Samenvatting: SPF, DKIM en DMARC zijn authenticatiemechanismen die ervoor zorgen dat jouw uitgaande e-mail niet als spam wordt gemarkeerd en dat anderen niet kunnen mailen namens jouw domein. Deze handleiding laat zien hoe je deze records stap voor stap instelt in DirectAdmin om optimale e-mail deliverability te bereiken.
Waarom zijn SPF, DKIM en DMARC belangrijk?
E-mailproviders zoals Gmail, Outlook en Yahoo gebruiken deze technologieën om te verifiëren dat een e-mail echt van jouw domein afkomstig is. Zonder correcte configuratie:
- Komen jouw e-mails in de spam-folder terecht
- Kunnen oplichters e-mail versturen alsof die van jouw domein komt (spoofing)
- Loop je het risico dat grote providers jouw e-mail volledig blokkeren
- Krijg je geen rapportages over misbruik van jouw domeinnaam
Overzicht van de drie technologieën
| Protocol | Functie | Wat het doet |
|---|---|---|
| SPF | Sender Policy Framework | Bepaalt welke mailservers e-mail mogen versturen namens jouw domein |
| DKIM | DomainKeys Identified Mail | Voegt een digitale handtekening toe aan uitgaande e-mail om te bewijzen dat deze niet gewijzigd is |
| DMARC | Domain-based Message Authentication | Geeft ontvangende servers instructies wat te doen met e-mail die SPF of DKIM niet doorstaat |
Stap 1: SPF-record instellen
Het SPF-record vertelt ontvangende mailservers welke IP-adressen en servers toestemming hebben om e-mail te versturen voor jouw domein.
SPF instellen in DirectAdmin
- Log in op DirectAdmin
- Ga naar Account Manager → DNS Management
- Klik op Add Record
- Selecteer bij Record Type de optie TXT
- Voer het volgende in:
Name: @ (of laat leeg voor root-domein)
Value: v=spf1 a mx ip4:JE_SERVER_IP include:spf.lionserve.nl ~allUitleg van SPF-mechanismen
v=spf1– SPF versie 1a– Sta het IP-adres van het A-record van het domein toemx– Sta de MX-servers van het domein toeip4:1.2.3.4– Sta een specifiek IPv4-adres toeinclude:spf.lionserve.nl- Sta alle lionserver hostingservers toe om te mailen, zodat uw hostingaccount dit ook mag~all– Softfail: markeer andere servers als verdacht (niet blokkeren)-all– Hardfail: blokkeer e-mail van andere servers
Voorbeeld SPF-records voor verschillende situaties
// Alleen e-mail vanaf deze server:
v=spf1 a mx ip4:193.143.69.122 include:spf.lionserve.nl ~all
// Ook externe e-mail via Office 365:
v=spf1 a mx ip4:193.143.69.122 include:spf.lionserve.nl include:spf.protection.outlook.com ~all
// Ook externe e-mail via Google Workspace:
v=spf1 a mx ip4:193.143.69.122 include:spf.lionserve.nl include:_spf.google.com ~allStap 2: DKIM-record instellen
DKIM voegt een cryptografische handtekening toe aan elke uitgaande e-mail, waardoor ontvangers kunnen verifiëren dat de e-mail authentiek is en onderweg niet is gewijzigd.
DKIM activeren in DirectAdmin
- Log in op DirectAdmin
- Ga naar Account Manager → DNS Management
- Klik op Add Record
- Selecteer bij Record Type de optie TXT
- Voer het volgende in:
Name: default._domainkey
Value: v=DKIM1; k=rsa; p=JE_PUBLIC_KEYDKIM public key genereren
DirectAdmin genereert automatisch DKIM-sleutels per domein. Alle mail die via het hostingaccount wordt verzonden, gebruikt automatisch deze sleutel.
DKIM-record toevoegen
Het complete record ziet er ongeveer zo uit:
x._domainkey TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC..."Stap 3: DMARC-record instellen
DMARC combineert SPF en DKIM en instrueert ontvangende servers wat te doen met e-mail die de authenticatie niet doorstaat. [web:30][web:32] Het stuurt ook rapporten naar jou over alle e-mail die namens jouw domein wordt verstuurd.
DMARC instellen in DirectAdmin
- Log in op DirectAdmin
- Ga naar DNS Management
- Klik op Add Record
- Selecteer TXT als Record Type
- Selecteer DMARC als TXT Record Type
- Vul je e-mailadres in bij Aggregate Email (RUA), bijvoorbeeld:
dmarc-reports@jouwdomein.nl - Klik op Add
Zorg dat de hele waarde tussen aanhalingstekens staat.
DMARC-beleidsregels uitgelegd
| Policy | Betekenis | Wanneer gebruiken |
|---|---|---|
p=none |
Monitor: doe niets, stuur alleen rapporten | Eerste 2-4 weken om te observeren |
p=quarantine |
Markeer verdachte e-mail als spam | Tussenfase wanneer je vertrouwen hebt in configuratie |
p=reject |
Blokkeer e-mail die niet authentiek is | Eindstadium: maximale bescherming |
Uitleg DMARC-parameters
v=DMARC1– DMARC versie 1p=policy– Beleid voor het domein (none/quarantine/reject)sp=policy– Beleid voor subdomeinenrua=mailto:email– E-mailadres voor geaggregeerde rapportenruf=mailto:email– E-mailadres voor forensische rapporten (individuele mislukkingen)pct=10– Pas beleid toe op 10% van de e-mail (voor geleidelijke uitrol)adkim=s– Strikte DKIM-alignment (domein moet exact matchen)aspf=s– Strikte SPF-alignmentfo=1– Genereer rapport bij elke authenticatiefout
Stap 4: Testen en valideren
Na het instellen van SPF, DKIM en DMARC moet je verifiëren dat alles correct werkt.
DNS-propagatie controleren
Het kan 15 minuten tot 24 uur duren voordat DNS-wijzigingen wereldwijd zijn doorgevoerd. Controleer je records met:
// SPF controleren
dig TXT jouwdomein.nl +short
// DKIM controleren
dig TXT x._domainkey.jouwdomein.nl +short
// DMARC controleren
dig TXT _dmarc.jouwdomein.nl +shortE-mail testen met Mail-Tester
- Ga naar https://www.mail-tester.com/
- Kopieer het unieke e-mailadres dat wordt getoond
- Stuur een test-e-mail vanaf jouw domein naar dat adres
- Ververs de pagina en bekijk je score (streef naar 10/10)
Extra test-tools
- MXToolbox:
https://mxtoolbox.com/SuperTool.aspx– Controleer SPF, DKIM, DMARC en blacklists - Google Admin Toolbox:
https://toolbox.googleapps.com/apps/checkmx/– Specifiek voor Gmail-deliverability - DMARC Analyzer: Diverse gratis tools om DMARC-rapporten te lezen en analyseren
Stap 5: DMARC-rapporten interpreteren
Nadat je DMARC hebt ingesteld met een rua=-adres, ontvang je periodiek XML-rapporten van grote e-mailproviders.
Wat staat er in DMARC-rapporten?
- Alle bronnen (IP-adressen) die e-mail versturen namens jouw domein
- Hoeveel berichten SPF/DKIM wel of niet doorstaan
- Welke ontvangende providers je e-mail afwijzen of als spam markeren
- Mogelijke spoofing-pogingen of configuratiefouten
Acties op basis van rapporten
- Onbekende IP-adressen zien? Voeg legitieme bronnen toe aan je SPF-record of blokkeer ongeautoriseerde verzenders
- Hoog DKIM-fail percentage? Controleer of DKIM correct is ingeschakeld voor alle domeinen/subdomeinen
- Groot volume vanaf een IP? Identificeer of dit je eigen marketingtool, WordPress of een externe service is
Veelgemaakte fouten en oplossingen
Fout 1: Meerdere SPF-records
Probleem: Er mag maar één SPF TXT-record per domein bestaan.
Oplossing: Combineer alle include:-mechanismen in één enkel SPF-record. Het is wel mogelijk om een ander SPF-record includen in het huidige SPF-record
Fout 2: SPF-record te lang
Probleem: SPF heeft een limiet van 10 DNS-lookups en 512 karakters.
Oplossing: Minimaliseer het aantal include:-statements en gebruik waar mogelijk directe IP-adressen met ip4:.
Fout 3: DKIM-sleutel te kort
Probleem: DKIM-sleutels korter dan 1024 bits worden als onveilig beschouwd.
Oplossing: Gebruik minimaal 2048-bit RSA-sleutels (standaard in moderne DirectAdmin-installaties).
Fout 4: DMARC te snel op 'reject'
Probleem: Direct p=reject instellen kan legitieme e-mail blokkeren.
Oplossing: Begin met p=none en monitor 2-4 weken voordat je overschakelt.
Fout 5: Subdomeinen vergeten
Probleem: E-mail vanaf subdomeinen (bijv. mail.jouwdomein.nl) worden niet gedekt.
Oplossing: Voeg sp=quarantine of sp=reject toe aan je DMARC-record voor subdomeinbeleid.
Checklist: perfecte e-mail setup
Gebruik deze checklist om te verifiëren dat je e-mailconfiguratie compleet is:
- Hostname van de server is correct (bijv.
server.jouwdomein.nl) - Hostname heeft een A-record
- SPF-record is ingesteld met correcte IP-adressen en eindigt op
~allof-all - DKIM is actief en de publieke sleutel staat in DNS als TXT-record
- DMARC-record is ingesteld (start met
p=none) - E-mail getest via Mail-Tester.com met score 9/10 of hoger
- DMARC-rapporten worden ontvangen en periodiek gecontroleerd
- Na 2-4 weken monitoring: DMARC-policy verscherpt naar
p=quarantineofp=reject
