# E-mailspoofing voorkomen met SPF DKIM en DMARC [[TOC]] Spoofing is een van de oudste maar nog steeds effectiefste aanvalstechnieken: een crimineel verstuurt mail die eruitziet alsof die van jouw domein komt. Klanten en collega's vertrouwen die mail en trappen in de val. Gelukkig bestaat er een sluitende verdediging in de vorm van drie samenwerkende mechanismen: SPF, DKIM en DMARC. Samen maken ze het vrijwel onmogelijk om je domein geloofwaardig te vervalsen. ## Waarom spoofing werkt Het e-mailprotocol is decennia geleden ontworpen zonder ingebouwde afzenderverificatie. Het zichtbare From-adres is gewoon tekst die elke verzender zelf invult. Niets weerhoudt een aanvaller ervan daar jouw domein neer te zetten. Daarom is aanvullende verificatie nodig. SPF, DKIM en DMARC vullen dat gat. Ze laten ontvangende servers controleren of een bericht dat beweert van jouw domein te komen, dat ook echt doet. Pas met alle drie samen sluit je de deur. :::info title="Eén of twee is niet genoeg" Geen van de drie biedt alleen volledige bescherming. SPF dekt de verzendende server maar breekt bij doorsturen. DKIM dekt de inhoud maar zegt niets over alignment. DMARC bindt beide en voegt handhaving en rapportage toe. Je hebt het complete drietal nodig, niet een of twee ervan. ::: ## Hoe de drie samenwerken Elk mechanisme dekt een ander aspect. Samen vormen ze een sluitende controle die ontvangers vertelt of een bericht echt van jou is. De controle verloopt in deze stappen: 1. **SPF** controleert of de verzendende server in jouw lijst staat. 2. **DKIM** controleert of de digitale handtekening klopt en de inhoud onveranderd is. 3. **DMARC** controleert of het geauthenticeerde domein overeenkomt met het zichtbare From. 4. **DMARC** bepaalt wat te doen bij falen: niets, quarantaine of weigeren. 5. **DMARC** stuurt rapporten zodat je ziet wie namens je domein verzendt. ## De drie instellen Je stelt ze in als DNS-records, met DKIM ingeschakeld via de Admin-console. De volgorde maakt niet uit, maar DMARC verscherp je pas als SPF en DKIM staan. :::howto title="Zo stel je SPF, DKIM en DMARC in" 1. Publiceer een **SPF-record** dat al je legitieme verzendsystemen vermeldt, inclusief Google met `include:_spf.google.com`. 2. Schakel **DKIM** in via de Admin-console (Apps, Google Workspace, Gmail, Authenticeer e-mail) en publiceer de gegenereerde sleutel in DNS. Kies bij voorkeur een 2048-bits sleutel. 3. Publiceer een **DMARC-record**, begin met `p=none` om te observeren, met een `rua=`-adres voor rapporten. 4. Lees de **DMARC-rapporten** en identificeer alle legitieme verzendbronnen. 5. Voeg ontbrekende bronnen toe aan SPF en DKIM tot alles aligned. 6. Verscherp DMARC naar `p=quarantine` en uiteindelijk `p=reject`. ::: :::warn title="Bulkverzenders zijn verplicht" Sinds februari 2024 eisen Gmail en Yahoo dat verzenders van meer dan 5.000 berichten per dag naar Gmail zowel SPF als DKIM hebben en minimaal een DMARC-beleid van `p=none` publiceren. Sinds eind 2025 wordt dit strikt op SMTP-niveau afgedwongen: mail van bulkverzenders zonder correcte authenticatie wordt geweigerd of uitgesteld. Ook een werkende lijst-uitschrijflink (`List-Unsubscribe`) hoort daarbij. ::: ## DMARC stapsgewijs verscherpen De grootste fout is direct naar `p=reject` springen. Begin met `p=none`, dat handhaaft niets maar stuurt wel rapporten. Die rapporten tonen alle bronnen die namens je domein verzenden, ook vergeten systemen zoals een facturatietool of een nieuwsbriefdienst. :::warn title="Spring nooit te vroeg naar reject" Zet DMARC nooit op reject voordat je zeker weet dat al je legitieme verzendsystemen correct authenticeren. Een vergeten systeem, zoals je boekhoudpakket of een externe nieuwsbriefdienst, faalt dan op authenticatie en al die legitieme mail wordt geweigerd. De DMARC-rapporten uit de none-fase zijn er juist om die systemen op te sporen voordat je handhaaft. Sla die fase niet over. ::: ## Alignment is de sleutel Het concept dat spoofing echt blokkeert is alignment. DMARC eist dat het domein dat SPF of DKIM authenticeert overeenkomt met het zichtbare From-domein. Een aanvaller kan misschien zijn eigen mail laten slagen op SPF, maar niet met jouw From-domein erin, want dat aligned niet. Daar struikelt de spoofer. :::tip title="Gebruik een DMARC-rapportverwerker" Gebruik een DMARC-rapportverwerkingsdienst in plaats van de ruwe XML-rapporten zelf te ontleden. De rapporten komen in machineleesbaar formaat en stapelen zich op. Een verwerkingsdienst laat je in een oogopslag zien welke bronnen aligned zijn en welke nog falen, zodat je veilig naar reject kunt opschalen zonder iets te missen. ::: :::faq ### Heb ik echt alle drie nodig? Ja. Pas SPF, DKIM en DMARC samen bieden sluitende bescherming. SPF en DKIM controleren afzonderlijke aspecten en DMARC bindt ze samen met alignment, handhaving en rapportage. ### Waarom kan ik niet meteen op reject zetten? Omdat vergeten verzendsystemen dan op authenticatie falen en hun legitieme mail geweigerd wordt. De none-fase met rapporten brengt eerst al die bronnen in kaart. ### Wat betekent alignment? Het is de eis dat het domein dat SPF of DKIM authenticeert overeenkomt met het zichtbare From-domein. Zonder alignment kan een aanvaller jouw From-adres niet geloofwaardig nabootsen. ### Beschermt dit ook tegen lookalike-domeinen? Nee. SPF, DKIM en DMARC beschermen je eigen domein tegen vervalsing. Domeinen die op jouw naam lijken (zoals een verwisselde letter) vergen aparte detectie en monitoring. ### Geldt dit ook voor mijn kleine bedrijf met weinig mail? Ja. De verplichte bulkdrempel ligt op 5.000 berichten per dag, maar SPF, DKIM en DMARC verbeteren bezorging en bescherming voor elk domein dat mail verstuurt. Stel ze altijd in. ### Welke DKIM-sleutellengte kies ik? Kies 2048-bits als je DNS-provider dat ondersteunt. Dat is veiliger dan de oudere 1024-bits sleutel en wordt door Google aanbevolen. ::: SPF, DKIM en DMARC vormen samen de definitieve verdediging tegen het vervalsen van je domein. Stel alle drie in, gebruik de DMARC-rapporten om elke legitieme bron op te sporen en verscherp het beleid stapsgewijs naar reject. Doe je dat zorgvuldig, dan wordt het voor een aanvaller vrijwel onmogelijk om geloofwaardig mail te versturen die van jouw domein lijkt te komen.