DMARC is niet wettelijk verplicht, maar wordt steeds meer vereist door grote e-mailproviders. Google en Yahoo vereisen sinds 2024 dat bulk-verzenders een DMARC-record hebben. Bovendien is DMARC een effectief middel tegen phishing en e-mailspoofing. De Nederlandse overheid vereist DMARC voor alle overheidsorganisaties. Wij adviseren elk bedrijf om DMARC in te stellen.

E-mail Deliverability Check: Hoe Werkt Het?

Q: Wat zijn SPF, DKIM en DMARC?

SPF (Sender Policy Framework) definieert welke servers namens je domein e-mail mogen versturen. DKIM (DomainKeys Identified Mail) voegt een digitale handtekening toe aan uitgaande e-mails om de authenticiteit te bevestigen. DMARC (Domain-based Message Authentication, Reporting & Conformance) combineert SPF en DKIM en bepaalt wat er moet gebeuren met e-mails die de verificatie niet doorstaan.

Q: Waarom belanden mijn e-mails in de spamfolder?

De meest voorkomende oorzaken zijn: ontbrekende of onjuiste SPF-, DKIM- en DMARC-records, je mailserver staat op een blacklist, je domein heeft een lage reputatie, de inhoud van je e-mails triggert spamfilters, of je verstuurt e-mails vanaf een gedeeld IP-adres dat door andere gebruikers is misbruikt.

Q: Hoe stel ik SPF in voor mijn domein?

Een SPF-record is een TXT-record in je DNS. Een basis SPF-record ziet er zo uit: v=spf1 include:_spf.google.com ~all (voor Google Workspace) of v=spf1 include:spf.protection.outlook.com ~all (voor Microsoft 365). Het record somt alle servers op die namens je domein e-mail mogen versturen. Gebruik de E-mail Deliverability Check om te controleren of je SPF-record correct is ingesteld.

Q: Hoe lang duurt het voordat wijzigingen effect hebben?

Wijzigingen in SPF, DKIM en DMARC-records zijn DNS-records en volgen de normale DNS-propagatietijd. Meestal zijn wijzigingen binnen 1-4 uur zichtbaar, afhankelijk van de TTL-waarde. Na het doorvoeren van wijzigingen adviseren we om minimaal 24 uur te wachten voordat je de deliverability opnieuw test, zodat alle ontvangende servers de nieuwe records hebben opgepikt.

De E-mail Deliverability Check controleert of je SPF-, DKIM- en DMARC-records correct zijn ingesteld, zodat je e-mails niet in de spamfolder van ontvangers belanden. Voer je domeinnaam in en je ziet direct welke e-mailauthenticatie-records aanwezig zijn, of ze correct zijn geconfigureerd en wat je kunt verbeteren. Op deze pagina leggen we uit wat SPF, DKIM en DMARC zijn en waarom ze essentieel zijn voor je e-mailaflevering.

Waarom e-mailauthenticatie?

E-mail is van nature onbeveiligd: zonder extra maatregelen kan iedereen een e-mail versturen die lijkt te komen van jouw domein. Dit wordt e-mailspoofing genoemd en is de basis van veel phishing-aanvallen. E-mailauthenticatie-protocollen — SPF, DKIM en DMARC — zijn ontwikkeld om dit probleem aan te pakken.

Zonder correcte e-mailauthenticatie kan het volgende gebeuren:

Je e-mails belanden in spam: ontvangende mailservers (Gmail, Outlook, etc.) vertrouwen e-mails minder als ze niet kunnen verifieren dat de afzender legitiem is.
Je domein wordt misbruikt voor phishing: aanvallers kunnen e-mails versturen die lijken te komen van jouw domein om klanten, medewerkers of leveranciers op te lichten.
Je domeinreputatie daalt: als er vanuit je domein spam of phishing wordt verstuurd (door derden), daalt de reputatie van je domein bij e-mailproviders, waardoor ook je legitieme e-mails worden geblokkeerd.

De drie protocollen werken samen als een verdedigingslinie. SPF bepaalt wie mag versturen, DKIM bewijst dat het bericht niet is gewijzigd, en DMARC bepaalt wat er moet gebeuren als de verificatie faalt.

SPF uitgelegd

SPF

Sender Policy Framework

SPF is een DNS-record (TXT-type) dat definieert welke mailservers namens je domein e-mail mogen versturen. Wanneer een ontvangende mailserver een e-mail ontvangt van je domein, controleert deze het SPF-record om te verifieren of de verzendende server is geautoriseerd.

Een SPF-record ziet er bijvoorbeeld zo uit:

v=spf1 include:_spf.google.com include:sendgrid.net -all

Dit record zegt: "alleen Google Workspace en SendGrid mogen e-mails versturen namens dit domein. Alle andere servers worden geweigerd (-all)."

Veelgemaakte fouten bij SPF:

Geen SPF-record ingesteld (veel voorkomend bij nieuwe domeinen).
Te veel include-statements: SPF staat maximaal 10 DNS-lookups toe. Overschrijding resulteert in een permanent falenend SPF.
+all in plaats van -all of ~all: dit staat iedereen toe om namens je domein te versturen, waardoor SPF nutteloos wordt.

DKIM uitgelegd

DKIM

DomainKeys Identified Mail

DKIM voegt een digitale handtekening toe aan elke uitgaande e-mail. De ontvangende mailserver kan deze handtekening verifieren met een publieke sleutel die in je DNS is opgeslagen. Dit bewijst dat het bericht daadwerkelijk van je domein afkomstig is en niet is gewijzigd tijdens het transport.

DKIM werkt met een sleutelpaar:

Prive-sleutel: wordt door je mailserver gebruikt om elke uitgaande e-mail te ondertekenen. Deze sleutel is geheim en staat op je mailserver.
Publieke sleutel: staat als TXT-record in je DNS en wordt door ontvangende servers gebruikt om de handtekening te verifieren.

Het DKIM-record staat op een subdomein, bijvoorbeeld: selector._domainkey.voorbeeld.nl. De "selector" wordt door je e-mailprovider bepaald en maakt het mogelijk om meerdere DKIM-sleutels te gebruiken (bijvoorbeeld voor verschillende verzendservices).

DMARC uitgelegd

DMARC

Domain-based Message Authentication, Reporting & Conformance

DMARC bouwt voort op SPF en DKIM en voegt twee cruciale elementen toe: een beleid dat aangeeft wat ontvangende servers moeten doen met e-mails die de verificatie niet doorstaan, en een rapportagemechanisme dat je inzicht geeft in wie er namens je domein e-mails verstuurt.

Een DMARC-record ziet er bijvoorbeeld zo uit:

v=DMARC1; p=quarantine; rua=mailto:dmarc@voorbeeld.nl; pct=100

Dit record zegt: "plaats e-mails die niet door SPF en DKIM komen in quarantaine (spamfolder) en stuur rapportages naar dmarc@voorbeeld.nl."

De drie DMARC-beleidsniveaus:

p=none: geen actie ondernemen, alleen rapporteren. Ideaal als startpunt om te monitoren wie er e-mails verstuurt namens je domein.
p=quarantine: verdachte e-mails naar de spamfolder verplaatsen. Een goede tussenstap na het monitoren.
p=reject: verdachte e-mails volledig weigeren. Het strengste en veiligste beleid, maar stel dit pas in als je zeker bent dat alle legitieme bronnen correct zijn geconfigureerd.

Hoe de tool werkt

De E-mail Deliverability Check is eenvoudig te gebruiken:

Voer je domeinnaam in — typ het domein dat je wilt controleren, bijvoorbeeld voorbeeld.nl.
Klik op 'Controleren' — de tool stuurt een verzoek naar onze server, die de SPF-, DKIM- en DMARC-records opzoekt in de DNS van je domein.
Bekijk de resultaten — per protocol wordt weergegeven of het record aanwezig is, of het correct is geconfigureerd en wat er eventueel verbeterd kan worden.

De controle wordt server-side uitgevoerd, waardoor je altijd de meest actuele DNS-records ziet, ongeacht je lokale cache.

Resultaten interpreteren

De tool toont per protocol een status met kleurcodering:

Geslaagd (groen): het record is aanwezig en correct geconfigureerd. Geen actie nodig.
Waarschuwing (oranje): het record is aanwezig maar kan verbeterd worden. Bijvoorbeeld een SPF-record met ~all (softfail) in plaats van -all (hardfail), of een DMARC-beleid op none in plaats van quarantine of reject.
Niet gevonden (rood): het record ontbreekt volledig. Dit is het meest urgente probleem en dient zo snel mogelijk te worden opgelost.

De tool geeft bij elke bevinding een concrete aanbeveling over hoe je het probleem kunt oplossen, inclusief voorbeeldrecords die je kunt kopieren en in je DNS-configuratie kunt plakken.

Premium Email Audit

De gratis E-mail Deliverability Check controleert je DNS-records. De Premium Email Audit gaat aanzienlijk verder met een diepgaande analyse van je volledige e-mailconfiguratie:

SPF/DKIM/DMARC deep-analyse: niet alleen aanwezigheid maar ook configuratiekwaliteit, alignment en best practices.
Blacklist-controle: controle of je domein of IP-adres op een van de 100+ bekende blacklists staat.
MX-configuratie: controle van je mailserver-instellingen, inclusief reverse DNS en HELO/EHLO-verificatie.
TLS-controle: verificatie of je mailserver versleutelde verbindingen ondersteunt (STARTTLS).
Professioneel rapport: een compleet overzicht met bevindingen, risicobeoordeling en geprioriteerde aanbevelingen.

Veelgestelde vragen

Wat zijn SPF, DKIM en DMARC?

SPF, DKIM en DMARC zijn drie e-mailauthenticatie-protocollen die samenwerken om te verifieren dat e-mails echt van jouw domein afkomstig zijn. SPF definieert welke servers namens je domein mogen versturen. DKIM voegt een digitale handtekening toe die bewijst dat het bericht niet is gewijzigd. DMARC combineert beide en bepaalt wat er moet gebeuren met e-mails die de verificatie niet doorstaan.

Waarom belanden mijn e-mails in de spamfolder?

De meest voorkomende oorzaak is het ontbreken van correcte SPF-, DKIM- en DMARC-records. Zonder deze records kunnen ontvangende mailservers niet verifieren dat je e-mails legitiem zijn en behandelen ze deze als potentiele spam. Andere oorzaken zijn: je IP-adres staat op een blacklist, je domein heeft een lage reputatie, de inhoud triggert spamfilters, of je verstuurt vanaf een gedeeld IP-adres dat door anderen is misbruikt.

Hoe stel ik SPF in voor mijn domein?

Maak een TXT-record aan in de DNS van je domein. De inhoud hangt af van je e-mailprovider. Voor Google Workspace: v=spf1 include:_spf.google.com ~all. Voor Microsoft 365: v=spf1 include:spf.protection.outlook.com ~all. Gebruik je meerdere verzendservices, voeg dan voor elk een include: toe. Let op: SPF staat maximaal 10 DNS-lookups toe.

Is DMARC verplicht?

DMARC is niet wettelijk verplicht voor alle organisaties, maar wordt steeds meer een vereiste. Google en Yahoo eisen sinds 2024 dat bulk-verzenders (meer dan 5.000 e-mails per dag) een DMARC-record hebben. De Nederlandse overheid vereist DMARC voor alle overheidsorganisaties. Ongeacht de omvang van je organisatie is DMARC sterk aan te raden als bescherming tegen phishing en om je e-mailaflevering te verbeteren.

Hoe lang duurt het voordat wijzigingen effect hebben?

SPF, DKIM en DMARC zijn DNS-records en volgen de normale DNS-propagatietijd. De meeste wijzigingen zijn binnen 1-4 uur zichtbaar, afhankelijk van de TTL-waarde van je records. Na het doorvoeren van wijzigingen adviseren we om minimaal 24 uur te wachten voordat je de deliverability opnieuw test, zodat alle ontvangende mailservers de nieuwe records hebben opgepikt.

Kan deze tool ook mijn e-mails testen?

De E-mail Deliverability Check controleert je DNS-records (SPF, DKIM, DMARC) die de basis vormen voor goede e-mailaflevering. De tool verstuurt geen daadwerkelijke test-e-mails en controleert niet of je IP op een blacklist staat. Voor een volledige deliverability-analyse inclusief blacklist-controles, inboxplaatsing en contentanalyse adviseren we de Premium Email Audit.

Gratis

E-mail Deliverability Check

Controleer je SPF, DKIM en DMARC records en voorkom dat je e-mails in de spamfolder belanden.

Start de E-mail Check

Premium

Email Audit

Diepgaande deliverability-analyse met blacklist-controle, MX-verificatie en professioneel rapport.

Start de Email Audit