DMARC, SPF en DKIM instellen: voorkom e-mailspoofing

Wat doen SPF, DKIM en DMARC precies?

Een klant belt je donderdagochtend. Hij heeft een factuur betaald die van jouw bedrijf leek te komen: je logo, je adres, je huisstijl. Alleen was het rekeningnummer niet van jou. De mail ook niet. Iemand heeft zich voorgedaan als facturen@jouwbedrijf.be en 4.200 euro is weg.

Zonder SPF, DKIM en DMARC kan iedereen dat doen. Volgens het Belgium DMARC Report 2025 heeft 1 op 5 Belgische domeinen geen DMARC-record. In de transportsector loopt dat op tot 36%, in de overheid tot 26%. CEO-fraude en factuurfraude werken exact op deze manier.

Drie protocollen voorkomen dit. Ze werken samen als drie lagen:

SPF (Sender Policy Framework) is een gastenlijst. Je publiceert in je DNS welke mailservers mogen versturen namens jouw domein. Staat een server niet op de lijst? Dan weet de ontvangende server dat de mail verdacht is.

DKIM (DomainKeys Identified Mail) is een digitale handtekening. Elke uitgaande mail krijgt een onzichtbaar zegel dat de ontvanger kan verifiëren. Klopt de handtekening niet? Dan is de mail onderweg aangepast of komt hij niet van jou.

DMARC (Domain-based Message Authentication, Reporting and Conformance) is de scheidsrechter. DMARC vertelt ontvangende servers wat ze moeten doen als SPF of DKIM faalt: niets (none), naar spam verplaatsen (quarantine), of weigeren (reject). En je krijgt rapporten over wie er mailt namens jouw domein.

Stap voor stap instellen

De volgorde doet ertoe. Eerst SPF, dan DKIM, dan DMARC. Wacht minimaal 48 uur tussen DKIM en DMARC, zodat handtekeningen actief zijn voordat je beleid begint te handhaven.

Stap 1: SPF instellen

Log in bij je domeinprovider (Combell, OVH, TransIP, Hostbasket of waar je je .be-domein beheert). Ga naar DNS-beheer en voeg een TXT-record toe op je hoofddomein.

Microsoft 365:

v=spf1 include:spf.protection.outlook.com -all

Google Workspace:

v=spf1 include:_spf.google.com ~all

Gebruik je naast je e-mailplatform ook andere diensten die mails sturen namens je domein (nieuwsbrief-tool, CRM, facturatiesoftware)? Voeg die toe met extra include:-verwijzingen. Voorbeeld met Mailchimp erbij:

v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -all

Stap 2: DKIM activeren

Microsoft 365: open het Microsoft 365-beheercentrum > E-mailverificatie > DKIM. Selecteer je domein en klik op Inschakelen. Microsoft genereert twee CNAME-records die je in je DNS plaatst.

Google Workspace: Google Admin-console > Apps > Google Workspace > Gmail > E-mail verifiëren. Genereer een DKIM-sleutel en plaats het TXT-record in je DNS.

Gebruik je een andere provider? Zoek in hun documentatie op "DKIM" en volg de stappen. De Belgische hosters Combell en Hostbasket hebben eigen handleidingen, net als One.com en Mijndomein.

De vergeten stap: DKIM moet ook aan voor diensten van derden die namens jouw domein mailen. Je nieuwsbrief-tool, CRM, boekhoudpakket of helpdesk-systeem heeft eigen DKIM-configuratie. Mist daar de handtekening, dan vallen die mails straks uit bij een streng DMARC-beleid. En bij veel KMO's is dat de helft van al het uitgaande verkeer.

Stap 3: DMARC instellen

Voeg een TXT-record toe op het subdomein _dmarc:

Start altijd met p=none:

v=DMARC1; p=none; rua=mailto:dmarc-reports@jouwbedrijf.be; pct=100

Dit blokkeert nog niets. Het stuurt alleen rapporten naar het opgegeven adres. Die rapporten tonen welke servers mails versturen namens je domein, en of SPF en DKIM correct doorkomen.

Gebruik een apart e-mailadres voor de rapporten, niet je persoonlijke inbox. Bij een actief domein ontvang je dagelijks tientallen XML-rapporten. Een adres als dmarc-reports@jouwbedrijf.be houdt het overzichtelijk.

Van p=none naar p=reject: het opbouwpad

De grootste fout die KMO's maken: DMARC op p=none zetten en het daarbij laten. Van de Belgische domeinen mét een DMARC-record gebruikt ongeveer 75% het niet om fraude te blokkeren. Ze monitoren alleen. Alsof je een camera ophangt maar nooit naar de beelden kijkt.

Het opbouwpad in vier fases:

Week 1-2: p=none. Verzamel rapporten. Bekijk welke servers mails sturen namens je domein. Herken je ze allemaal (je e-mailplatform, nieuwsbrief-tool, facturatiesoftware)? Of zitten er onbekende servers tussen? Als je onbekenden ziet: zoek uit of het legitieme diensten zijn die je vergeten bent, of dat iemand al je domein misbruikt. Dat laatste komt vaker voor dan je denkt.

Week 3-4: p=quarantine; pct=25. Pas quarantine toe op 25% van de verdachte mails. Die belanden in de spammap bij de ontvanger. Let op je klantenservice: krijg je klachten dat legitieme mails niet aankomen?

Week 5: p=quarantine; pct=100. Alle verdachte mails gaan naar spam. Nog steeds geen mails geweigerd, maar spoofing is nu effectief onzichtbaar voor ontvangers.

Week 6+: p=reject. Verdachte mails worden geweigerd. Ontvangende servers accepteren alleen mails die SPF of DKIM correct doorstaan. Je domein is nu beschermd.

Wees geduldig. De verleiding is groot om direct naar reject te springen, maar één vergeten mailserver kan ervoor zorgen dat facturen niet meer aankomen bij je klanten. Twee weken langer testen is beter dan een week omzetverlies.

Het CCB en DNS Belgium publiceerden samen technische richtlijnen voor deze stapsgewijze aanpak. Volg die als je twijfelt over details.

Hoe test je of het werkt?

Na elke stap: test. Drie gratis tools:

• MXToolbox (mxtoolbox.com): vul je domein in, check je SPF-, DKIM- en DMARC-records. Toont fouten en waarschuwingen direct
• internet.nl: Nederlandse overheidstest die SPF, DKIM, DMARC én DNSSEC controleert. Geeft een score per categorie, werkt ook prima voor .be-domeinen
• Mail-tester.com: stuur een testmail naar het opgegeven adres en krijg een score van 1-10 met concrete aanbevelingen

Naast testen: let op deze veelvoorkomende fouten.

Meerdere SPF-records. Je domein mag er maar één hebben. Twee records maken elkaar ongeldig. Combineer alles in één TXT-record.

SPF eindigend op +all. Het verschil tussen -all (fail, streng), ~all (softfail, soepel) en +all (alles toestaan) is klein maar kritiek. +all laat iedereen toe om namens je domein te mailen. Je SPF-record is dan waardeloos. Gebruik -all zodra je zeker bent van je verzenderslijst.

DKIM-record wel, DKIM-inschakelen vergeten. Het DNS-record toevoegen is niet genoeg. Je moet DKIM ook activeren in je e-mailplatform zelf. Anders worden mails niet ondertekend en faalt DMARC.

DMARC op none blijven hangen. None is een startpunt, geen eindpunt. Zet een kalenderdatum waarop je doorschakelt naar quarantine en daarna reject.

Subdomeinen vergeten. Aanvallers gebruiken graag facturen.jouwbedrijf.be of support.jouwbedrijf.be om te spoofen. Voeg sp=reject toe aan je DMARC-record om inactieve subdomeinen mee te beschermen. Voor subdomeinen die je wel gebruikt voor mail, configureer je SPF en DKIM apart.

Derde partijen buiten beeld. Veel KMO's vergeten dat hun CRM, boekhoudtool, facturatieplatform of helpdesk namens hun domein mailt. Die servers horen in je SPF-record, en die diensten moeten DKIM ondersteunen. Maak één keer een lijst van alles dat met jouw bedrijfsdomein als afzender mailt. Het zijn er bijna altijd meer dan je denkt.

Wat als je het niet doet?

Drie concrete gevolgen.

Je mails belanden in spam. Sinds februari 2024 eisen Gmail en Yahoo SPF, DKIM en een geldig DMARC-record voor verzenders boven 5.000 mails per dag. Microsoft volgde op 5 mei 2025 voor mails naar Outlook.com, Hotmail.com en Live.com. Ook als je ónder die 5.000 zit: zonder deze records is de kans groter dat mails in spam belanden. Niet handig als je offertes of facturen verstuurt.

Criminelen mailen namens jouw bedrijf. Zonder DMARC met enforcement kan iedereen mails sturen die eruitzien alsof ze van jouw domein komen. Een klant die een nepfactuur betaalt, schaadt je omzet en je reputatie. En dat vertrouwen bouw je niet snel terug op.

Je mist CyFun-maatregelen. Het CyFun-framework van het CCB rekent e-mailbeveiliging tot het Protect-domein. SPF, DKIM en DMARC zijn de basismaatregelen die CCB en DNS Belgium gezamenlijk aanbevelen. Val je onder de Belgische NIS2-wet? Dan wordt adequate e-mailbeveiliging verwacht als onderdeel van je beveiligingsmaatregelen.

Wereldwijd hanteert slechts ongeveer 4% van de top 10 miljoen domeinen een p=reject-beleid, volgens recente adoptiecijfers. De rest is onbeschermd, monitort alleen, of staat verkeerd geconfigureerd. Voor KMO's is dat een kans: klanten en partners die je DMARC-record checken zien dat je phishing serieus neemt.

Een bonus voor wie doorzet: met DMARC op reject kun je BIMI (Brand Indicators for Message Identification) instellen. Dat toont je bedrijfslogo naast je mails in de inbox. Herkenbaar, professioneel, vertrouwenwekkend. BIMI werkt alleen met een geldig reject-beleid, dus het is de beloning voor wie de hele implementatie afmaakt.

Dit artikel is informatief bedoeld en vervangt geen professioneel IT-advies. DNS-wijzigingen kunnen je e-mailverkeer beïnvloeden. Test na elke wijziging en raadpleeg je IT-partner als je twijfelt. Het CCB biedt gratis implementatierichtlijnen.