Kan ik DMARC instellen zonder DKIM?
door
Laatst bijgewerkt: 8 leestijd: 8 minuten
Het antwoord is ja, je kunt DMARC configureren zonder DKIM.
Maar is het een goed idee om dit te doen?
Dit artikel onderzoekt deze vraag. En bespreekt de gevolgen van het configureren van DMARC zonder DKIM.
Belangrijkste Conclusies
- DMARC kan worden geconfigureerd zonder DKIM, maar deze praktijk wordt over het algemeen niet aanbevolen.
- Het gebruik van DMARC in combinatie met SPF en DKIM verbetert de bezorgbaarheid en authenticiteit van e-mail.
- E-mailclients markeren berichten zonder DKIM vaak als spam, wat de reputatie van de afzender kan schaden.
- SPF en DKIM dienen verschillende doelen, waardoor ze onafhankelijk van elkaar of samen kunnen worden gebruikt zonder op elkaar te vertrouwen.
- Het instellen van DMARC met DKIM kan fout-positieven en problemen met de aflevering van e-mail helpen voorkomen, vooral tijdens het doorsturen.
DMARC-verificatiestandaarden begrijpen
DMARC is een protocol waarmee je e-mailberichten van je domein kunt verifiëren. Het gebruikt een reeks regels om te bepalen of een e-mailbericht legitiem is of niet.
SPF en DKIM zijn twee andere protocollen die worden gebruikt voor verificatiedoeleinden in de context van DMARC.
SPF SPF is een acroniem voor Sender Policy Framework en specificeert hoe mailproviders de identiteit van afzenders kunnen verifiëren en spamberichten kunnen blokkeren.
DKIM is een acroniem voor DomainKeys Identified Mail-het werkt door het bericht te versleutelen op het moment dat het wordt verzonden, waarna het met behulp van cryptografie met openbare sleutels opnieuw wordt ondertekend wanneer het de server van bestemming bereikt.
DMARC, SPF en DKIM - vormen samen de drie pijlers van e-mailverificatie. Ze zorgen ervoor dat je e-mails niet worden vervalst, vervalst of gehackt door derden.
DMARC beoordelingsalgoritme
Het DMARC beoordelingsalgoritme is een booleaanse waarde die rekening houdt met de verificatieresultaten van SPF en DKIM. Daarna wordt bepaald of een e-mailbericht al dan niet als legitiem wordt geaccepteerd.
Het resultaat is afhankelijk van twee mogelijke uitkomsten:
1. Pas: De e-mail voldoet aan zowel SPF- als DKIM-verificatie OF slechts aan één van beide. Het wordt dus als schoon beschouwd. En wordt daarom geaccepteerd door de ontvangende server.
Om het "pas"-authenticatiealgoritme in eenvoudige vergelijkingen om te zetten:
| DMARC authenticatie pass = SPF record met een geldige SPF identifier uitlijning +/of DKIM record met een geldige DKIM identifier uitlijning |
OF (als DKIM ontbreekt)
| DMARC authenticatie pass = SPF record met een geldige SPF identifier uitlijning |
OF (als SPF ontbreekt)
| DMARC authenticatie pass = DKIM record met een geldige DKIM identifier uitlijning |
2. Mislukt: Het bericht is niet geslaagd voor beide SPF- en DKIM-verificatiecontroles, wat aangeeft dat het misvormd is of kwaadaardige inhoud bevat.
Kan ik DMARC instellen zonder DKIM?
DMARC is geslaagd in de volgende drie scenario's:
- zowel geldige SPF als DKIM zijn er
- geldige SPF zonder DKIM is er
- geldige DKIM zonder SPF is er
Dus ja, je kunt DMARC instellen zonder DKIM.
DMARC is gebaseerd op SPF en DKIM voor verificatiedoeleinden, maar het zijn orthogonale technologieën.
In algemene zin is SPF een "padautorisatie" mechanisme, wat betekent dat het een IP toestaat om berichten te versturen namens een bepaald domein. DKIM daarentegen is een mechanisme voor "inhoudsintegriteit", wat betekent dat het ervoor zorgt dat wat je verstuurt niet verandert wanneer het de server bereikt.
Dit betekent dat ze niet van elkaar afhankelijk zijn voor hun effectiviteit; ze kunnen parallel of zelfs onafhankelijk van elkaar worden gebruikt.
Het wordt echter aanbevolen om SPF en DKIM samen met DMARC te gebruiken, omdat ze samen robuustere DMARC-verificatiemogelijkheden bieden. DMARC zonder DKIM is mogelijk, maar wordt niet aanbevolen.
Hoe behandelen e-mailclients e-mails zonder DKIM?
De meeste e-mailclients behandelen e-mails zonder DKIM als spam.
In sommige gevallen kan dit ertoe leiden dat het bericht wordt gemarkeerd door de e-mailserver van de ontvanger en als spam wordt aangemerkt.
Sommige e-mailserviceproviders kunnen uw berichten ook aan ontvangers tonen als afkomstig van een ander domein dan wat u bedoelde.
In Outlook en Gmail bijvoorbeeld, zal je e-mail zonder DKIM worden weergegeven in de inbox van de ontvanger met het juiste VAN-adres, maar "verzonden door" of "via" iemand anders.
Dit kan verwarrend zijn voor ontvangers en hen zelfs doen geloven dat iemand anders hen het bericht stuurde in plaats van jij.
Voorbeeld #1 (Outlook)
Afb.1 Zonder DKIM: Outlook toont het "verzonden door" adres in de inbox van de ontvanger.
Afb.2 Met DKIM: Outlook toont alleen het VAN-adres.
Voorbeeld #2 (Gmail)
Afb.3 Zonder DKIM: Gmail toont een "via"-adres in de inbox van de ontvanger.
Afb.4 Met DKIM: Gmail toont alleen het VAN-adres.
Maar als DKIM aanwezig is in je e-mail, zullen de bovengenoemde problemen zich waarschijnlijk niet voordoen. De verzendende server wordt niet meer getoond op het scherm van de klant, dus er is minder kans dat deze in spam- of junkmappen terechtkomt. En de enige informatie die ze hebben is het VAN-adres, wat een hoge vertrouwensfactor betekent voor verzendende bedrijven die op zoek zijn naar klanten via e-mailmarketingstrategieën.
Gevolgen van het instellen van DMARC met en DMARC zonder DKIM
Het instellen van DMARC met DKIM kan helpen voorkomen dat je e-mailberichten worden gemarkeerd door spamfilters en worden geblokkeerd.
Het instellen van DMARC zonder DKIM kan echter resulteren in een toename van fout-positieven en vertragingen wanneer een ontvanger het e-mailadres van de afzender probeert te verifiëren.
In dit gedeelte bekijken we enkele mogelijke gevolgen van het instellen van DMARC met en DMARC zonder DKIM.
1. Bij het verifiëren van e-mailvertrouwen
Met alleen de SPF-gebaseerde aanpak zou de DMARC-bescherming beperkt zijn tot de onzichtbare "envelop afzender" adressen (MAIL FROM of Return-path). Deze worden gebruikt voor het ontvangen van bounces (Non-Delivery Reports) van afzenders.
Wanneer DKIM echter wordt gecombineerd met SPF, wordt de DMARC bescherming ingeschakeld voor het "header From:" adres en voor de adressen die zichtbaar zijn voor ontvangers. Dit geeft meer vertrouwen in e-mail dan wanneer DMARC alleen met SPF wordt gebruikt.
2. Bij het doorsturen van e-mails
SPF-authenticatie werkt door een e-mail met je SPF-record (het IP-adres van de server waarvan je e-mails wilt versturen) naar een andere server te sturen. De andere server controleert dan of dit IP adres wel of niet bij hen geregistreerd is en stuurt hun eigen SPF record terug-als ze er geen hebben, weigeren ze het verzoek.
In het geval van het doorsturen van e-mail kan de SPF-verificatie mislukken omdat er geen garanties zijn dat het IP-adres van de tussenliggende server op de SPF-lijst voor het verzendende domein staat. Als gevolg hiervan kan een legitieme e-mail zonder een DKIM handtekening de DMARC authenticatie niet doorstaan, wat resulteert in een vals negatief resultaat.
Als DKIM op dit domein was geconfigureerd, zou de fout-negatieve melding niet zijn opgetreden.
Maar waarom?
De DKIM handtekening (d=) is gekoppeld aan de e-mail body zelf, terwijl SPF is gekoppeld aan de 'Return-Path' header.
Bij het doorsturen van e-mails wordt de e-mail niet aangeraakt of gewijzigd, waardoor de DKIM-handtekening (d=) in de e-mail intact blijft. Dit betekent dat de identiteit van de afzender kan worden geverifieerd met het openbare sleutelpaar en het privésleutelpaar in de e-mailbody en dat de DMARC-authenticatie is geslaagd.
SPF daarentegen is gekoppeld aan de 'Return-Path' header, die verandert bij het doorsturen van e-mails. De geldigheid ervan wordt dus niet geverifieerd, wat resulteert in een vals negatief resultaat.
Concluderend: SPF-authenticatie mislukt door het doorsturen van e-mails, maar DKIM overleeft het doorsturen van e-mails omdat het is gekoppeld aan de e-mailtekst. Daarom is het belangrijk om DMARC ook met DKIM in te stellen.
3. Wanneer u het IP-adres bijwerkt
Wanneer je een e-mail verstuurt, controleert de ontvangende server de header van de e-mail om te zien of er mee geknoeid is. Als dat zo is, wijst de ontvangende server je bericht af en stuurt hij je een melding.
Hier komt SPF om de hoek kijken. SPF controleert of je IP-adres als geldig staat vermeld in het SPF-record van de verzendende server (met andere woorden, of er geen gespoofde IP-adressen zijn).
Als je IP adres verandert, dan moet je SPF record bijgewerkt worden met het nieuwe adres. De tijd die dit in beslag neemt, hangt af van hoe vaak je je IP-adres wijzigt - in de meeste gevallen duurt het tot 48 uur voordat het nieuwe SPF-record in werking treedt.
Wat gebeurt er als je e-mailprovider een nieuw IP toevoegt aan zijn bereik? In dat geval kan de bezorging van je e-mail vertraging oplopen vanwege de propagatietijd van de update van het SPF-record.
Als je echter zowel DKIM als SPF hebt geconfigureerd, kun je dit probleem omzeilen door de cryptografische handtekening van DKIM te gebruiken om te bewijzen dat de mailserver op [email protected] geautoriseerd was om het te versturen.
Dit betekent dat zelfs als hun IP-bereik verandert, DKIM nog steeds in staat is om te verifiëren dat e-mails die afkomstig zijn van bepaalde domeinen authentiek en legitiem zijn.
DMARC gebruiken zonder DKIM: de mogelijke OK/FAIL scenario's
Als je de DKIM- en SPF-mechanismen gebruikt, gebruik je in feite twee verschillende hulpmiddelen om hetzelfde doel te bereiken: het voorkomen van spoofing.
Ze werken allebei onafhankelijk van elkaar, maar ze kunnen ook onafhankelijk van elkaar falen. SPF kan bijvoorbeeld onafhankelijk van DKIM falen en DKIM kan onafhankelijk van SPF falen.
Hier zijn de vier mogelijke OK/FAIL-scenario's van het instellen van DMARC zonder of zonder DKIM:
| Scenario | Betekenis | Status e-mailaflevering |
| SPF ok, DKIM ok | Het zorgt ervoor dat e-mails worden verzonden vanaf een legitieme bron. De server is geautoriseerd om mail te versturen omdat het een geldig SPF record en een geldige DKIM handtekening heeft. | Geleverd in inbox |
| SPF ok, DKIM mislukt | Dit betekent dat de mail is afgeleverd door een geautoriseerde server, maar dat de DKIM-handtekening niet is gevalideerd. | Afgeleverd in spam- of junkmap |
| SPF mislukt, DKIM ok | Dit betekent dat de DKIM-handtekening van de mail geldig is, maar dat de verzendende server niet gemachtigd is om de mail af te leveren. | Afgeleverd in spam- of junkmap |
| SPF mislukt, DKIM mislukt | Als zowel SPF als DKIM falen, wordt een e-mail als spoofed beschouwd en geweigerd door de DMARC-mailserver van de ontvanger. | Niet geleverd / Afgewezen |
Een volledige DMARC-implementatie is het allerbelangrijkste!
SPF en DKIM zijn de meest gebruikte e-mailbeschermingsmechanismen voor het implementeren van een correct DMARC-record om e-mailspoofing te voorkomen. Wanneer een goede DMARC-implementatie wordt toegepast op uw bestaande e-mailinfrastructuur, worden uw e-mailberichten afgeleverd zoals bedoeld. Dit betekent minder spamklachten, minder fout-positieven in blacklists en betere deliverabilitystatistieken voor al uw abonnees.
PowerDMARC biedt een complete DMARC implementatieservices met DKIM-, SPF- en DMARC-beleidsregels voor uw domein. Hierdoor kunt u betrouwbaardere resultaten behalen met uw e-mails.
DKIM record genereren online of pak uw gratis DMARC proefversie voor een complete oplossing voor de complexe en steeds veranderende wereld van e-mailbeveiliging.
FAQ
Kan DMARC zonder DKIM?
Ja, DMARC kan zonder DKIM. DMARC vereist dat een e-mail ofwel SPF of DKIM moet passeren en dat het passmechanisme is uitgelijnd met het "Van" domein. Dus als een e-mail de SPF-controle doorstaat en goed is uitgelijnd met SPF, wordt hij door DMARC geaccepteerd, zelfs als DKIM niet is geconfigureerd of als de DKIM-handtekening mislukt.
Kan DMARC zonder SPF?
Ja. DMARC vereist dat ten minste één authenticatiemethode slaagt en is uitgelijnd. Als je e-mail voldoet aan DKIM met de juiste afstemming, voldoet hij aan DMARC, zelfs zonder SPF.
Wat is DMARC afstemming?
Uitlijning betekent dat het domein dat is geverifieerd door SPF of DKIM overeenkomt met het domein in het zichtbare "Van" adres dat de ontvanger ziet. SPF of DKIM alleen is niet genoeg; het brondomein moet overeenkomen met het geclaimde domein van de afzender om DMARC te laten slagen.
Expert domein- en e-mailbeveiliging bij PowerDMARC
Ahona is marketingmanager bij PowerDMARC en heeft meer dan vijf jaar ervaring met het schrijven over cybersecurity, gespecialiseerd in domein- en e-mailbeveiliging. Ahona heeft een masterdiploma in journalistiek en communicatie, en heeft sinds 2019 haar carrière in de beveiligingssector verder uitgebouwd.
Laatste berichten van Ahona Rudra (Bekijk alle berichten)
- DMARC MSP-casestudy: hoe Digital Infinity IT Group het DMARC- en DKIM-beheer voor klanten heeft gestroomlijnd met PowerDMARC - 21 april 2026
- Wat is DANE? Uitleg over DNS-gebaseerde authenticatie van benoemde entiteiten (2026) - 20 april 2026
- VPN-beveiliging voor beginners: aanbevolen werkwijzen om je privacy te beschermen - 14 april 2026
