SPF, DKIM en DMARC: wat heb je nodig voor mail via je eigen domein?

Je verstuurt mails vanuit info@jouwbedrijf.be — netjes. Maar als klanten je mails niet ontvangen, of als ze in spam belanden, dan is de kans groot dat je SPF, DKIM of DMARC niet correct hebt ingesteld. Hier lees je wat die drie termen betekenen en wat je minimaal nodig hebt.

Waarom mails in spam belanden

Een e-mailserver die jouw mail ontvangt, weet niet automatisch of jij écht de eigenaar bent van jouwbedrijf.be. Iedereen kan technisch gezien een mail sturen met dat afzendadres — dat heet spoofing. SPF, DKIM en DMARC zijn drie DNS-records die bewijzen dat jij de rechtmatige afzender bent.

Ontbreken die records, dan scoort je mail lager op betrouwbaarheid. Bij strikte mailproviders (Gmail, Outlook, grote bedrijven) belandt hij meteen in spam of wordt hij geweigerd.

SPF — wie mag mail versturen?

SPF (Sender Policy Framework) is een lijst van servers die mail mogen versturen namens jouw domein.

Je stelt het in als een TXT-record in je DNS. Het ziet er zo uit:

v=spf1 include:_spf.google.com ~all

Dit zegt: “Alleen Google-servers mogen mail sturen vanuit mijn domein.” De ~all aan het einde betekent dat andere afzenders als verdacht worden gemarkeerd (maar niet direct geweigerd — dat doet DMARC).

Wat je nodig hebt: het SPF-record van je e-mailprovider. Google Workspace, Zoho, Microsoft 365 — ze geven elk hun eigen SPF-instructies.

DKIM — is de mail authentiek?

DKIM (DomainKeys Identified Mail) voegt een digitale handtekening toe aan elke mail die je verstuurt. De ontvangende server kan die handtekening controleren via een publieke sleutel in je DNS.

Zonder DKIM weet de ontvanger niet of je mail onderweg niet is aangepast.

Je DKIM-record ziet er zo uit (vereenvoudigd):

default._domainkey.jouwbedrijf.be  TXT  "v=DKIM1; k=rsa; p=MIGfMA0..."

De exacte sleutel krijg je van je e-mailprovider. Je hoeft hem niet zelf aan te maken — alleen in te voegen in je DNS.

DMARC — wat gebeurt er bij mislukking?

DMARC (Domain-based Message Authentication, Reporting and Conformance) koppelt SPF en DKIM samen en bepaalt wat er moet gebeuren als een mail geen van beide doorstaat.

Een eenvoudig DMARC-record:

_dmarc.jouwbedrijf.be  TXT  "v=DMARC1; p=none; rua=mailto:info@jouwbedrijf.be"

• p=none: mails worden niet geweigerd, je ontvangt alleen rapporten. Goed om te beginnen.
• p=quarantine: verdachte mails gaan naar spam.
• p=reject: verdachte mails worden volledig geweigerd. Maximale beveiliging, maar pas instellen als SPF en DKIM zeker correct zijn.

Begin met p=none en verhoog naar p=quarantine of p=reject als je zeker weet dat je eigen mails correct gaan.

De minimumconfiguratie

Voor zakelijke mail via je eigen domein heb je minimaal nodig:

1. SPF — van je e-mailprovider
2. DKIM — van je e-mailprovider
3. DMARC — zelf aanmaken, begin met p=none

Zonder deze drie records riskeer je dat zakelijke mails niet aankomen, zeker bij ontvangers die Gmail of Microsoft 365 gebruiken.

Hoe check je of alles goed staat?

Gebruik een gratis tool zoals MXToolbox of Mail Tester. Voer je domein in en je ziet meteen wat ontbreekt of fout staat.

Wanneer heb je hulp nodig?

Het instellen van deze records is technisch, maar niet ingewikkeld als je weet wat je doet. Problemen die ik vaak zie:

• Twee SPF-records tegelijk (dat mag niet — voeg alles samen in één record)
• DKIM-sleutel verkeerd gekopieerd (één karakter verkeerd is genoeg om te falen)
• DMARC-record met een typefouten in de syntax

Als je mails consistent in spam belanden of geweigerd worden, los ik dit op in een uitgebreide sessie. Ik controleer je DNS-records, stel alles correct in en verifieer het resultaat.

Heb je nog geen zakelijk e-mailadres? Lees eerst hoe je een zakelijk e-mailadres via je eigen domeinnaam aanmaakt.