MailShield
All posts
Guides

Email spoofing voorkomen: zo bescherm je jouw domein

6 min
Email spoofing voorkomen: zo bescherm je jouw domein

Email spoofing is wanneer iemand e-mail verstuurt die eruitziet alsof het van jouw domein komt, terwijl dat niet zo is. Het is verrassend eenvoudig: het SMTP-protocol controleert standaard niet of de afzender echt is wie hij claimt te zijn. Zonder bescherming kan iedereen e-mail versturen als info@jouwbedrijf.nl.

De gevolgen zijn concreet: phishing-aanvallen op je klanten, nep-facturen namens jouw bedrijf, reputatieschade, en steeds slechtere e-mailbezorging voor je echte berichten.

Hoe spoofing werkt

E-mail heeft twee afzenderadressen: het envelope-adres (gebruikt door servers) en het From-adres (wat de ontvanger ziet). Een spoofer kan elk willekeurig From-adres invullen. Zonder authenticatieprotocollen heeft de ontvangende server geen manier om te controleren of dat From-adres echt klopt.

Dit is geen geavanceerde hacktechniek. Basale spoofing kan met een paar regels code. Daarom is bescherming essentieel voor elk domein dat serieus wordt genomen.

De drie verdedigingslagen

Om spoofing te voorkomen gebruik je drie protocollen die samenwerken:

  • SPF: een DNS-record dat aangeeft welke servers namens jouw domein mogen mailen. Als een e-mail van een onbekende server komt, faalt de SPF-controle.
  • DKIM: een digitale handtekening op elke e-mail die bewijst dat het bericht echt van jouw domein komt en niet is gewijzigd onderweg.
  • DMARC: het overkoepelende beleid dat SPF en DKIM samenvoegt en ontvangers vertelt wat ze moeten doen als authenticatie faalt (niets, naar spam, of blokkeren).
Alle drie zijn nodig. SPF alleen beschermt niet tegen forwarding. DKIM alleen mist een beleid. DMARC zonder SPF en DKIM heeft niets om te controleren.

Stappenplan: spoofing stoppen

Volg deze stappen om je domein te beschermen:

  • Stap 1: Inventariseer alle diensten die namens jouw domein e-mail versturen
  • Stap 2: Stel SPF in met alle geautoriseerde verzenders
  • Stap 3: Activeer DKIM-ondertekening bij elke dienst
  • Stap 4: Publiceer een DMARC record met p=none en rapportage-adres
  • Stap 5: Monitor je DMARC rapporten om te zien of alle legitieme mail correct authenticeert
  • Stap 6: Verscherp naar p=quarantine en uiteindelijk p=reject

Extra maatregelen

Naast SPF, DKIM en DMARC zijn er aanvullende maatregelen die je bescherming versterken:

  • MTA-STS: verplicht versleutelde verbindingen voor inkomende e-mail, zodat berichten niet onderschept kunnen worden
  • BIMI: toont je bedrijfslogo naast je e-mails in ondersteunende mailclients, waardoor ontvangers visueel kunnen verifiëren dat het bericht echt van jou komt
  • DNSSEC en DANE: beschermt je DNS-records tegen manipulatie en pinpoint je mailserver-certificaat in DNS

Wat als je niets doet?

De consequenties worden steeds groter:

  • Google en Yahoo blokkeren steeds meer e-mail zonder authenticatie
  • Je domein kan op blacklists terechtkomen als het wordt misbruikt voor spam of phishing
  • Klanten en partners verliezen vertrouwen als ze phishing-mails ontvangen "van" jouw bedrijf
  • Je e-mailbezorging verslechtert, ook voor je legitieme berichten

Begin nu

MailShield scant je domein in minder dan een minuut en laat precies zien hoe goed je beschermd bent tegen spoofing. We controleren alle acht e-mailbeveiligingsprotocollen en geven je concrete stappen om je beveiliging te verbeteren.

Gratis voor maximaal 2 domeinen. Voeg je domein toe en ontdek hoe kwetsbaar je bent voor spoofing, en wat je eraan kunt doen.

Check your domain now

See your email security score in under a minute. Free for up to 2 domains.

Get Started FreeMore articles