Google Workspace levert e-mail, agenda en documenten, maar voor de juiste werking moet je domein naar Google wijzen. Dat regel je met een aantal DNS-records bij je domeinprovider. In dit overzicht lopen we per record na wat het doet, welke waarde erin hoort en waar je de exacte gegevens vindt. Zo voorkom je dat e-mail niet aankomt of in de spammap belandt.
Waar je deze records instelt
Alle records voeg je toe in het DNS-beheer van je domeinprovider, bijvoorbeeld bij je registrar of hostingpartij. De waarden die specifiek zijn voor jouw omgeving, zoals de verificatiecode en de DKIM-sleutel, genereer je in de Beheerdersconsole op admin.google.com. De algemene records, zoals SPF, hebben voor iedereen dezelfde waarde.
TXT-record voor verificatie
Dit record bewijst dat je eigenaar bent van het domein. Je kopieert de unieke code uit de Beheerdersconsole en plaatst die als TXT-record met host @. Laat het record na verificatie staan, zodat Google het eigenaarschap kan blijven bevestigen.
MX-records voor e-mail
MX staat voor Mail Exchanger. Deze records vertellen het internet naar welke servers e-mail voor jouw domein verzonden moet worden. Voor Google Workspace wijs je ze naar de mailservers van Google.
MX-records instellen
- Log in bij je DNS-provider en open het DNS-beheer van je domein.
- Verwijder eventuele bestaande MX-records van een vorige e-mailprovider, zodat e-mail niet naar twee plekken loopt.
- Voeg het MX-record toe zoals getoond in de Beheerdersconsole. Moderne Workspace-omgevingen gebruiken een enkel record met host @ en prioriteit 1 dat naar smtp.google.com wijst.
- Sla het record op en laat de TTL op de standaardwaarde staan.
- Controleer in de Beheerdersconsole onder de inrichtingswizard of Google de records herkent.
Oude versus nieuwe MX-records
Google gebruikte vroeger vijf afzonderlijke MX-records (zoals aspmx.l.google.com en de alt-varianten met prioriteiten 1, 5 en 10). Nieuwere accounts werken met een enkel vereenvoudigd MX-record naar smtp.google.com. Neem altijd over wat jouw eigen console toont, want dat is leidend voor jouw account.
SPF-record tegen vervalsing
Met een SPF-record (Sender Policy Framework) geef je aan welke servers namens jouw domein e-mail mogen versturen. Ontvangende servers gebruiken dit om vervalste afzenders te herkennen. Voor Google Workspace gebruik je als TXT-record de waarde v=spf1 include:_spf.google.com ~all. Verstuur je ook via andere diensten, bijvoorbeeld een nieuwsbriefplatform, voeg die dan binnen hetzelfde SPF-record toe. Gebruik nooit twee losse SPF-records, want dat maakt het record ongeldig.
DKIM-record voor een handtekening
DKIM (DomainKeys Identified Mail) voegt een digitale handtekening toe aan je uitgaande e-mail. Daarmee kan de ontvanger controleren dat het bericht echt van jouw domein komt en onderweg niet is aangepast.
DKIM activeren
- Ga in admin.google.com naar Apps, Google Workspace, Gmail en kies Authenticatie van e-mail.
- Selecteer je domein en genereer een nieuwe DKIM-sleutel.
- Kopieer de getoonde hostnaam (zoals google._domainkey) en de lange waarde.
- Maak bij je DNS-provider een TXT-record met die host en waarde aan.
- Keer terug naar de console en klik op Verificatie starten.
DMARC-record voor het beleid
DMARC (Domain-based Message Authentication, Reporting and Conformance) bepaalt wat ontvangers moeten doen met e-mail die de SPF- of DKIM-controle niet doorstaat. Je stelt het in als TXT-record op de host _dmarc. Een rustige startwaarde is v=DMARC1; p=none; rua=mailto:beheer@voorbeeld.nl, waarmee je alleen rapportages ontvangt. Strenger is v=DMARC1; p=reject; rua=mailto:beheer@voorbeeld.nl; pct=100; adkim=s; aspf=s, waarmee verdachte berichten worden geweigerd.
Begin soepel, scherp daarna aan
Zet DMARC eerst op p=none en bekijk een paar weken de rapportages. Pas als je zeker weet dat al je legitieme post correct ondertekend is, verhoog je naar p=quarantine en uiteindelijk p=reject. Zo voorkom je dat eigen e-mail per ongeluk geblokkeerd wordt.
Een tikfout breekt je e-mail
DNS-records voor e-mail luisteren nauw. Een verkeerde prioriteit, een ontbrekende punt of een dubbel SPF-record kan ertoe leiden dat e-mail niet aankomt of als spam wordt gemarkeerd. Controleer elk record na het opslaan zorgvuldig.
In welke volgorde stel ik de records in?
Begin met de TXT voor verificatie, voeg daarna de MX-records toe voor e-mail en sluit af met SPF, DKIM en DMARC voor de beveiliging.
Waarom moet ik oude MX-records verwijderen?
Als er nog records van een vorige provider staan, kan e-mail naar de verkeerde server lopen. Verwijder die zodat alle post netjes bij Google aankomt.
Hoe lang duurt het voordat de records werken?
Vaak binnen enkele minuten tot een uur, maar het verspreiden van DNS-wijzigingen kan tot 48 uur duren. Geef het de tijd voordat je conclusies trekt.
Heb ik per se SPF, DKIM en DMARC nodig?
Voor verzenden volstaat technisch gezien de MX, maar zonder SPF, DKIM en DMARC belandt je e-mail sneller in de spam en is je domein kwetsbaar voor misbruik. Stel ze daarom altijd in.