SPF, DKIM en DMARC zijn drie technieken die voorkomen dat criminelen e-mail kunnen versturen alsof het van jouw domein komt (spoofing en phishing). In dit artikel lees je wat ze doen en hoe je ze instelt — bij Domein-Direct, Google Workspace en Microsoft 365.
Wat zijn SPF, DKIM en DMARC?
Het zijn drie aanvullende technieken voor e-mailbeveiliging:
- SPF (Sender Policy Framework) — bepaalt welke mailservers namens jouw domein mogen versturen. Een soort 'gastenlijst' voor de ontvangende server.
- DKIM (DomainKeys Identified Mail) — voegt een digitale handtekening toe aan elke verzonden mail. De ontvanger kan controleren of de mail echt van jouw domein komt en onderweg niet is aangepast.
- DMARC — bepaalt wat ontvangende servers moeten doen als SPF of DKIM faalt. Bovendien stuurt het rapportages over wie mail verstuurt namens jouw domein.
De drie technieken werken samen. SPF en DKIM moeten ingesteld zijn voordat je DMARC activeert.
Instellen via Domein-Direct (ISPConfig)
Verstuur je je mail via een hostingpakket bij Domein-Direct? Dan stel je SPF, DKIM en DMARC zo in:
- Log in op domein-direct.nl en klik op 'Hosting' → moersleutel-icoon onder 'Beheer product'.
- Klik op de groene knop 'Hosting Panel Login' om in ISPConfig te komen.
- Voor SPF: ga naar DNS → DNS zones → klik op je domeinnaam → tabblad 'Data'. Open het bestaande TXT-record dat begint met 'v=spf1' en pas de gegevens aan onder 'Additional IP addresses' en 'Any domains that may deliver or relay mail for this domain'.
- Voor DKIM: ga naar E-mail → E-mail domein → klik op je domeinnaam → tabblad 'DKIM' → vink 'Enable DKIM' aan, vul 'default' in als selector en klik op 'Generate DKIM key'.
- Voor DMARC: ga naar DNS → DNS zones → je domeinnaam → tabblad 'Records' → DMARC → 'DNS DMARC Record' → selecteer 'Activate' en klik op 'Save'.
Instellen voor Google Workspace / Gmail
Gebruik je Google Workspace voor je mail? Dan stel je het zo in:
DNS-records voor Google
Verwijder eerst de bestaande MX-records van je hostingpakket. Voeg daarna deze MX-records toe (de cijfers achteraan zijn de prioriteit):
- L.GOOGLE.COM — prioriteit 10
- ASPMX.L.GOOGLE.COM — prioriteit 20
- ASPMX.L.GOOGLE.COM — prioriteit 30
- GOOGLEMAIL.COM — prioriteit 40
- GOOGLEMAIL.COM — prioriteit 50
Belangrijk: alle volledige domeinnamen moeten eindigen op een punt. Zonder die punt wordt de naam behandeld als subdomein van je eigen zone.
SPF-record voor Google
Voeg een TXT-record toe met de waarde:
v=spf1 include:_spf.google.com ~all
DKIM en DMARC voor Google
DKIM activeer je via je Google Workspace Admin Console. Daar genereer je een DKIM-sleutel die je vervolgens als TXT-record in je DNS plaatst. DMARC voeg je toe als TXT-record op _dmarc.jouwdomein.nl met als beginwaarde:
v=DMARC1; p=none;
Begin altijd met 'p=none' om eerst rapportages te ontvangen. Verhoog dit later naar 'quarantine' of 'reject' als je zeker weet dat alle legitieme mail goed is geconfigureerd.
Instellen voor Microsoft 365
Gebruik je Microsoft 365 voor je mail? Dan stel je het zo in:
SPF-record voor Microsoft 365
Voeg een TXT-record toe met de waarde:
v=spf1 include:spf.protection.outlook.com -all
DKIM voor Microsoft 365
Microsoft genereert de DKIM-sleutels voor jou. Voeg deze twee CNAME-records toe in je DNS:
selector1._domainkey CNAME selector1-[domein]-com._domainkey.[tenant].onmicrosoft.com.
selector2._domainkey CNAME selector2-[domein]-com._domainkey.[tenant].onmicrosoft.com.
Vervang [domein] door je domeinnaam (zonder punten) en [tenant] door de tenantnaam van je Microsoft-omgeving. Activeer DKIM daarna in het Microsoft 365-beheercentrum onder 'Beveiliging' → 'E-mail' → 'DKIM'.
DMARC voor Microsoft 365
Voeg een TXT-record toe op _dmarc.jouwdomein.nl met als waarde:
v=DMARC1; p=none;
Controleren of het werkt
Test je instellingen via:
- nl — uitgebreide check op alle moderne mailstandaarden
- com — controleert SPF, DKIM, DMARC en MX-records afzonderlijk
Wijzigingen in DNS kunnen tot 24 uur duren voor ze overal zichtbaar zijn. Krijg je niet meteen het verwachte resultaat? Probeer het later op de dag opnieuw.
