Spamwacht.nl een product van Marketing Maatwerk
Gratis gids 2026

SPF, DKIM en DMARC uitleg: zo bescherm je je domein

SPF, DKIM en DMARC zijn DNS-records die voorkomen dat criminelen jouw domein namaken om phishing te versturen. Hieronder een duidelijke uitleg en een praktisch stappenplan, zonder jargon.

Inhoud
  1. Wat is SPF?
  2. Wat is DKIM?
  3. Wat is DMARC?
  4. Stappenplan: instellen
  5. Resultaten controleren
  6. Veelgestelde vragen

Wat is SPF?

SPF staat voor Sender Policy Framework. Het is een DNS-record dat vastlegt welke mailservers namens jouw domein e-mail mogen versturen. Als iemand een e-mail verstuurt die beweert van jou@jedomein.nl te komen, maar vanaf een server die niet op jouw SPF-lijst staat, dan kan de ontvanger dat detecteren en het bericht weigeren of markeren.

Een SPF-record ziet er zo uit (voor Microsoft 365):
v=spf1 include:spf.protection.outlook.com ~all

De ~all aan het einde betekent "soft fail": berichten van niet-geautoriseerde servers worden als verdacht gemarkeerd maar niet direct geweigerd. Dat is een goede startinstelling. Later kun je naar -all (hard fail) overstappen als je zeker weet dat alle geautoriseerde servers op de lijst staan.

Wat is DKIM?

DKIM staat voor DomainKeys Identified Mail. Het voegt een digitale handtekening toe aan elk uitgaand bericht. Die handtekening wordt aangemaakt met een privesleutel die alleen jij hebt. De ontvangende mailserver controleert de handtekening via een publieke sleutel in jouw DNS.

Het resultaat: als een bericht onderweg wordt aangepast (of als iemand een vals bericht verstuurt met jouw naam), klopt de handtekening niet meer en kan de ontvanger dat detecteren.

DKIM activeer je in de beheerconsole van je mailprovider. Je krijgt een DNS-record te zien dat je in je DNS moet invoeren. Eenmalig werk.

Wat is DMARC?

DMARC staat voor Domain-based Message Authentication, Reporting and Conformance. Het bouwt voort op SPF en DKIM en voegt twee dingen toe.

  1. Beleid: wat moeten ontvangers doen met berichten die SPF of DKIM niet doorstaan? "none" (niets), "quarantine" (als spam markeren) of "reject" (weigeren).
  2. Rapportage: ontvangende mailservers sturen aggregatierapporten naar een door jou opgegeven e-mailadres. Zo zie je wie er namens jouw domein e-mail verstuurt.

Begin altijd met p=none om rapporten te verzamelen voordat je berichten blokkeert.

Stappenplan: SPF, DKIM en DMARC instellen

  1. 1

    SPF-record aanmaken

    Voeg een TXT-record toe voor je domeinnaam (@) in je DNS-beheer. Gebruik de waarde van je mailprovider. Microsoft 365: include:spf.protection.outlook.com. Google Workspace: include:_spf.google.com.

  2. 2

    DKIM activeren

    Ga naar je mailprovider-console, zoek de DKIM-instelling op en activeer het. Kopieer het DNS-record dat je krijgt en voeg het toe aan je DNS.

  3. 3

    DMARC-record aanmaken

    Voeg een TXT-record toe voor _dmarc.jedomein.nl met waarde: v=DMARC1; p=none; rua=mailto:dmarc@jedomein.nl.

  4. 4

    Wachten en aanscherpen

    Na een week ontvang je DMARC-rapporten. Als alles klopt, schakel je over naar p=quarantine en later p=reject.

Resultaten controleren

Gebruik MXToolbox SuperTool om te controleren of je SPF-, DKIM- en DMARC-records correct zijn. Voer je domeinnaam in en kies "Email Health". Je ziet direct welke records ontbreken of foutief zijn.

Veelgestelde vragen

Wat is SPF?

SPF (Sender Policy Framework) is een DNS-record dat aangeeft welke mailservers namens jouw domein e-mail mogen versturen. Ontvangende mailservers controleren of een inkomend bericht afkomstig is van een geautoriseerde server. Een correct SPF-record voorkomt dat anderen jouw domein namaken.

Wat is DKIM?

DKIM (DomainKeys Identified Mail) voegt een digitale handtekening toe aan elk uitgaand bericht. De ontvanger controleert de handtekening via een publieke sleutel in DNS. Zo weet de ontvanger dat het bericht onderweg niet is aangepast.

Wat is DMARC?

DMARC (Domain-based Message Authentication, Reporting and Conformance) bouwt voort op SPF en DKIM. Het geeft aan wat ontvangers moeten doen met berichten die de SPF- of DKIM-controle niet doorstaan: niets (none), markeren (quarantine) of weigeren (reject). DMARC verstuurt ook rapporten naar een door jou opgegeven e-mailadres.

Moet ik SPF, DKIM en DMARC instellen als ik Spamwacht gebruik?

SPF, DKIM en DMARC beschermen je uitgaande mail: ze voorkomen dat criminelen jouw domein namaken om phishing te versturen. Spamwacht beschermt je inkomende mail. Beide zijn nuttig en vullen elkaar aan.

Hoe controleer ik of mijn SPF, DKIM en DMARC correct zijn?

Gebruik een gratis controle-tool als MXToolbox (mxtoolbox.com) of DMARC Analyzer. Voer je domeinnaam in en je ziet direct of de records correct zijn ingesteld.

Meer lezen

Klaar om je inbox te beschermen?

Start vandaag gratis. Geen MX-wijziging, geen creditcard, opzeggen wanneer je wil.

Start 14 dagen gratis

Geen creditcard vereist voor de proefperiode.

Geen MX-wijziging nodigAVG/GDPR conformEU-hostingAlleen metadata, nooit je mailinhoudMicrosoft 365 & Google WorkspaceKVK 91114551