Deze drie DNS-records zorgen er samen voor dat onbekenden geen mail kunnen versturen alsof die van jouw domein komt. SPF bepaalt welke servers namens je mogen sturen, DKIM ondertekent elke mail met een digitale handtekening en DMARC vertelt ontvangers wat ze met mail moeten doen die de eerste twee controles niet doorstaat.
Sinds februari 2024 eisen Google en Yahoo bovendien dat afzenders die 5.000 of meer berichten per dag naar hun inboxen sturen, een geldig DMARC-record hebben. Vanaf eind 2025 is die handhaving strenger geworden: niet-conforme mail kan tijdelijk of zelfs permanent geweigerd worden. Ook voor kleinere domeinen is een correcte instelling daarom verstandig.
Stap 1: SPF
Voeg dit TXT-record toe aan je root-domein:
v=spf1 include:_spf.google.com ~all
Gebruik je naast Google Workspace nog andere verzenders zoals Mailchimp of SendGrid? Voeg die toe met een extra include:, bijvoorbeeld include:servers.mcsv.net. Houd het bij maximaal tien include-verwijzingen, want meer dan dat laat SPF mislukken.
Stap 2: DKIM
DKIM aanzetten in de Admin Console
- Open admin.google.com en ga naar Apps > Google Workspace > Gmail > E-mail verifieren (Authenticate email).
- Kies bij Geselecteerd domein het juiste domein en klik op Nieuw record genereren.
- Kies sleutellengte 2048-bit en laat de selector op
googlestaan. - Voeg het gegenereerde TXT-record toe aan je DNS met de naam
google._domainkey. - Wacht ongeveer 5 tot 30 minuten op DNS-propagatie en klik daarna op Verificatie starten.
Eerst Gmail actief, dan pas DKIM
Heb je Gmail net geactiveerd voor je organisatie? Dan kan het 24 tot 72 uur duren voordat je in de Admin Console een DKIM-sleutel kunt genereren. Na het toevoegen van het record kan het tot 48 uur duren voordat DKIM volledig actief is.
Stap 3: DMARC
Begin altijd met een monitoring-record, zodat je eerst rapporten verzamelt zonder mail te blokkeren:
v=DMARC1; p=none; rua=mailto:dmarc@jouwdomein.nl; pct=100
Na ongeveer twee weken zonder problemen in de rapporten verhoog je het beleid stapsgewijs naar p=quarantine en uiteindelijk p=reject. Bij quarantine belandt verdachte mail in spam, bij reject wordt die geweigerd.
Lees je DMARC-rapporten met een tool
Gebruik een dienst als dmarcian.com of postmark.com/dmarc om de XML-rapporten in rua om te zetten naar een leesbaar overzicht. Zo zie je precies welke verzenders namens jouw domein mailen voordat je naar reject gaat.
Spring niet meteen naar p=reject
Direct starten met p=reject zonder eerst te monitoren kan legitieme mail blokkeren, bijvoorbeeld van een nieuwsbriefdienst of factuursysteem dat je was vergeten. Begin altijd met p=none en escaleer pas als de rapporten schoon zijn.
Controleren
Test elke stap met een gratis tool zoals mxtoolbox.com: zoek op SPF, DKIM en DMARC voor je domein en controleer of de records correct worden gevonden en geen syntaxfouten bevatten.
Moet ik alle drie de records instellen?
Ja. SPF en DKIM samen leveren de bewijslast, en DMARC vertelt ontvangers wat ze met mail moeten doen die faalt. Zonder DMARC mist je de rapportage en de bescherming tegen spoofing, en voldoe je niet aan de eisen van Google en Yahoo.
Hoe lang duurt het voordat de records werken?
DNS-wijzigingen propageren meestal binnen 30 minuten, maar kunnen tot 48 uur duren. Voor DKIM in een net geactiveerde Google Workspace kan het bovendien 24 tot 72 uur duren voordat je überhaupt een sleutel kunt genereren.
Wat betekent ~all versus -all in SPF?
De tilde (~all) is een softfail: mail van niet-genoemde servers wordt verdacht gemarkeerd maar niet geweigerd. Het streepje (-all) is een hardfail die zulke mail afwijst. Begin met ~all en stap pas over op -all als je zeker weet dat alle legitieme verzenders in je record staan.
Gelden deze eisen ook voor mijn kleine domein?
De harde bulk-eis van Google en Yahoo geldt vanaf 5.000 berichten per dag, maar een correcte SPF-, DKIM- en DMARC-instelling verbetert voor elk domein de afleverbaarheid en voorkomt misbruik van je domeinnaam.
Waar stuur ik de DMARC-rapporten naartoe?
Gebruik een apart adres in het rua-veld, bijvoorbeeld dmarc@jouwdomein.nl, of een mailbox van een rapportagedienst. Zo blijven de XML-rapporten gescheiden van je gewone inbox.