# SPF, DKIM en DMARC: zo zet je het correct in

Deze drie DNS-records zorgen er samen voor dat onbekenden geen mail kunnen versturen alsof die van jouw domein komt. SPF bepaalt welke servers namens je mogen sturen, DKIM ondertekent elke mail met een digitale handtekening en DMARC vertelt ontvangers wat ze met mail moeten doen die de eerste twee controles niet doorstaat.

Sinds februari 2024 eisen Google en Yahoo bovendien dat afzenders die 5.000 of meer berichten per dag naar hun inboxen sturen, een geldig DMARC-record hebben. Vanaf eind 2025 is die handhaving strenger geworden: niet-conforme mail kan tijdelijk of zelfs permanent geweigerd worden. Ook voor kleinere domeinen is een correcte instelling daarom verstandig.

## Stap 1: SPF

Voeg dit TXT-record toe aan je root-domein:

```
v=spf1 include:_spf.google.com ~all
```

Gebruik je naast Google Workspace nog andere verzenders zoals Mailchimp of SendGrid? Voeg die toe met een extra `include:`, bijvoorbeeld `include:servers.mcsv.net`. Houd het bij maximaal tien `include`-verwijzingen, want meer dan dat laat SPF mislukken.

## Stap 2: DKIM

:::howto title="DKIM aanzetten in de Admin Console"
1. Open [admin.google.com](https://admin.google.com) en ga naar **Apps** > **Google Workspace** > **Gmail** > **E-mail verifieren** (Authenticate email).
2. Kies bij **Geselecteerd domein** het juiste domein en klik op **Nieuw record genereren**.
3. Kies sleutellengte **2048-bit** en laat de selector op `google` staan.
4. Voeg het gegenereerde TXT-record toe aan je DNS met de naam `google._domainkey`.
5. Wacht ongeveer 5 tot 30 minuten op DNS-propagatie en klik daarna op **Verificatie starten**.
:::

:::info title="Eerst Gmail actief, dan pas DKIM"
Heb je Gmail net geactiveerd voor je organisatie? Dan kan het 24 tot 72 uur duren voordat je in de Admin Console een DKIM-sleutel kunt genereren. Na het toevoegen van het record kan het tot 48 uur duren voordat DKIM volledig actief is.
:::

## Stap 3: DMARC

Begin altijd met een monitoring-record, zodat je eerst rapporten verzamelt zonder mail te blokkeren:

```
v=DMARC1; p=none; rua=mailto:dmarc@jouwdomein.nl; pct=100
```

Na ongeveer twee weken zonder problemen in de rapporten verhoog je het beleid stapsgewijs naar `p=quarantine` en uiteindelijk `p=reject`. Bij `quarantine` belandt verdachte mail in spam, bij `reject` wordt die geweigerd.

:::tip title="Lees je DMARC-rapporten met een tool"
Gebruik een dienst als [dmarcian.com](https://dmarcian.com) of [postmark.com/dmarc](https://postmark.com/dmarc) om de XML-rapporten in `rua` om te zetten naar een leesbaar overzicht. Zo zie je precies welke verzenders namens jouw domein mailen voordat je naar reject gaat.
:::

:::warn title="Spring niet meteen naar p=reject"
Direct starten met `p=reject` zonder eerst te monitoren kan legitieme mail blokkeren, bijvoorbeeld van een nieuwsbriefdienst of factuursysteem dat je was vergeten. Begin altijd met `p=none` en escaleer pas als de rapporten schoon zijn.
:::

## Controleren

Test elke stap met een gratis tool zoals [mxtoolbox.com](https://mxtoolbox.com): zoek op SPF, DKIM en DMARC voor je domein en controleer of de records correct worden gevonden en geen syntaxfouten bevatten.

:::faq
### Moet ik alle drie de records instellen?
Ja. SPF en DKIM samen leveren de bewijslast, en DMARC vertelt ontvangers wat ze met mail moeten doen die faalt. Zonder DMARC mist je de rapportage en de bescherming tegen spoofing, en voldoe je niet aan de eisen van Google en Yahoo.

### Hoe lang duurt het voordat de records werken?
DNS-wijzigingen propageren meestal binnen 30 minuten, maar kunnen tot 48 uur duren. Voor DKIM in een net geactiveerde Google Workspace kan het bovendien 24 tot 72 uur duren voordat je überhaupt een sleutel kunt genereren.

### Wat betekent ~all versus -all in SPF?
De tilde (~all) is een softfail: mail van niet-genoemde servers wordt verdacht gemarkeerd maar niet geweigerd. Het streepje (-all) is een hardfail die zulke mail afwijst. Begin met ~all en stap pas over op -all als je zeker weet dat alle legitieme verzenders in je record staan.

### Gelden deze eisen ook voor mijn kleine domein?
De harde bulk-eis van Google en Yahoo geldt vanaf 5.000 berichten per dag, maar een correcte SPF-, DKIM- en DMARC-instelling verbetert voor elk domein de afleverbaarheid en voorkomt misbruik van je domeinnaam.

### Waar stuur ik de DMARC-rapporten naartoe?
Gebruik een apart adres in het `rua`-veld, bijvoorbeeld `dmarc@jouwdomein.nl`, of een mailbox van een rapportagedienst. Zo blijven de XML-rapporten gescheiden van je gewone inbox.
:::