Naar inhoud
lightbulb Welkom op de nieuwe kennisbank | We hebben de docs volledig vernieuwd met meer dan 160 features. Bekijk wat nieuw isarrow_forward

SPF, DKIM en DMARC instellen voor Google Workspace

Stel de drie e-mailauthenticatiestandaarden SPF, DKIM en DMARC in voor je Google Workspace-domein, zodat je uitgaande mail wordt vertrouwd en spoofing van je domein wordt tegengegaan.

schedule5 min lezen event30 May 2026 updateBijgewerkt 17 wkn open_in_new data_object

E-mailauthenticatie zorgt ervoor dat ontvangende mailservers kunnen controleren dat een bericht echt van jouw domein afkomstig is. Voor Google Workspace draait dit om drie standaarden: SPF, DKIM en DMARC. Samen verkleinen ze de kans dat jouw mail in de spam belandt én dat oplichters jouw domein misbruiken voor phishing. Je stelt ze in deze volgorde in, want DMARC bouwt voort op de andere twee.

info

Sinds 2024 vaak verplicht

Stuur je via een dienst meer dan 5.000 berichten per dag naar Gmail- of Yahoo-adressen, dan ben je een bulkverzender en is een DMARC-beleid verplicht. Google handhaaft dit sinds november 2025 met definitieve weigering in plaats van vertraging. Ook kleinere verzenders profiteren van een goede authenticatie, dus zet alle drie de standaarden gewoon altijd op.

Wat doen SPF, DKIM en DMARC?

  • SPF (Sender Policy Framework) bepaalt welke servers namens jouw domein mogen verzenden. Voor Google Workspace zijn dat de mailservers van Google.
  • DKIM (DomainKeys Identified Mail) zet een digitale handtekening op elk uitgaand bericht. De ontvanger controleert die handtekening tegen een publieke sleutel in je DNS.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance) vertelt ontvangers wat ze moeten doen met mail die SPF en DKIM niet doorstaat, en kan rapportages terugsturen.

Alle drie de records publiceer je als TXT-records bij de DNS-provider van je domein, niet in Google zelf. De DKIM-sleutel genereer je wél in de Google Admin-console.

Stap 1: SPF instellen

Voeg bij je DNS-host één TXT-record toe op het hoofddomein (host @):

v=spf1 include:_spf.google.com ~all

De waarde ~all betekent dat mail van andere servers als verdacht (soft fail) wordt gemarkeerd. Verstuur je ook via andere diensten (bijvoorbeeld een nieuwsbriefdienst), voeg dan hun include:-onderdeel toe aan ditzelfde record.

warning

Eén SPF-record, maximaal tien lookups

Publiceer per domein maar één SPF-record. Meerdere losse SPF-records maken de controle ongeldig. Houd het ook onder de tien DNS-lookups, anders faalt SPF; combineer extra verzenders daarom in dat ene record.

Stap 2: DKIM instellen

DKIM regel je in de Admin-console:

DKIM aanzetten in de Admin-console

  1. Ga naar Apps > Google Workspace > Gmail > E-mail verifiëren.
  2. Genereer een nieuwe sleutel. Kies 2048-bits als je DNS-provider dat ondersteunt; val anders terug op 1024-bits.
  3. Kopieer de TXT-naam (standaard google._domainkey) en de waarde, en zet die als TXT-record bij je DNS-host.
  4. Kom terug in de Admin-console en klik op Verificatie starten.

De status verandert daarna naar authenticatie met DKIM. Het kan tot 48 uur duren voordat dit actief is.

info

Net Gmail ingeschakeld?

Heb je Gmail net ingeschakeld voor je organisatie? Wacht dan 24 tot 72 uur voordat je de DKIM-sleutel genereert, anders kun je foutmeldingen krijgen.

Stap 3: DMARC instellen

Stel DMARC pas in als SPF en DKIM minstens 48 uur foutloos authenticeren. Voeg dan een TXT-record toe met host _dmarc:

v=DMARC1; p=none; rua=mailto:dmarc-rapporten@jouwdomein.nl

De p=-waarde bepaalt het beleid voor mail die de controle niet doorstaat:

  • none: niets doen, alleen meekijken via rapportages.
  • quarantine: verdachte mail naar de spam- of quarantainemap.
  • reject: verdachte mail weigeren.

Met de rua-tag krijg je geaggregeerde rapportages op het opgegeven adres, zodat je ziet welke bronnen namens je domein verzenden.

lightbulb

Begin voorzichtig en scherp daarna aan

Begin altijd met p=none. Bekijk een paar weken de rapportages, controleer of al je legitieme verzenders correct authenticeren en scherp daarna stapsgewijs aan naar quarantine en uiteindelijk reject.

Controleren of het werkt

Stuur een testbericht naar een ander Gmail- of Google Workspace-adres (een mail naar jezelf werkt niet voor deze controle). Open in de inbox van de ontvanger de volledige berichtkoppen en zoek naar de regel Authentication-Results. Daar zie je spf=pass, dkim=pass en dmarc=pass als alles klopt.

Veelvoorkomende valkuilen

  • DNS-wijzigingen hebben tijd nodig om te verspreiden; reken op enkele uren tot een etmaal.
  • Vergeet externe verzenders niet in je SPF-record op te nemen.
  • Zet DMARC niet meteen op reject: je riskeert dan dat legitieme mail wordt geweigerd.
Moet ik SPF, DKIM en DMARC alle drie instellen?

Ja. SPF en DKIM bewijzen dat een bericht echt van jouw domein komt, en DMARC bepaalt wat ontvangers doen met mail die de controle niet doorstaat. Pas met alle drie samen ben je goed beschermd, en voor bulkverzenders naar Gmail en Yahoo is dat sinds 2024 zelfs verplicht.

Waarom moet ik de records in een vaste volgorde instellen?

DMARC bouwt voort op SPF en DKIM. Zet je DMARC strenger dan p=none terwijl SPF of DKIM nog niet correct authenticeren, dan kan legitieme mail geweigerd worden. Stel daarom eerst SPF en DKIM in, laat die minstens 48 uur draaien en voeg pas daarna DMARC toe.

Hoelang duurt het voordat alles actief is?

DNS-wijzigingen verspreiden zich meestal binnen enkele uren tot een etmaal. DKIM-authenticatie kan tot 48 uur duren voordat Google de status op authenticeren zet. Plan dus ruim voordat je naar quarantine of reject overstapt.

Wat is het verschil tussen ~all en -all in SPF?

~all (soft fail) markeert mail van niet-vermelde servers als verdacht maar laat hem meestal nog door. -all (hard fail) weigert die mail strikter. Begin met ~all tot je zeker weet dat al je verzenders in het record staan, en stap daarna eventueel over op -all.

Krijg ik veel DMARC-rapportages?

Dat hangt af van je verzendvolume en het aantal ontvangende mailservers. De rua-rapportages zijn XML-bestanden die lastig met de hand te lezen zijn; gebruik daarom een DMARC-rapportagedienst die ze voor je samenvat.

Wil je daarna sturen wáár inkomende of uitgaande mail terechtkomt, lees dan onze gids over e-mailrouting in Google Workspace.

Verwant in de kennisbank

Pagina's die je verder helpen bij dit onderwerp.

SPF, DKIM en DMARC: zo zet je het correct in

Praktische stappen om je domein bestand te maken tegen phishing en e-mailspoofing met SPF, DKIM en DMARC in Google Workspace.

schedule4 min label4 gedeelde tags
Lees verder arrow_forward

SPF-record toevoegen voor je Google Workspace-domein

Een SPF-record vertelt ontvangende mailservers welke servers namens jouw domein mogen verzenden. Voor Google Workspace voeg je een TXT-record toe bij je domeinregistrar met de waarde van Google, anders belanden je mails sneller in spam of worden ze geweigerd.

schedule5 min label3 gedeelde tags
Lees verder arrow_forward

E-mailspoofing voorkomen met SPF DKIM en DMARC

Spoofing laat een aanvaller mail versturen die lijkt te komen van jouw domein. Het drietal SPF, DKIM en DMARC sluit dat af. Leer hoe ze samenwerken en hoe je ze correct instelt.

schedule5 min label3 gedeelde tags
Lees verder arrow_forward

TLS afdwingen voor inkomende en uitgaande e-mail

TLS versleutelt e-mailverkeer onderweg. In Google Workspace dwing je TLS af per domein en bescherm je inkomend verkeer met MTA-STS. Zo stel je het beleid in, test je het en handel je af wanneer een partner geen TLS ondersteunt.

schedule6 min label2 gedeelde tags
Lees verder arrow_forward

SMTP-relay instellen via Google Workspace voor printers en apps

Printers, scanners, camera's en interne apps moeten e-mail kunnen versturen. Met de SMTP-relay van Google Workspace doe je dat veilig en geauthenticeerd, en voorkom je veelgemaakte configuratiefouten.

schedule5 min label2 gedeelde tags
Lees verder arrow_forward