# DNS-records voor Google Workspace: een compleet overzicht Google Workspace levert e-mail, agenda en documenten, maar voor de juiste werking moet je domein naar Google wijzen. Dat regel je met een aantal DNS-records bij je domeinprovider. In dit overzicht lopen we per record na wat het doet, welke waarde erin hoort en waar je de exacte gegevens vindt. Zo voorkom je dat e-mail niet aankomt of in de spammap belandt. ## Waar je deze records instelt Alle records voeg je toe in het DNS-beheer van je domeinprovider, bijvoorbeeld bij je registrar of hostingpartij. De waarden die specifiek zijn voor jouw omgeving, zoals de verificatiecode en de DKIM-sleutel, genereer je in de Beheerdersconsole op admin.google.com. De algemene records, zoals SPF, hebben voor iedereen dezelfde waarde. ## TXT-record voor verificatie Dit record bewijst dat je eigenaar bent van het domein. Je kopieert de unieke code uit de Beheerdersconsole en plaatst die als TXT-record met host @. Laat het record na verificatie staan, zodat Google het eigenaarschap kan blijven bevestigen. ## MX-records voor e-mail MX staat voor Mail Exchanger. Deze records vertellen het internet naar welke servers e-mail voor jouw domein verzonden moet worden. Voor Google Workspace wijs je ze naar de mailservers van Google. :::howto title="MX-records instellen" 1. Log in bij je DNS-provider en open het DNS-beheer van je domein. 2. Verwijder eventuele bestaande MX-records van een vorige e-mailprovider, zodat e-mail niet naar twee plekken loopt. 3. Voeg het MX-record toe zoals getoond in de Beheerdersconsole. Moderne Workspace-omgevingen gebruiken een enkel record met host @ en prioriteit 1 dat naar smtp.google.com wijst. 4. Sla het record op en laat de TTL op de standaardwaarde staan. 5. Controleer in de Beheerdersconsole onder de inrichtingswizard of Google de records herkent. ::: :::info title="Oude versus nieuwe MX-records" Google gebruikte vroeger vijf afzonderlijke MX-records (zoals aspmx.l.google.com en de alt-varianten met prioriteiten 1, 5 en 10). Nieuwere accounts werken met een enkel vereenvoudigd MX-record naar smtp.google.com. Neem altijd over wat jouw eigen console toont, want dat is leidend voor jouw account. ::: ## SPF-record tegen vervalsing Met een SPF-record (Sender Policy Framework) geef je aan welke servers namens jouw domein e-mail mogen versturen. Ontvangende servers gebruiken dit om vervalste afzenders te herkennen. Voor Google Workspace gebruik je als TXT-record de waarde v=spf1 include:_spf.google.com ~all. Verstuur je ook via andere diensten, bijvoorbeeld een nieuwsbriefplatform, voeg die dan binnen hetzelfde SPF-record toe. Gebruik nooit twee losse SPF-records, want dat maakt het record ongeldig. ## DKIM-record voor een handtekening DKIM (DomainKeys Identified Mail) voegt een digitale handtekening toe aan je uitgaande e-mail. Daarmee kan de ontvanger controleren dat het bericht echt van jouw domein komt en onderweg niet is aangepast. :::howto title="DKIM activeren" 1. Ga in admin.google.com naar Apps, Google Workspace, Gmail en kies Authenticatie van e-mail. 2. Selecteer je domein en genereer een nieuwe DKIM-sleutel. 3. Kopieer de getoonde hostnaam (zoals google._domainkey) en de lange waarde. 4. Maak bij je DNS-provider een TXT-record met die host en waarde aan. 5. Keer terug naar de console en klik op Verificatie starten. ::: ## DMARC-record voor het beleid DMARC (Domain-based Message Authentication, Reporting and Conformance) bepaalt wat ontvangers moeten doen met e-mail die de SPF- of DKIM-controle niet doorstaat. Je stelt het in als TXT-record op de host _dmarc. Een rustige startwaarde is v=DMARC1; p=none; rua=mailto:beheer@voorbeeld.nl, waarmee je alleen rapportages ontvangt. Strenger is v=DMARC1; p=reject; rua=mailto:beheer@voorbeeld.nl; pct=100; adkim=s; aspf=s, waarmee verdachte berichten worden geweigerd. :::tip title="Begin soepel, scherp daarna aan" Zet DMARC eerst op p=none en bekijk een paar weken de rapportages. Pas als je zeker weet dat al je legitieme post correct ondertekend is, verhoog je naar p=quarantine en uiteindelijk p=reject. Zo voorkom je dat eigen e-mail per ongeluk geblokkeerd wordt. ::: :::warn title="Een tikfout breekt je e-mail" DNS-records voor e-mail luisteren nauw. Een verkeerde prioriteit, een ontbrekende punt of een dubbel SPF-record kan ertoe leiden dat e-mail niet aankomt of als spam wordt gemarkeerd. Controleer elk record na het opslaan zorgvuldig. ::: :::faq ### In welke volgorde stel ik de records in? Begin met de TXT voor verificatie, voeg daarna de MX-records toe voor e-mail en sluit af met SPF, DKIM en DMARC voor de beveiliging. ### Waarom moet ik oude MX-records verwijderen? Als er nog records van een vorige provider staan, kan e-mail naar de verkeerde server lopen. Verwijder die zodat alle post netjes bij Google aankomt. ### Hoe lang duurt het voordat de records werken? Vaak binnen enkele minuten tot een uur, maar het verspreiden van DNS-wijzigingen kan tot 48 uur duren. Geef het de tijd voordat je conclusies trekt. ### Heb ik per se SPF, DKIM en DMARC nodig? Voor verzenden volstaat technisch gezien de MX, maar zonder SPF, DKIM en DMARC belandt je e-mail sneller in de spam en is je domein kwetsbaar voor misbruik. Stel ze daarom altijd in. :::