• Veiligheid bij verkoopactiviteiten: 5 manieren om te voorkomen dat uw verkoopteam op phishers lijkt

Veiligheid bij verkoopactiviteiten: 5 manieren om te voorkomen dat uw verkoopteam op phishers lijkt

Blog, E-mailbeveiliging

Ziet uw verkoopteam er per ongeluk uit als phishers? Ontdek 5 beproefde manieren om uw acquisitie-e-mails te beveiligen en ervoor te zorgen dat ze daadwerkelijk in de inbox terechtkomen.

door Milena Baghdasaryan

Laatst bijgewerkt:
6 leestijd: 6 minuten
Veiligheid bij verkoopactiviteiten: 5 manieren om te voorkomen dat uw verkoopteam op phishers lijkt
Inhoudsopgave-

Belangrijkste punten:

  • SPF, DKIM en DMARC moeten daadwerkelijk worden toegepast, niet alleen worden gepubliceerd – de beveiliging van e-mails voor verkoopdoeleinden begint met het instellen van DMARC op p=reject
  • Het versturen van ongevraagde e-mails vanaf je hoofddomein brengt risico’s met zich mee – een speciaal subdomein beperkt de veiligheidsrisico’s van dergelijke e-mails
  • DMARC RUA-rapporten geven inzicht in alle tools die namens uw domein e-mails versturen, waardoor ze onmisbaar zijn voor het opsporen van beveiligingslekken in e-mails voor verkoopdoeleinden
  • Spamfilters kunnen geen onderscheid maken tussen een phishing-e-mail en een slecht geschreven verkoopmail – dringende bewoordingen, nep-threads en een overdaad aan links hebben allemaal een negatieve invloed op de afleverbaarheid
  • BIMI toont uw geverifieerde logo nog voordat de e-mail wordt geopend, waardoor veilige verkoopmails direct herkenbaar zijn voor nieuwe potentiële klanten

Ik zal eerlijk zijn: toen een potentiële klant voor het eerst op een van onze cold e-mails reageerde met de vraag „Is dit een poging tot phishing?“, wist ik niet of ik moest lachen of in paniek raken. We hadden niets verkeerds gedaan. De e-mail was legitiem, het aanbod was echt en de verkoper had de tijd genomen om hem persoonlijk aan te passen. Maar voor die potentiële klant? Het voldeed aan alle kenmerken van phishing.

Dat moment is me bijgebleven. Want het probleem was niet de e-mail zelf, maar alles wat erachter schuilging. Geen DKIM-handtekening. Een gebrekkig SPF-record. DMARC stond op p=none en lag stof te verzamelen. Vanuit het perspectief van de mailserver waren we praktisch anoniem.

En dit is niet alleen een probleem op het gebied van e-mailbezorgbaarheid. In het Internet Crime Report van de FBI wordt ‘Business Email Compromise’ jaar na jaar aangemerkt als een van de duurste cyberdreigingen. Potentiële klanten zijn zich hiervan bewust. Ze zijn getraind om op hun hoede te zijn, en uw acquisitie-e-mails voldoen – of u dat nu wilt of niet – vaak aan dezelfde kenmerken als een phishing-e-mail.

Het beveiligen van e-mails voor acquisitie is niet alleen een technisch probleem, maar ook een kwestie van omzet. Als je acquisitieberichten eruitzien als een phishingpoging, maakt het niet uit hoe goed je tekst ook is. Dit is dus wat echt helpt: vijf dingen die je team kan doen – sommige technisch, andere gedragsmatig – om ervoor te zorgen dat je acquisitieberichten worden behandeld als de legitieme communicatie die ze zijn.

1. Zorg ervoor dat SPF, DKIM en DMARC daadwerkelijk werken – en niet alleen maar zijn ingesteld

1.-Zorg ervoor dat SPF, DKIM en DMARC daadwerkelijk werken – niet alleen op papier--

De meeste teams waarmee ik spreek, hebben authenticatie ‘ingesteld’. Wat dat meestal inhoudt: er is ergens een SPF-record, DKIM is ingeschakeld bij de primaire e-mailprovider en DMARC staat ingesteld op p=none. Dat is geen authenticatie, dat is slechts de schijn van authenticatie.

Dit is wat deze drie dingen eigenlijk doen als ze goed werken:

  • SPF geeft aan ontvangende mailservers door welke IP-adressen namens uw domein mogen verzenden. Als uw verkooptool niet in die lijst staat, worden de e-mails ervan zonder toestemming naar u verzonden, zelfs als u deze zelf hebt geconfigureerd.
  • DKIM voorziet uw e-mails van een cryptografische handtekening. Dit bewijst dat het bericht tijdens het verzenden niet is gewijzigd en dat het daadwerkelijk afkomstig is van uw infrastructuur.
  • DMARC is de handhavingslaag. Het bepaalt: als SPF of DKIM falen, moet je het volgende doen: controleren, in quarantaine plaatsen of afwijzen. En het stuurt je rapporten waarin precies wordt aangegeven wat wel en wat niet wordt toegelaten.

Wat mensen vaak over het hoofd zien, is dat ze DMARC verder moeten doorvoeren dan alleen p=none. Ja, begin daar maar mee; je hebt eerst inzicht nodig voordat je maatregelen kunt nemen. Maar als je voor altijd bij p=none blijft, zeg je in feite: „Ik weet dat er spoofing plaatsvindt, en ik vind dat prima.“ Streef naar p=reject. Je afleverbaarheid zal je dankbaar zijn.

2. Gebruik een subdomein voor het versturen van ongevraagde e-mails

Voor sommige teams is dit moeilijk te verkopen, maar als je eenmaal hebt gezien hoe een cold outreach-campagne de afzenderreputatie van een domein de grond in boort, ga je nooit meer terug naar de oude manier.

Je primaire domein – het domein van waaruit je transactiemails, klantcommunicatie en nieuwsbrieven worden verstuurd – is te waardevol om te riskeren bij het benaderen van onbekende prospects. Eén slecht gerichte reeks e-mails, één gekochte lijst, één mislukte campagne, en je krijgt te maken met een piek in het aantal spamklachten die zich niet beperkt tot je outreach-activiteiten. Het heeft gevolgen voor alles.

Maak in plaats daarvan een speciaal subdomein aan. Bijvoorbeeld mail.uwbedrijf.com of outreach.uwbedrijf.com. Verifieer dit apart met eigen SPF-, DKIM- en DMARC-records. Nu verloopt uw cold outreach in een apart kanaal; als er iets misgaat, blijft de schade beperkt.

Bij de meeste tools voor sales engagement kun je dit vrij eenvoudig instellen. Het is meestal lastiger om het team ervan te overtuigen dat het de moeite waard is om hier tijd in te steken. Maar dat is het zeker.

3. Controleer alle tools die e-mails versturen vanuit uw domein

Hier is een vraag: kun je alle tools in je systeem noemen die e-mails versturen via je domein? Niet alleen je belangrijkste e-mailprovider, maar echt alle tools. Je follow-up-reeksen in je CRM. De bevestigingsmails van je agendaprogramma. Je warm-up-tool. Die integratie die iemand acht maanden geleden heeft ingesteld en die niemand zich meer herinnert.

De meeste teams kunnen hier geen duidelijk antwoord op geven. En dat is een probleem, want elk van die tools is ofwel correct geauthenticeerd, ofwel niet. Als dat niet het geval is, voldoen die e-mails niet aan de SPF- of DKIM-vereisten, wat betekent dat ze voor de ontvangende server als vervalst overkomen, ongeacht wat er daadwerkelijk in de inhoud staat.

Dat kom je te weten via DMARC-overzichtsrapporten (RUA-rapporten). Daarin zie je alle bronnen die namens jouw domein e-mails versturen, uitgesplitst naar het percentage geslaagde en mislukte verificaties. Het is vaak verrassend: je komt tools tegen waarvan je het bestaan was vergeten, oude integraties die nog steeds actief zijn en diensten van derden die nooit aan je SPF-record zijn toegevoegd.

  • Haal je DMARC RUA-rapporten op en maak een lijst van alle afzenders
  • Voor elk van deze: staat het in je SPF-record? Wordt er een DKIM-handtekening gebruikt?
  • Als er iets niet goed werkt: corrigeer de gegevens of verwijder de bron

4. Uw medewerkers sturen phishing-mails zonder dat ze het doorhebben

Ik bedoel dat niet letterlijk, maar vanuit het perspectief van een spamfilter zijn sommige wervingsteksten niet van het echte werk te onderscheiden. Spamfilters kijken niet naar de intentie, maar naar patronen. En veel veelvoorkomende patronen in verkoopmails zijn dezelfde die phishers gebruiken.

Een aantal dingen die ik vertegenwoordigers heb zien doen en die de afleverbaarheid ernstig schaden:

  • De truc met de nep-thread — Onderwerpregels als ‘Re: ons gesprek’ of ‘Naar aanleiding van ons telefoongesprek’, terwijl er geen eerdere communicatie heeft plaatsgevonden. Potentiële klanten hebben hier een hekel aan, spamfilters vangen het op en het ondermijnt het vertrouwen in een mum van tijd.
  • Het creëren van een gevoel van urgentie — ‘Beperkte tijd’, ‘Reageer nu’, ‘Mis dit niet’ — verpakt in een ongevraagde e-mail van iemand die de ontvanger nog nooit heeft gehoord. Klassieke phishing-taal.
  • Te veel links — Drie links met tracking, een ingesloten agenda en een pdf-bijlage in een eerste, ongevraagde e-mail. Dat is geen outreach, dat is een rode vlag.
  • Zwarte lijsten — Het versturen van e-mails naar niet-geverifieerde of aangekochte contacten zorgt ervoor dat het percentage teruggestuurde e-mails en het aantal klachten stijgt. Beide factoren hebben een verwoestend effect op uw afzenderreputatie.

Een sessie van 30 minuten met je verkoopteam waarin deze patronen aan bod komen, levert direct resultaat op in de vorm van hogere open rates en een betere afleverbaarheid. Maak duidelijk dat dit rechtstreeks van invloed is op de vraag of hun e-mails in de inbox terechtkomen of verloren gaan.

5. Gebruik BIMI zodat je e-mails er al op jou lijken nog voordat ze worden geopend

5. Gebruik BIMI zodat je e-mails er al op jou lijken nog voordat ze worden geopend

Tot nu toe ging het er vooral om niet verdacht over te komen. Bij BIMI gaat het erom actief betrouwbaar over te komen, en dat is een verschil.

BIMI (Brand Indicators for Message Identification) plaatst uw geverifieerde merklogo naast uw afzendernaam in de inbox. Nog voordat de potentiële klant ook maar één woord leest, ziet hij uw logo. Die visuele herkenning in een fractie van een seconde is van enorm belang bij cold outreach, waarbij de ontvanger nog geen relatie met u heeft en in een oogwenk beslist of deze e-mail zijn tijd waard is.

Het is ook goed om te weten wat er nodig is om BIMI te laten werken: je DMARC-beleid moet zijn ingesteld op p=quarantine of p=reject. De implementatie van BIMI dwingt je dus als het ware om af te maken waar je mee begonnen bent op het gebied van authenticatie; dat is een mooie ingebouwde stimulans.

De installatie omvat het aanmaken van een BIMI-DNS-record dat verwijst naar een SVG-versie van uw logo, en het aanvragen van een Verified Mark Certificate (VMC) als u wilt dat uw logo wordt weergegeven in Gmail en andere grote e-mailprogramma’s. Het vergt wat meer werk dan het omzetten van een schakelaar, maar het vertrouwenssignaal dat hierdoor wordt gecreëerd is authentiek en wordt in de loop van de tijd steeds sterker naarmate uw merk herkenbaarder wordt in de inboxen van uw doelgroep.

Conclusie: niet je verkopers zijn het probleem, maar je infrastructuur

Toen die potentiële klant vroeg of onze e-mail een poging tot phishing was, voelde de medewerker zich schuldig. Maar het was niet hun schuld. De e-mail zelf was in orde. Wat niet klopte, waren alle onzichtbare aspecten: de authenticatielaag, de domeinconfiguratie en de verzendpraktijken waardoor een legitieme e-mail eruitzag als een bedreiging.

Zorg dat de infrastructuur in orde is, dan lost het probleem zich grotendeels vanzelf op. Zorg ervoor dat SPF, DKIM en DMARC correct worden toegepast. Leid cold outreach via een speciaal subdomein. Controleer elke tool die in aanraking komt met uw domein. Train uw medewerkers in de patronen die de afleverbaarheid negatief beïnvloeden. En voeg BIMI toe zodra u daar klaar voor bent.

Dit is allemaal geen glamoureus werk. Maar het maakt wel het verschil tussen een verkoopteam dat in de inbox terechtkomt en een team dat zich afvraagt waarom er nooit reacties komen.

Laatste berichten van Milena Baghdasaryan (Bekijk alle berichten)
Laatst bijgewerkt:
Het formaat van het SOA-serienummer is ongeldig: oorzaken en oplossingenHet SOA-serienummerformaat is ongeldig – Oorzaken en oplossingenMXtoolbox-recensie – Functies, gebruikerservaringen, voor- en nadelen (2026)MXtoolbox-recensie: functies, gebruikerservaringen, voor- en nadelen (2026)