ReachIQ

Gids

E-mail deliverability voor outreach: SPF, DKIM, DMARC en MX uitgelegd

E-mail deliverability bij outreach is de mate waarin je koude e-mails daadwerkelijk in de inbox belanden in plaats van in spam of geweigerd worden. De grootste knop zijn de DNS-authenticatierecords SPF, DKIM en DMARC — plus een correcte MX. Zonder die drie filteren Gmail en Microsoft je koude acquisitie hard weg.

Veilig volume
~20-50 mails/dag per mailbox
Gmail-plafond
~2.000 berichten/dag
Microsoft-limiet
~1.500 ontvangers/dag, 30/min
Alert klachtpercentage
>0,1%
Alert bounce-percentage
>5%
DMARC-minimum (Gmail/Yahoo)
p=none, gepubliceerd
Harde spamgrens Google
onder 0,3%
Open-tracking
standaard uit

Wat is e-mail deliverability bij outreach?

Deliverability is het verschil tussen 'verzonden' en 'aangekomen'. Een mailserver kan rapporteren dat je opvolgmail de deur uit is, terwijl het bericht in de spammap belandt of stilletjes wordt geweigerd. Bij koude e-mail telt alleen waar het bericht echt landt: de inbox van je prospect.

Drie partijen bepalen die uitkomst. De ontvangende provider (vaak Gmail of Microsoft) beslist op basis van authenticatie, reputatie en gedrag. Jouw verzendende mailbox levert die signalen. En jouw DNS-records vertellen de wereld welke servers namens jouw domein mogen verzenden.

Voor koude acquisitie is deliverability geen 'nice to have' maar de basis. Je hebt geen bestaande relatie met de ontvanger, dus providers zijn streng. Eén verkeerd of ontbrekend DNS-record en je hele lijst kan in spam verdwijnen — ongeacht hoe goed je tekst is.

SPF, DKIM, DMARC en MX: wat doen ze precies?

Vier DNS-records vormen samen het fundament van je verzendreputatie. MX regelt inkomende post; SPF, DKIM en DMARC bewijzen dat uitgaande post echt van jou komt. Providers controleren alle vier voordat ze je koude e-mail vertrouwen.

  • MX (Mail Exchanger): wijst aan welke server e-mail vóór jouw domein ontvangt — bijvoorbeeld Google Workspace of Microsoft 365. MX gaat over binnenkomende mail, maar een correcte, consistente MX onderstreept dat je domein een echte, bemande mailbox heeft.
  • SPF (Sender Policy Framework): een lijst in je DNS van servers en diensten die namens jouw domein mogen verzenden. De ontvanger checkt of de verzendende server op die lijst staat. Staat hij er niet op, dan ruikt het naar spoofing.
  • DKIM (DomainKeys Identified Mail): een digitale handtekening die met een privésleutel aan elke uitgaande mail wordt gehangen. De ontvanger verifieert die met de publieke sleutel uit jouw DNS. Klopt de handtekening, dan is het bericht onderweg niet vervalst.
  • DMARC (Domain-based Message Authentication, Reporting & Conformance): de beleidsregel die zegt wat er moet gebeuren als SPF én DKIM niet 'uitlijnen' met je From-domein. Opties: none (gewoon afleveren), quarantine (naar spam) of reject (weigeren). DMARC levert bovendien rapporten over wie namens jou verzendt.

Hoe stel je SPF, DKIM, DMARC en MX in — en controleer je ze?

Alle vier records leef je in je DNS-beheer (bij je domeinregistrar of DNS-provider). De exacte waarden krijg je van je mailboxprovider: Google Workspace en Microsoft 365 geven kant-en-klare SPF-includes, DKIM-sleutels en MX-hosts in hun adminpaneel. Plak die letterlijk over.

  • SPF: voeg één TXT-record toe dat begint met v=spf1 en de include van je provider bevat (bijv. include:_spf.google.com of include:spf.protection.outlook.com), afgesloten met -all of ~all. Eén SPF-record per domein — meerdere breekt de check.
  • DKIM: zet DKIM aan in het adminpaneel van je provider en publiceer de gegenereerde CNAME- of TXT-record(s). Activeer DKIM pas in de provider nadat de DNS-records live staan.
  • DMARC: publiceer een TXT-record op _dmarc.jouwdomein.nl, bijvoorbeeld v=DMARC1; p=none; rua=mailto:dmarc@jouwdomein.nl. Begin met p=none om rapporten te verzamelen, schroef daarna op naar quarantine of reject.
  • MX: controleer dat je MX-records exact naar je provider wijzen en dat er geen oude of dubbele hosts blijven hangen.
  • Controleren: na publicatie kun je elk record narekenen met een gratis publieke DNS-lookup of authenticatie-checker. Stuur ook een testmail naar een eigen Gmail- en Outlook-adres en bekijk de berichtkoppen — daar staat letterlijk PASS of FAIL voor SPF, DKIM en DMARC.

Waarom authenticatie de #1-knop is bij koude outreach

Sinds 2024 hanteren Gmail en Yahoo expliciete eisen voor afzenders: SPF én DKIM verplicht, een gepubliceerd DMARC-record (minimaal p=none), een From-domein dat uitlijnt met SPF of DKIM, en één-klik afmelden. Microsoft volgt met vergelijkbare eisen. Voldoe je niet, dan begint het met vertraagde aflevering en eindigt het in regelrechte weigering.

Voor koude e-mail weegt dit zwaarder dan voor nieuwsbrieven naar bestaande contacten. Een prospect die jou niet kent, klikt sneller op 'spam', en zonder authenticatie heb je geen reputatie om dat op te vangen. Authenticatie is daarmee de eerste en grootste hefboom — vóór je überhaupt aan tekst, timing of volume denkt.

Authenticatie is wél de toegangspoort, maar geen wondermiddel. Het bewijst dat jíj de afzender bent; het garandeert geen inbox. Daarna tellen verzendgedrag (rustig opbouwen, lage volumes), de kwaliteit van je lijst en je klachtcijfer. Bij ReachIQ verstuur je daarom via je eigen gekoppelde mailbox met veilige dagvolumes van ongeveer 20-50 mails per mailbox, in plaats van een kunstmatig warmup-netwerk.

Bounce- en klacht-drempels: wanneer je moet ingrijpen

Twee cijfers vertellen direct of je verzendreputatie afglijdt: je bounce-percentage (hoeveel mails onbestelbaar terugkomen) en je klachtpercentage (hoe vaak ontvangers op 'spam' drukken). Beide zijn vroege waarschuwingssignalen — niet pas iets om naar te kijken als het al misging.

ReachIQ slaat alarm bij een klachtpercentage boven 0,1% en een bounce-percentage boven 5%. Die drempels liggen bewust onder de harde grenzen van providers: Google grijpt streng in zodra je klachtcijfer richting 0,3% gaat. Door eerder te waarschuwen kun je pauzeren vóór de provider je reputatie afstraft.

Een hoog bounce-cijfer wijst meestal op een verouderde of ongeverifieerde lijst; een hoog klachtcijfer op slechte targeting of een onduidelijke afzender. In beide gevallen is doorverzenden de slechtste keuze. ReachIQ's kill switch en at-most-once-verzending zorgen dat je een campagne direct stilzet zonder dubbele mails, en suppressie houdt afmeldingen en bounces permanent buiten je volgende verzending.

Hoe ReachIQ deliverability bewaakt

ReachIQ kiest voor eerlijke deliverability in plaats van warmup-theater. Geen eigen warmup-netwerk dat nepmails rondpompt, maar controles die er echt toe doen: SPF-, DKIM- en DMARC-checks op je verzenddomein, per-mailbox limieten, mailbox-rotatie en health-gating die een ongezonde mailbox automatisch terugschroeft.

Open-tracking staat standaard uit, omdat tracking-pixels je reputatie kunnen schaden en privacygevoelig zijn. Je tokens worden versleuteld opgeslagen (AES-256-GCM) met RLS per organisatie, en alles draait EU-gehost. Zo blijft 'intelligentie boven volume' geen slogan maar de standaardinstelling.

Wil je de techniek onder de motorkap zien — van authenticatie-checks tot de alert-drempels en de kill switch — bekijk dan de functiepagina deliverability.

Veelgestelde vragen

Wat is het verschil tussen SPF, DKIM en DMARC?
SPF zegt welke servers namens jouw domein mogen verzenden. DKIM zet een digitale handtekening op elke mail zodat de ontvanger ziet dat het bericht onderweg niet is aangepast. DMARC bepaalt wat er gebeurt als SPF en DKIM niet uitlijnen met je From-domein — afleveren, naar spam, of weigeren — en stuurt je rapporten. Je hebt alle drie nodig.
Heb ik SPF, DKIM en DMARC echt nodig voor koude e-mail?
Ja. Sinds 2024 eisen Gmail en Yahoo SPF, DKIM en een gepubliceerd DMARC-record (minimaal p=none) van afzenders; Microsoft volgt. Zonder deze records begint je koude outreach in de spammap of wordt ze geweigerd, hoe goed je tekst ook is. Het is de eerste knop, niet de laatste.
Wat zijn veilige bounce- en klacht-drempels?
ReachIQ waarschuwt bij een bounce-percentage boven 5% en een klachtpercentage boven 0,1%. Die liggen bewust onder de harde grens van Google, die richting 0,3% klachten streng ingrijpt. Zit je erboven, pauzeer dan en schoon je lijst op in plaats van door te verzenden.
Hoe controleer ik of mijn records goed staan?
Reken elk record na met een gratis publieke DNS-lookup of authenticatie-checker, en stuur een testmail naar een eigen Gmail- en Outlook-adres. In de berichtkoppen zie je letterlijk PASS of FAIL voor SPF, DKIM en DMARC. ReachIQ controleert je verzenddomein bovendien automatisch bij het koppelen van een mailbox.
Vervangt warmup een goede deliverability-opzet?
Nee. Een kunstmatig warmup-netwerk dat nepmails rondpompt lost geen ontbrekende authenticatie of een slechte lijst op. ReachIQ gebruikt daarom geen eigen warmup-netwerk, maar zet in op echte controles: SPF/DKIM/DMARC-checks, per-mailbox limieten, rotatie en health-gating.

Dit is een technische uitleg, geen garantie op inboxplaatsing. Aflevering hangt ook af van je lijstkwaliteit, verzendgedrag en het beleid van de ontvangende provider. Controleer de actuele eisen van Gmail, Yahoo en Microsoft, en de instelinstructies van je eigen mailboxprovider.

Lees verder

Intelligentie boven volume

Klaar om slimmer te versturen?

Koppel je eigen mailbox, verstuur veilig en compliant — EU-gehost en AVG-first.

Bekijk hoe ReachIQ deliverability bewaakt