Naar inhoud
lightbulb Welkom op de nieuwe kennisbank | We hebben de docs volledig vernieuwd met meer dan 160 features. Bekijk wat nieuw isarrow_forward

DANE instellen voor e-mailbeveiliging via DNS

DANE bindt het TLS-certificaat van je mailserver aan een DNS-record dat met DNSSEC is beschermd. Leer wat het oplost, hoe het verschilt van MTA-STS en wanneer je het binnen Google Workspace inzet.

schedule5 min lezen event1 Jun 2026 updateBijgewerkt 17 wkn open_in_new data_object

Net als MTA-STS lost DANE het probleem op dat de versleuteling tussen mailservers kan worden ondermijnd. DANE pakt het alleen anders aan: het verankert het verwachte certificaat in DNS, beschermd door DNSSEC. Daarmee biedt het een sterke garantie tegen certificaatvervalsing. Het vraagt wel om DNSSEC, en de inzetbaarheid binnen Workspace verschilt van die van MTA-STS.

Wat DANE doet

DANE staat voor DNS-based Authentication of Named Entities. Het idee is dat je in DNS vastlegt welk TLS-certificaat je mailserver hoort te presenteren, via een TLSA-record. Een verzendende server controleert dat record en weigert de verbinding als het gepresenteerde certificaat er niet mee overeenkomt.

Het cruciale element is DNSSEC. Zonder DNSSEC zou een aanvaller het TLSA-record zelf kunnen vervalsen, en dan is de bescherming waardeloos. DNSSEC ondertekent je DNS cryptografisch, zodat het TLSA-record te vertrouwen is.

info

DANE en MTA-STS sluiten elkaar niet uit

DANE en MTA-STS lossen hetzelfde probleem op via een andere weg. MTA-STS leunt op het bestaande systeem van certificaatautoriteiten en HTTPS. DANE leunt op DNSSEC. Ze kunnen naast elkaar bestaan. Welke je kiest hangt af van of je DNSSEC hebt en welke ondersteuning je mailplatform biedt.

DANE versus MTA-STS

Beide dwingen versleutelde aflevering af, maar de vertrouwensbasis verschilt. Het loont om dat verschil te begrijpen voordat je kiest.

Aspect DANE MTA-STS
Vertrouwensbasis DNSSEC Certificaatautoriteiten en HTTPS
Wat het vastlegt Het exacte certificaat in een TLSA-record Een beleid dat TLS afdwingt voor jouw domein
Vereiste DNSSEC actief op je domein Geen DNSSEC nodig
Sterkte Zeer sterk tegen certificaatvervalsing Sterk, maar afhankelijk van het CA-systeem
Uitrol Complexer, DNSSEC eerst Eenvoudiger op te zetten

Je kunt beide publiceren. Verzenders die DANE ondersteunen gebruiken dat, andere verzenders vallen terug op MTA-STS.

DANE binnen Google Workspace

Hier zit een belangrijke nuance. Voor inkomende mail naar een domein op Google Workspace beheer je de mailservers van Google niet zelf. Je kunt dus geen kloppend TLSA-record voor de Google-mailservers publiceren, en Google biedt geen optie om TLSA-records voor je inkomende mail te beheren. Voor uitgaande mail past Gmail DANE-validatie wel toe: sinds 2023 controleert Gmail het TLSA-record van de ontvanger wanneer die DANE ondersteunt.

warning

Publiceer geen los TLSA-record voor inkomende Workspace-mail

Publiceer geen TLSA-record voor je inkomende Google Workspace-mail zonder zeker te weten dat het overeenkomt met de certificaten die Google presenteert. Een verkeerd TLSA-record zorgt ervoor dat DANE-handhavende verzenders je inkomende mail weigeren, omdat het certificaat niet matcht. Voor inkomende bescherming bij Workspace is MTA-STS doorgaans de praktischere keuze.

In de praktijk betekent dit: anders dan Microsoft 365, dat sinds maart 2024 inkomende DANE voor Exchange Online ondersteunt, biedt Google Workspace alleen uitgaande DANE-validatie. Voor inkomende afdwinging op een puur Workspace-domein is MTA-STS het aangewezen middel.

DNSSEC als voorwaarde

Voordat je DANE overweegt, moet DNSSEC op je domein actief en correct zijn. DNSSEC inschakelen gebeurt bij je DNS-provider of registrar en vereist dat je de ondertekening en de keten naar de bovenliggende zone correct opzet.

Zo zet je DANE op (met DNSSEC vooraf)

  1. Controleer of je DNS-provider DNSSEC ondersteunt.
  2. Schakel DNSSEC in en publiceer het DS-record bij je registrar.
  3. Verifieer met een DNSSEC-validatietool dat de vertrouwensketen sluit.
  4. Bepaal voor welke richting je DANE wilt, realistisch vooral uitgaand via Gmail.
  5. Beheer je eigen mailservers? Publiceer een TLSA-record dat het juiste certificaat van die server vastlegt.
  6. Test met een DANE- of TLSA-validatietool of het record correct evalueert.
lightbulb

Onderhoud je TLSA-record bij certificaatvernieuwing

Een TLSA-record legt een specifiek certificaat of de publieke sleutel daarvan vast. Vernieuw je het certificaat van je mailserver, dan moet het record meebewegen. Publiceer bij voorkeur eerst het nieuwe TLSA-record naast het oude (rollover), schakel daarna pas het certificaat om en verwijder het oude record als alles klopt. Zo voorkom je dat verzenders je mail tijdelijk weigeren.

Wanneer DANE zinvol is

DANE is vooral relevant als je al DNSSEC hebt en een sterke, op DNS gebaseerde garantie wilt, of als je naast Workspace ook eigen mailservers beheert. Heb je geen DNSSEC en draai je puur op Workspace, dan levert MTA-STS je sneller praktische bescherming voor inkomende mail.

Gebruik deze vuistregels:

  • DNSSEC is al actief en je wilt de sterkste garantie: DANE is een uitstekende keuze.
  • Geen DNSSEC en je wilt snel inkomende mail beschermen: kies MTA-STS.
  • Je beheert eigen mailservers naast Workspace: zet DANE met TLSA-records op die servers.
  • Je wilt maximale dekking: combineer DANE en MTA-STS waar dat kan.
Heb ik DNSSEC nodig voor DANE?

Ja. Zonder DNSSEC kan een aanvaller het TLSA-record vervalsen, waardoor DANE onveilig en zinloos wordt. DNSSEC is een harde voorwaarde.

Kan ik DANE voor inkomende Workspace-mail instellen?

Niet praktisch. Je beheert de certificaten van de Google-mailservers niet, en Google biedt geen optie om TLSA-records voor je inkomende mail te publiceren. Gebruik hiervoor MTA-STS.

Past Gmail DANE toe op uitgaande mail?

Ja. Gmail valideert sinds 2023 het TLSA-record van de ontvanger bij verzending, wanneer die ontvanger DANE ondersteunt.

Vervangt DANE MTA-STS?

Nee. Ze vullen elkaar aan en kunnen naast elkaar bestaan. Verzenders die DANE ondersteunen gebruiken dat, andere vallen terug op MTA-STS.

Wat gebeurt er als mijn TLSA-record niet meer klopt?

Verzenders die DANE afdwingen weigeren dan de verbinding, omdat het gepresenteerde certificaat niet matcht. Houd je record gelijk met je certificaat en gebruik een rollover bij vernieuwing.

Ondersteunt Google Workspace inkomende DANE net als Microsoft 365?

Nee. Microsoft 365 ondersteunt inkomende DANE voor Exchange Online sinds maart 2024, maar Google Workspace biedt alleen uitgaande DANE-validatie.

DANE biedt een krachtige, met DNSSEC verankerde garantie tegen certificaatvervalsing bij e-mail. Voor zuivere Workspace-domeinen blijft de praktische inzet beperkt tot uitgaande validatie door Gmail, terwijl MTA-STS je inkomende mail makkelijker beschermt. Heb je DNSSEC en eigen mailinfrastructuur, dan is DANE een sterke aanvulling. Kies bewust op basis van je situatie.

Verwant in de kennisbank

Pagina's die je verder helpen bij dit onderwerp.

MTA-STS instellen voor verbeterde e-mailbeveiliging

MTA-STS dwingt af dat mail naar je domein altijd versleuteld wordt afgeleverd. Leer hoe je het publiceert en zo downgrade-aanvallen op je inkomende mail voorkomt.

schedule6 min label2 gedeelde tags
Lees verder arrow_forward

TLS-rapportage instellen voor e-mailinzicht

TLS-rapportage (TLS-RPT) stuurt je dagelijkse rapporten over hoe versleuteld mail naar je domein werd afgeleverd. Leer hoe je het TXT-record instelt en de rapporten leest.

schedule5 min label2 gedeelde tags
Lees verder arrow_forward

TLS afdwingen voor inkomende en uitgaande e-mail

TLS versleutelt e-mailverkeer onderweg. In Google Workspace dwing je TLS af per domein en bescherm je inkomend verkeer met MTA-STS. Zo stel je het beleid in, test je het en handel je af wanneer een partner geen TLS ondersteunt.

schedule6 min label1 gedeelde tag
Lees verder arrow_forward

Meerdere domeinen in Google Workspace gebruiken

Heb je meer dan een domeinnaam? In Google Workspace kun je naast je hoofddomein ook secundaire domeinen en domeinaliassen toevoegen. Ontdek het verschil en wanneer je welk type kiest.

schedule4 min
Lees verder arrow_forward