SPF, DKIM en DMARC: de complete uitleg
SPF, DKIM en DMARC zijn de drie protocollen die samen je e-mail beveiligen. Ze worden vaak in een adem genoemd, maar doen elk iets anders. In deze gids leggen we elk protocol uit, hoe ze samenwerken, en hoe je ze instelt. In gewoon Nederlands, zonder onnodige technische details.
SPF: wie mag e-mail versturen?
SPF (Sender Policy Framework) is een DNS-record dat een lijst bevat van alle servers die namens jouw domein e-mail mogen versturen. Als een e-mailprovider een bericht ontvangt dat claimt van jouw domein te komen, controleert die of de verzendende server op je SPF-lijst staat.
Een SPF-record ziet er bijvoorbeeld zo uit:
Dit record zegt: Google Workspace mag e-mail versturen, SendGrid mag e-mail versturen, het IP-adres 203.0.113.10 mag e-mail versturen, en alle andere bronnen zijn verdacht (~all).
- include: voegt de SPF-records van een andere dienst toe (telt als DNS lookup)
- ip4/ip6: staat een specifiek IP-adres of bereik toe (telt niet als DNS lookup)
- ~all (softfail): markeer e-mail van onbekende bronnen als verdacht
- -all (hardfail): wijs e-mail van onbekende bronnen af
DKIM: is het bericht echt?
DKIM (DomainKeys Identified Mail) voegt een digitale handtekening toe aan elke e-mail die je verstuurt. De verzendende server ondertekent het bericht met een privésleutel. De ontvangende server verifieert de handtekening met een publieke sleutel die je in DNS publiceert.
Als de handtekening klopt, weet de ontvanger twee dingen: het bericht komt echt van jouw domein, en de inhoud is niet gewijzigd onderweg.
- Elke dienst die e-mail verstuurt namens jouw domein heeft een eigen DKIM-configuratie nodig
- De publieke sleutel wordt gepubliceerd als DNS-record op selector._domainkey.jouwdomein.nl
- Gebruik minimaal 2048-bit RSA sleutels (1024-bit is verouderd)
- DKIM overleeft forwarding, in tegenstelling tot SPF
DMARC: het overkoepelende beleid
DMARC (Domain-based Message Authentication, Reporting and Conformance) brengt SPF en DKIM samen. Het doet twee dingen:
- Het vertelt ontvangers wat ze moeten doen als SPF én DKIM falen: niets (none), naar spam (quarantine), of blokkeren (reject)
- Het stuurt je rapporten over alle e-mail die als jouw domein wordt verstuurd, zodat je precies weet wat er gebeurt
Cruciaal bij DMARC is alignment: het domein dat door SPF of DKIM wordt geauthenticeerd moet overeenkomen met het From-domein van het bericht. Als je SPF slaagt voor een ander domein dan je From-adres, helpt dat niet voor DMARC.
Hoe de drie samenwerken
Het helpt om het als een keten te zien:
- SPF controleert of de server mag versturen (IP-gebaseerd)
- DKIM controleert of het bericht ongewijzigd is (handtekening-gebaseerd)
- DMARC controleert of SPF of DKIM slaagt met het juiste domein, en bepaalt de actie bij falen
Als een e-mail DMARC passeert, is het zo goed als zeker authentiek. Als het faalt, is het verdacht. En met een reject beleid wordt het geblokkeerd.
Veelgestelde vragen
Enkele vragen die we vaak krijgen:
- Heb ik alle drie nodig? Ja. SPF alleen is niet genoeg (overleeft geen forwarding). DKIM alleen mist een beleid. DMARC zonder SPF en DKIM heeft niets om te controleren.
- Kan ik meteen naar p=reject? Technisch wel, maar we raden het sterk af. Begin met p=none, monitor je rapporten, en verscherp geleidelijk.
- Werkt dit ook voor subdomeinen? Standaard erft een subdomein het DMARC beleid van het hoofddomein. Je kunt apart beleid instellen met de sp= tag.
- Hoe lang duurt het instellen? De DNS-wijzigingen zijn in minuten gedaan. Het monitoren en optimaliseren duurt 2-6 weken, afhankelijk van het aantal diensten dat namens je domein e-mail verstuurt.
Aan de slag met MailShield
MailShield controleert alle drie de protocollen (en nog vijf andere) automatisch. Voeg je domein toe en je ziet direct je status, je score, en concrete aanbevelingen om je beveiliging te verbeteren. Gratis voor maximaal 2 domeinen.