E-mail authenticatie is geen luxe meer — het is een absolute noodzaak. Sinds februari 2024 vereisen Gmail en Yahoo dat bulk-verzenders SPF, DKIM én DMARC correct geconfigureerd hebben. Bij Dutchify configureren we deze protocollen voor al onze klanten als onderdeel van onze e-mail infrastructuur dienstverlening.
Waarom E-mail Authenticatie Cruciaal Is
Zonder correcte authenticatie:
- Komen je e-mails in spam terecht
- Kan je domein worden misbruikt voor phishing
- Verlies je reputatie bij e-mail providers
- Dalen je open rates en conversies
E-mail authenticatie bestaat uit drie complementaire protocollen die samen een waterdichte bescherming bieden.
SPF (Sender Policy Framework)
SPF definieert welke mailservers namens jouw domein mogen verzenden. Het werkt via een DNS TXT-record.
Hoe SPF Werkt
- Je publiceert een SPF-record in je DNS
- Ontvangende mailserver checkt of de verzendende server in het SPF-record staat
- Als de server niet geautoriseerd is, kan de e-mail worden geweigerd
SPF DNS Record Voorbeeld
v=spf1 include:_spf.google.com include:sendgrid.net include:mailgun.org -all
Uitleg van de mechanismen:
v=spf1— Versie identifierinclude:— Autoriseert de mailservers van een externe dienstip4:— Autoriseert een specifiek IP-adres-all— Wijs alle andere servers af (hard fail)~all— Soft fail (markeer als verdacht maar weiger niet)
Veelgemaakte SPF Fouten
- Te veel DNS lookups: SPF staat maximaal 10 DNS lookups toe. Elke
include:telt als lookup. - Vergeten diensten: Alle systemen die e-mail verzenden moeten in het SPF-record staan.
+allgebruiken: Dit autoriseert iedereen — nooit doen!
DKIM (DomainKeys Identified Mail)
DKIM voegt een cryptografische handtekening toe aan elke uitgaande e-mail. De ontvanger kan deze handtekening verifiëren met een publieke sleutel in je DNS.
Hoe DKIM Werkt
- Signing: Je mailserver ondertekent de e-mail met een private sleutel
- DNS Publicatie: De bijbehorende publieke sleutel staat in een DNS TXT-record
- Verificatie: De ontvanger haalt de publieke sleutel op en verifieert de handtekening
DKIM DNS Record Voorbeeld
selector1._domainkey.dutchify.ai TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNA..."
Record componenten:
selector1— De selector die aangeeft welke sleutel te gebruiken_domainkey— Vaste prefix voor DKIM recordsv=DKIM1— DKIM versiek=rsa— Het type cryptografie (RSA)p=— De publieke sleutel (Base64 encoded)
DKIM Best Practices
- Gebruik 2048-bit RSA sleutels (minimaal)
- Roteer sleutels periodiek (elke 6-12 maanden)
- Configureer DKIM voor elke verzendende dienst apart
- Test signatures met tools zoals mail-tester.com
DMARC (Domain-based Message Authentication, Reporting and Conformance)
DMARC bouwt voort op SPF en DKIM en voegt beleid en rapportage toe. Het vertelt ontvangende mailservers wat ze moeten doen met e-mails die niet door SPF of DKIM-controle komen.
DMARC DNS Record Voorbeeld
_dmarc.dutchify.ai TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@dutchify.ai; ruf=mailto:dmarc-forensic@dutchify.ai; pct=100; adkim=s; aspf=s"
Policy opties:
p=none— Geen actie, alleen rapportage (start hier!)p=quarantine— Verdachte e-mails naar spamp=reject— Verdachte e-mails weigeren
Alignment modes:
adkim=r(relaxed) ofadkim=s(strict) — DKIM domain alignmentaspf=r(relaxed) ofaspf=s(strict) — SPF domain alignment
DMARC Implementatie Stappenplan
- Start met
p=none— Verzamel data zonder impact - Analyseer rapporten — Identificeer alle legitieme verzendende diensten
- Fix SPF en DKIM — Zorg dat alle diensten correct geconfigureerd zijn
- Verhoog naar
p=quarantine— Begin met handhaving - Einddoel:
p=reject— Volledige bescherming
Monitoring en Rapportage
DMARC Rapporten Lezen
DMARC genereert twee soorten rapporten:
- Aggregate (rua): Dagelijkse XML-rapporten met statistieken over alle e-mails
- Forensic (ruf): Gedetailleerde rapporten over individuele gefaalde e-mails
Gebruik tools zoals DMARC Analyzer, Postmark DMARC, of dmarcian om rapporten te visualiseren.
Deliverability Monitoring
Naast DMARC monitoring, adviseren we:
- Blacklist monitoring — Check of je IP/domein op blacklists staat
- Inbox placement testing — Test of e-mails daadwerkelijk in de inbox belanden
- Bounce rate tracking — Monitor hard en soft bounces
- Reputation scoring — Houd je sender reputation bij
Veelgemaakte Fouten
- Direct naar
p=rejectgaan — Begin altijd metp=noneen bouw op - Subdomeinen vergeten — Configureer ook
sp=voor subdomeinen - Forwarding niet testen — E-mail forwarding breekt vaak SPF
- Geen monitoring — Zonder rapportage vlieg je blind
- Sleutels niet roteren — Verouderde DKIM-sleutels zijn een beveiligingsrisico
De Drie Protocollen Samengevat
| Protocol | Functie | DNS Record | Doel |
|---|---|---|---|
| SPF | Autorisatie | TXT op domein | Wie mag versturen? |
| DKIM | Authenticatie | TXT op selector._domainkey | Is de e-mail ongewijzigd? |
| DMARC | Beleid + Rapportage | TXT op _dmarc | Wat doen bij falen? |
Conclusie
Correct geconfigureerde e-mail authenticatie is de basis van elke professionele e-mail infrastructuur. Bij Dutchify zorgen we ervoor dat SPF, DKIM en DMARC naadloos samenwerken, zodat jouw e-mails betrouwbaar aankomen en je domein beschermd is tegen misbruik. Neem contact op voor een gratis e-mail authenticatie audit.