Gids
SPF, DKIM en DMARC instellen op je verzenddomein
SPF, DKIM en DMARC zijn drie DNS-records die bewijzen dat e-mail echt van jouw domein komt. SPF somt toegestane verzendservers op, DKIM zet een digitale handtekening, en DMARC bepaalt wat er gebeurt bij een mismatch. Zonder deze drie belandt koude e-mail in spam of bounct ze — Gmail en Microsoft eisen ze sinds 2024.
- Records die tellen
- SPF, DKIM, DMARC (MX informatief)
- SPF-include Google
- include:_spf.google.com ~all
- SPF-include Microsoft
- include:spf.protection.outlook.com -all
- DKIM-selector
- google (Gmail) / selector1+selector2 (Microsoft)
- DMARC-record
- TXT op _dmarc.jouwdomein.nl, p=quarantine → p=reject
- SMTP-verzendpoorten
- 587 (STARTTLS) of 465 (SSL)
Wat doen SPF, DKIM en DMARC precies?
SPF, DKIM en DMARC zijn drie tekstrecords in de DNS van je domein die samen aan de ontvangende mailserver bewijzen dat een bericht echt namens jou is verstuurd. Ze staan los van de inhoud van je mail: ze zijn de identiteitscontrole die daarvóór plaatsvindt. Ontbreekt één ervan, dan behandelen Gmail en Microsoft je koude e-mail als verdacht — met vertraagde aflevering, de spammap of een harde bounce als gevolg.
Elk record heeft een eigen taak. Ze vullen elkaar aan en je hebt ze alle drie nodig; één op zich is niet genoeg. MX is een vierde record dat vaak in één adem wordt genoemd — het regelt inkomende post en telt niet mee voor je verzendauthenticatie, maar een correcte MX onderstreept wel dat je domein een echte, bemande mailbox heeft.
- SPF (Sender Policy Framework): een TXT-record dat begint met v=spf1 en opsomt welke servers namens je domein mogen verzenden. Staat de verzendende server er niet in, dan ruikt het naar spoofing.
- DKIM (DomainKeys Identified Mail): een digitale handtekening die met een privésleutel aan elke uitgaande mail hangt. De ontvanger verifieert die met de publieke sleutel uit je DNS. Klopt de handtekening, dan is het bericht onderweg niet aangepast.
- DMARC (Domain-based Message Authentication, Reporting & Conformance): een TXT-record op _dmarc.jouwdomein.nl dat bepaalt wat er gebeurt als SPF én DKIM niet 'uitlijnen' met je From-domein: none (afleveren), quarantine (naar spam) of reject (weigeren). DMARC levert ook rapporten over wie namens jou verzendt.
- MX (Mail Exchanger): wijst aan welke server post vóór je domein ontvangt (bijv. Google Workspace of Microsoft 365). Informatief voor deliverability, maar niet doorslaggevend voor authenticatie.
SPF, DKIM en DMARC instellen: stap voor stap
Alle drie de records publiceer je in je DNS-beheer — bij je domeinregistrar of DNS-provider, niet in je mailprogramma. De exacte waarden krijg je van je mailboxprovider (Google Workspace of Microsoft 365 tonen ze kant-en-klaar in hun adminpaneel). Werk in deze volgorde en gun DNS-wijzigingen wat tijd om te verspreiden.
De belangrijkste valkuil: publiceer maar één SPF-record per domein. Twee losse v=spf1-regels breken de check volledig. Combineer alle verzendbronnen in dat ene record via meerdere include:-onderdelen. Sluit af met ~all (softfail) of het strengere -all.
- 1. SPF: voeg één TXT-record toe op je hoofddomein (@) dat begint met v=spf1, de include(s) van je provider bevat en eindigt op ~all of -all. Vermijd +all of ?all — dat maakt SPF te permissief en ondermijnt de controle.
- 2. DKIM: zet DKIM aan in het adminpaneel van je provider, publiceer de gegenereerde record(s) op de juiste selector, en activeer DKIM pas in de provider nadat de DNS-records live staan.
- 3. DMARC: publiceer een TXT-record op _dmarc.jouwdomein.nl. Begin eventueel met p=none om eerst rapporten te verzamelen, en schroef daarna op naar p=quarantine en uiteindelijk p=reject.
- 4. Wachten: DNS-wijzigingen zijn niet altijd meteen zichtbaar. Reken op minuten tot enkele uren voordat de records wereldwijd uitgelezen kunnen worden.
- 5. Controleren: reken elk record na met een publieke DNS-lookup en stuur een testmail (zie verderop).
Zo doe je het in Google Workspace en Microsoft 365
De DKIM-selector — het label waarop de publieke sleutel staat — verschilt per provider. Google gebruikt de selector google; Microsoft publiceert er altijd twee (selector1 en selector2) en wisselt daartussen bij sleutelrotatie. Hieronder de concrete records die je nodig hebt.
Google Workspace / Gmail:
- SPF (TXT op @): v=spf1 include:_spf.google.com ~all
- DKIM (TXT op google._domainkey): genereer de sleutel in Google Admin → Apps → Google Workspace → Gmail → 'E-mail authenticeren' en publiceer de getoonde p=…-waarde; selector = google.
- Microsoft 365 — SPF (TXT op @): v=spf1 include:spf.protection.outlook.com -all
- Microsoft 365 — DKIM: twee CNAME-records op selector1._domainkey en selector2._domainkey die verwijzen naar selector1-<tenant>._domainkey.<tenant>.onmicrosoft.com (en selector2-…). Schakel DKIM daarna in via Microsoft 365 Defender → Email & collaboration → Policies & rules → DKIM.
- DMARC (beide providers, TXT op _dmarc.jouwdomein.nl): bijvoorbeeld v=DMARC1; p=quarantine; rua=mailto:dmarc@jouwdomein.nl; fo=1
Eigen DNS of andere SMTP-provider
Mail je niet via Google of Microsoft maar via een eigen mailserver of een andere SMTP-dienst, dan is het principe identiek — alleen de waarden komen van jouw provider. Vraag drie dingen op: de SPF-include, de DKIM-selector en de bijbehorende publieke sleutel.
Verzenden via SMTP gebeurt doorgaans over poort 587 (STARTTLS) of 465 (impliciete SSL/TLS); poort 25 is voor server-naar-serververkeer en wordt door veel netwerken geblokkeerd. Die poortkeuze staat los van je DNS-records, maar hoort bij een correcte verzendopzet.
- SPF (TXT op @): v=spf1 include:<je-mailprovider> ~all — vervang <je-mailprovider> door de SPF-include die je provider aanlevert.
- DKIM (TXT op <selector>._domainkey.jouwdomein.nl): publiceer de DKIM-publieke sleutel van je provider op de door hen opgegeven selector (bijv. s1 of default).
- DMARC (TXT op _dmarc.jouwdomein.nl): v=DMARC1; p=quarantine; rua=mailto:dmarc@jouwdomein.nl; fo=1
- Verzendpoorten: 587 (STARTTLS) of 465 (SSL) voor uitgaande mail; niet 25.
Controleren: klopt het echt?
Publiceren is niet hetzelfde als werkend. Controleer daarom altijd na afloop. De snelste dubbelcheck: reken elk record na met een gratis publieke DNS-lookup of authenticatie-checker, en stuur een testmail naar zowel een eigen Gmail- als een Outlook-adres. In de berichtkoppen (Toon origineel / View source) staat letterlijk PASS of FAIL voor SPF, DKIM en DMARC.
Let bij DMARC niet alleen op 'aanwezig' maar ook op de policy. Een record met p=none is geldig en voldoet aan het Gmail/Yahoo-minimum, maar doet in de praktijk alleen monitoren — het beschermt je domein pas echt bij p=quarantine of p=reject. En check dat SPF niet te permissief staat: +all of ?all haalt de zin uit de controle.
- SPF pass = record aanwezig, begint met v=spf1, en eindigt niet op +all of ?all (die worden als 'te permissief' aangemerkt).
- DKIM pass = geldige publieke sleutel op de juiste selector (google bij Gmail; selector1 óf selector2 bij Microsoft).
- DMARC pass = policy p=quarantine of p=reject; p=none telt als 'aanwezig maar alleen monitoren'.
- Testmail naar Gmail én Outlook + berichtkoppen bekijken = de eerlijkste eindtest.
En zo doe je het in ReachIQ
ReachIQ verstuurt via je eigen gekoppelde mailbox (Gmail of Microsoft), niet via een eigen relay. Het domein eráchter authenticeer je onder Domeinen. Je klikt op 'Domein toevoegen', vult je verzenddomein in, kiest je provider (Google Workspace / Gmail, Microsoft 365 of Anders / SMTP) en via de knop 'DNS-records' toont ReachIQ exact de records die je moet publiceren — inclusief de juiste DKIM-selector per provider. Kies je 'Anders / SMTP', dan geef je zelf de DKIM-selector op zodat DKIM controleerbaar is.
Zodra de records live staan, klik je op Verifieer. ReachIQ leest je DNS uit en zet per record een status: SPF, DKIM en DMARC krijgen elk pass, warn of fail (of 'onbekend' als de DNS niet uit te lezen is of er geen selector bekend is). MX wordt informatief getoond en telt niet mee voor de eindstatus. Een domein krijgt de status 'geverifieerd' zodra SPF, DKIM én DMARC alle drie op pass staan. Zo zie je in één oogopslag of je klaar bent om veilig te verzenden.
ReachIQ kiest bewust voor deze eerlijke controle in plaats van warmup-theater: geen nepnetwerk dat berichten rondpompt, maar echte SPF-, DKIM- en DMARC-checks, per-mailbox limieten en health-gating. Authenticatie is de eerste hefboom; daarna tellen rustig opbouwen (~20-50 mails per mailbox per dag) en een schone lijst.
Veelgestelde vragen
Wat is het verschil tussen SPF, DKIM en DMARC?
Waar stel ik SPF, DKIM en DMARC in?
Kan ik twee SPF-records op één domein hebben?
Welke DKIM-selector gebruik ik voor Gmail en Microsoft?
Moet DMARC op p=reject staan?
Hoe controleer ik of mijn records goed staan?
De genoemde DNS-waarden, selectors en providerinstellingen kunnen door Google en Microsoft worden gewijzigd; controleer de exacte waarden altijd in je eigen adminpaneel. Dit is geen juridisch advies.
Lees verder
Intelligentie boven volume
Klaar om slimmer te versturen?
Koppel je eigen mailbox, verstuur veilig en compliant — EU-gehost en AVG-first.