mail als spam markeren, lijdt uw reputatie daaronder en gaat uw afleveringspercentage snel achteruit. De maximaal toegestane drempel ligt bij de meeste providers onder de 0,3%. Dit heeft specifiek betrekking op door gebruikers gemelde spamklachten, niet op het percentage onbestelbare e-mails.

Om het aantal klachten laag te houden, wordt aangeraden om alleen e-mails te sturen naar mensen die zich daadwerkelijk hebben aangemeld. Schakel de knop voor uitschrijven met één klik in, zodat ontvangers zich gemakkelijker kunnen afmelden. Controleer regelmatig uw spamscore met behulp van online spamcalculators.

4. Geldige koppen "Van" en "Reply-to

E-mailproviders verwachten dat u geldige ‘Van:’- en ‘Beantwoorden aan:’-adressen gebruikt. Deze adressen moeten e-mail kunnen ontvangen. Het gebruik van verlopen of ongeldige headers kan ertoe leiden dat e-mails worden teruggestuurd. Vervalste of nagemaakte headers kunnen ook leiden tot tijdelijke storingen en problemen met de afleverbaarheid.

5. Inhoud opmaak en e-maillijst hygiëne

Zorg voor een overzichtelijke en beknopte e-maillijst en zorg ervoor dat je e-mail de juiste opmaak heeft. De opmaak van de inhoud van je e-mail moet voldoen aan de Internet Message Format (IMF)-standaard, RFC 5322.

6. TLS-versleuteling

Zowel Google als Microsoft vereisen TLS-versleuteling (Transport Layer Security) voor alle uitgaande e-mail. TLS zorgt ervoor dat e-mail tijdens het transport tussen de verzendende en ontvangende servers wordt versleuteld, waardoor man-in-the-middle-aanvallen worden voorkomen. Voor organisaties die TLS ook voor inkomende e-mail willen afdwingen, biedt MTA-STS een beleidsmechanisme om TLS-versleuteling van verzendende servers te eisen.

7. Afstemming op DMARC

Alle grote providers eisen tegenwoordig DMARC-alignment: het domein in de zichtbare „Van:”-header moet overeenkomen met het domein dat via SPF of DKIM (of beide) is geverifieerd. Een technisch geslaagde SPF- of DKIM-controle die niet overeenkomt met het 'Van:'-domein, zal nog steeds niet voldoen aan DMARC. Zonder afstemming krijgt u foutmeldingen te zien zoals 421-4.7.32 van Gmail en 550 5.7.515 van Microsoft.

Voor organisaties die complexe verzendconfiguraties op meerdere platforms beheren, maakt gehoste DMARC maakt het eenvoudiger om vanuit één dashboard de afstemming tussen alle verzendbronnen te behouden.

De gevolgen van DMARCbis (RFC 9989) voor bulkverzenders in 2026

Op 21 mei 2026 heeft de IETF de DMARCbis-specificaties officieel gepubliceerd als RFC 9989, 9990 en 9991, waarmee de oorspronkelijke DMARC-standaard (RFC 7489) wordt vervangen. Hoewel dit de vereisten voor bulkverzenders van Google, Yahoo of Microsoft niet direct verandert, heeft het wel belangrijke gevolgen:

• DMARC is nu een voorgestelde standaard (en niet langer louter informatief), wat betekent dat er in het hele ecosysteem strengere eisen aan de implementatie worden gesteld
• De bijgewerkte rapportageformaten (RFC 9990 en 9991) bieden meer inzicht in mislukte authenticatiepogingen
• De bijgewerkte specificatie maakt gebruik van een algoritme voor het doorlopen van de DNS-boom in plaats van de Public Suffix List
• Organisaties die nu al voldoen aan de huidige eisen voor bulkverzenders, zijn goed gepositioneerd om aan de DMARCbis-normen te voldoen

Meer informatie: DMARCbis uitgelegd – Wat verandert er en hoe kunt u zich voorbereiden?

Actieplan bulkverzender

• Implementeren SPF, DKIMen DMARC voor uw domein
• Inschakelen uitschrijven met één klik (RFC 8058-headers — niet alleen een link in de voettekst)
• Controleer je PTR-records om er zeker van te zijn dat ze geldig zijn
• Zorg ervoor dat uw spampercentage onder de 0,3% blijft
• Gebruik geldige kopteksten voor „Van:“ en „Beantwoorden aan:“
• Houd je mailinglijsten up-to-date
• Houd u aan de richtlijnen voor correcte e-mailopmaak uit RFC 5322
• ARC-headers implementeren voor doorgestuurde e-mails
• Schakel TLS-versleuteling in voor alle uitgaande e-mail
• Controleer of DMARC-instellingen op alle verzendbronnen en platforms op elkaar zijn afgestemd
• Houd uw nalevingsstatus bij in Google Postmaster Tools v2
• Begin met p=none, ga vervolgens over naar p=quarantine en daarna naar p=reject, terwijl je de situatie in de gaten houdt DMARC-rapporten

Hoe je de naleving bij verschillende leveranciers kunt controleren

Het naleven van de regelgeving is geen eenmalige aangelegenheid — het vereist voortdurende controle, aangezien de verzendinfrastructuur verandert en providers hun vereisten bijwerken:

• Google Postmaster Tools v2: Houd de binaire nalevingsstatus (Geslaagd/Mislukt), spampercentages en authenticatieresultaten van uw domein in de gaten. De oude reputatieschaal (Hoog/Gemiddeld/Laag) is afgeschaft.
• Microsoft SNDS (Smart Network Data Services): Controleer uw IP-reputatie en het percentage ongewenste e-mail voor Outlook.com. Microsoft hecht veel belang aan de IP-reputatie, dus afzenders die een gedeeld IP-adres gebruiken, moeten dit nauwlettend in de gaten houden.
• Yahoo Sender Hub: Bekijk uw afzenderprestaties en het aantal klachten.
• PowerDMARC-dashboard: Houd de slagings- en mislukkingspercentages van SPF, DKIM en DMARC bij, identificeer ongeautoriseerde afzenders en houd de authenticatie-afstemming bij voor alle verzendbronnen vanuit één enkele interface. De DMARC-rapportagetool van PowerDMARC zet ruwe XML om in bruikbare dashboards.

Voor organisaties die meerdere domeinen of verzendplatforms beheren, kunnen DMARC-beheerde diensten de complexiteit van voortdurende naleving via alle kanalen aan.

Hulpmiddelen om u te helpen aan de regels te blijven voldoen

• SPF, DKIM en DMARC instellingen controleren
• SPF-records opzoeken en controleren
• DKIM record opzoeken
• DMARC record checker
• E-mailheaders analyseren
• Controleer het percentage spam in e-mails via Google Postmaster Tools
• Bekijk de richtlijnen van RFC 5322 voor het opmaken van berichten

Laatste woorden

Het beleid inzake bulkmailverzenders wordt worden actief gehandhaafd bij providers zoals Google, Yahoo, Microsoft en Apple om een veiligere, betrouwbaardere inboxervaring te bevorderen. Niet-naleving leidt nu tot permanente afwijzing van e-mails, waardoor deze vereisten niet meer ter discussie staan voor organisaties die op grote schaal e-mails versturen.

De overeenstemming tussen Google, Yahoo en Microsoft over identieke authenticatiestandaarden, in combinatie met de verheffing van DMARCbis tot een voorgestelde standaard in mei 2026, markeert een definitieve ommekeer in de e-mailsector: authenticatie is niet langer optioneel. Het is de basisvoorwaarde voor toegang tot de inbox.

Begin met SPF, DKIMen DMARC, houd uw lijsten gezond en laat e-mailverificatie in uw voordeel werken!

FAQs

1. Wat gebeurt er als ik niet voldoe aan de vereisten voor bulkverzenders?

Vanaf 2026 worden je e-mails definitief geweigerd (en niet alleen naar de spamfolder verplaatst). Google geeft een 550-foutmelding, Microsoft een 550 5.7.515-foutmelding. De e-mails komen nooit bij de ontvanger terecht, in welke map dan ook.

2. Zijn de regels voor bulkverzenders van toepassing op transactionele e-mails?

De authenticatievereisten (SPF, DKIM, DMARC, PTR-records) gelden voor alle e-mails, inclusief transactionele e-mails. De vereiste om zich met één klik uit te schrijven geldt echter alleen voor marketing- en promotie-e-mails. Transactionele e-mails, zoals orderbevestigingen en wachtwoordherstelberichten, zijn vrijgesteld van de vereiste om een uitschrijfkoptekst op te nemen.

3. Ik verstuur minder dan 5.000 e-mails per dag. Zijn deze regels op mij van toepassing?

De drempel van 5.000 e-mails per dag bepaalt of je als „bulkverzender“ wordt aangemerkt, maar Google, Yahoo en Microsoft raden SPF, DKIM en DMARC aan voor alle afzenders, ongeacht het verzendvolume. Zelfs als je onder de drempel blijft, verbetert authenticatie je afleverbaarheid en beschermt het je domein tegen spoofing.

4. Hanteert Microsoft dezelfde drempelwaarde als Google?

Ja. Vanaf mei 2025 hanteert Microsoft dezelfde limiet van 5.000 e-mails per dag voor zijn consumentendomeinen (Outlook.com, Hotmail.com, Live.com). Microsoft hecht echter meer belang aan de IP-reputatie dan Google, waardoor afzenders die gebruikmaken van gedeelde IP-adressen extra risico lopen.

5. Wat is het verschil tussen een afmeldlink in de voettekst en de RFC 8058-functie voor afmelden met één klik?

Bij een link in de voettekst moet de gebruiker doorklikken en mogelijk door een voorkeurscentrum navigeren. De methode voor uitschrijven met één klik uit RFC 8058 maakt gebruik van speciale e-mailheaders (List-Unsubscribe en List-Unsubscribe-Post), waardoor e-mailproviders zoals Gmail bovenaan de e-mail een ingebouwde knop ‘Uitschrijven’ kunnen weergeven. Deze header-methode is wat Google vereist — niet alleen een zichtbare link in de hoofdtekst van de e-mail.

6. Welke gevolgen heeft DMARCbis voor de vereisten voor bulkverzenders?

DMARCbis (RFC 9989, gepubliceerd in mei 2026) brengt geen directe wijzigingen aan in de vereisten voor bulkverzenders van Google, Yahoo of Microsoft. Het tilt DMARC echter op tot een formele voorgestelde standaard, verscherpt de afstemmingsregels en verbetert de rapportage — waardoor een correcte implementatie van DMARC nog belangrijker wordt voor naleving op de lange termijn. Zie: DMARCbis uitgelegd

• Over
• Laatste berichten

Yunes Tarada

Expert domein- en e-mailbeveiliging bij PowerDMARC

Yunes is teamleider Operations bij PowerDMARC en heeft expertise in e-mailauthenticatie en -beveiliging. Hij is een door Microsoft gecertificeerde Azure Administrator Associate en beschikt over certificeringen zoals CompTIA A+ en vele andere.

Laatste berichten van Yunes Tarada (Bekijk alle berichten)

• Hoe een DKIM-record splitsen - 5 juni 2026
• compauth=fail: Uitleg over Microsoft Composite Authentication - 1 juni 2026
• Is Windows Defender voldoende voor de beveiliging van kleine bedrijven? - 14 mei 2026