E-mailbeveiliging & DNS-authenticatie

SPF, DMARC en DKIM: Waarom E-mailbeveiliging in 2026 Onmisbaar is voor Jouw Bedrijf

Elke dag worden miljoenen e-mails verstuurd namens bedrijven die daar helemaal geen toestemming voor geven. Phishing, spoofing en business email compromise (BEC) kosten bedrijven wereldwijd miljarden. De oplossing? Drie DNS-protocollen die je e-maildomein beschermen: SPF, DKIM en DMARC. In dit artikel leggen we uit wat ze doen, waarom ze essentieel zijn en hoe Microsoft 365 en protection.outlook.com je hierbij ondersteunen.

Wat zijn SPF, DKIM en DMARC? De Drie Pijlers van E-mailauthenticatie

SPF, DKIM en DMARC zijn drie complementaire DNS-protocollen die samen bepalen wie er namens jouw domein e-mails mag versturen, of die e-mails onderweg niet zijn gewijzigd, en wat er moet gebeuren als een e-mail niet door de controle komt. Ze vormen samen de gouden standaard voor e-mailauthenticatie en worden in 2026 door vrijwel alle grote e-mailproviders verplicht gesteld — inclusief Google, Yahoo en Microsoft.

SPF

Sender Policy Framework definieert welke mailservers toestemming hebben om e-mails te versturen namens jouw domein. Het is een DNS TXT-record dat ontvangende mailservers vertelt: “alleen déze IP-adressen mogen namens ons mailen.”

Zonder SPF kan iedere mailserver ter wereld zich voordoen als jouw bedrijf. Met SPF worden ongeautoriseerde verzenders direct gedetecteerd.

DKIM

DomainKeys Identified Mail voegt een cryptografische handtekening toe aan elke uitgaande e-mail. De ontvangende server controleert deze handtekening met een publieke sleutel in je DNS, waarmee bewezen wordt dat het bericht écht van jouw domein komt én onderweg niet is gewijzigd.

DKIM beschermt tegen man-in-the-middle-aanvallen en garandeert de integriteit van je e-mailcontent.

DMARC

Domain-based Message Authentication, Reporting & Conformance bouwt voort op SPF en DKIM. DMARC vertelt ontvangende mailservers wat ze moeten doen als een e-mail niet door de SPF- of DKIM-controle komt: niets doen (none), in quarantaine plaatsen (quarantine) of afwijzen (reject).

Daarnaast levert DMARC rapportages over wie er namens jouw domein mailt — essentieel voor monitoring en incident response.

Hoe SPF Technisch Werkt — Het Poortwachter-Protocol

Wanneer je een e-mail verstuurt, controleert de ontvangende mailserver het SPF-record van je domein in DNS. Dit record bevat een lijst met IP-adressen en domeinen die toestemming hebben om namens jou te mailen. Het verificatieproces verloopt in vier stappen:

  • Stap 1: De ontvangende server haalt het SPF TXT-record op uit de DNS van je domein (bijv. v=spf1 include:spf.protection.outlook.com -all)

  • Stap 2: Het IP-adres van de verzendende server wordt vergeleken met de toegestane IP’s in het SPF-record

  • Stap 3: Bij een match: SPF-check geslaagd. Het IP is geautoriseerd

  • Stap 4: Geen match? De e-mail wordt geflagged als ongeautoriseerd en afhankelijk van je DMARC-policy afgewezen, in quarantaine geplaatst of doorgelaten met een waarschuwing

Let op: SPF heeft een limiet van maximaal 10 DNS-lookups. Bij te veel include:-statements faalt de validatie. Dit is een veelgemaakte fout die wij bij klanten regelmatig corrigeren.

Hoe DKIM Technisch Werkt — De Digitale Handtekening

DKIM werkt met een public/private key-paar. De private key staat op je mailserver en ondertekent elke uitgaande e-mail. De public key wordt gepubliceerd als DNS TXT-record zodat ontvangende servers de handtekening kunnen verifiëren.

  • Private key: Staat beveiligd op je mailserver. Niet openbaar toegankelijk. Wordt gebruikt om een hash van de e-mailheaders en body te ondertekenen

  • Public key: Gepubliceerd in DNS als TXT-record (bijv. selector1._domainkey.jouwdomein.nl). De ontvanger gebruikt deze om de handtekening te valideren

  • Verificatie: Als de hash klopt, weet de ontvanger dat het bericht authentiek is én niet onderweg is aangepast. Elke wijziging — zelfs één karakter — laat de DKIM-check falen

Microsoft 365 genereert automatisch twee DKIM-selectors (selector1 en selector2) per domein met 2048-bit RSA-sleutels, en roteert deze periodiek voor extra veiligheid. Dit maakt het instellen via Microsoft 365 bijzonder robuust.

DMARC: Het Beheersprotocol dat Alles Samenbrengt

SPF en DKIM werken elk afzonderlijk, maar zonder DMARC ontbreekt het sluitstuk. DMARC vertelt ontvangende mailservers expliciet wat ze moeten doen als SPF of DKIM faalt, en levert rapportages over alle e-mails die namens jouw domein worden verstuurd.

Een DMARC-record ziet er in DNS zo uit:

v=DMARC1; p=reject; rua=mailto:dmarc@jouwdomein.nl; ruf=mailto:dmarc-forensic@jouwdomein.nl; adkim=s; aspf=s

De drie DMARC-beleidsregels zijn:

  • p=none — Monitor-modus. E-mails worden doorgelaten, maar je ontvangt rapportages. Ideaal als startpunt

  • p=quarantine — Verdachte e-mails worden naar spam/junk verplaatst in plaats van de inbox

  • p=reject — Maximale bescherming. Alle e-mails die niet door SPF/DKIM komen worden volledig geweigerd

Wat gebeurt er zónder SPF, DKIM en DMARC?

  • Spoofing: Criminelen versturen phishing-mails die er uitzien alsof ze van jouw bedrijf komen

  • Spamfolder: Legitieme e-mails van jouw domein belanden in de spam bij ontvangers

  • Reputatieschade: Je domein krijgt een lage afzenderreputatie bij Google, Microsoft en Yahoo

  • Financiële schade: Business Email Compromise (BEC) kostte bedrijven in 2025 meer dan $2,7 miljard aan verliezen

  • Compliance-risico: GDPR, NIS2 en ISO 27001 eisen aantoonbare e-mailbeveiliging

Waarom Microsoft 365 en protection.outlook.com Geschikt Zijn voor E-mailauthenticatie

Microsoft 365 Business (voorheen Office 365) is niet zomaar een e-mailplatform. Het is een enterprise-grade communicatie-ecosysteem met ingebouwde beveiligingslagen die SPF, DKIM en DMARC volledig ondersteunen en vereenvoudigen. Het domein protection.outlook.com speelt hierbij een centrale rol als Microsoft’s Exchange Online Protection (EOP) gateway.

Exchange Online Protection (EOP) is de inbound en outbound e-mailfilterservice die automatisch actief is voor alle Microsoft 365-organisaties. Alle e-mails — inkomend en uitgaand — passeren de EOP-gateway op *.mail.protection.outlook.com, waar ze worden gecontroleerd op malware, phishing, spam en beleidsovertredingen.

Wanneer je MX-record wijst naar jouwdomein-nl.mail.protection.outlook.com, stuurt dit alle inkomende e-mail door Microsoft’s beveiligingsinfrastructuur vóórdat het in je mailbox terechtkomt. Dit betekent dat elke e-mail standaard wordt gescand op threats — zonder extra configuratie.

Microsoft 365 E-mailbeveiliging in één Overzicht

  • Automatische SPF via include:spf.protection.outlook.com — Eén DNS-record dekt alle Microsoft 365 verzend-IP’s

  • DKIM met 2048-bit RSA en automatische key rotation — Twee selectors per domein, automatisch gegenereerd en geroteerd

  • DMARC-ondersteuning met aggregate & forensic reporting — Volledige RUA en RUF rapportages voor je domein

  • Exchange Online Protection (EOP) — Anti-malware, anti-phishing en anti-spam filtering op alle inkomende en uitgaande e-mails

  • Microsoft Defender for Office 365 — Safe Links, Safe Attachments en advanced anti-phishing met AI-detectie (Plan 1 & 2)

  • Threat Explorer & Real-time detections — Inzicht in e-maildreigingen met gedetailleerde rapportages en hunting-tools

Stap-voor-Stap: SPF, DKIM en DMARC Instellen voor Microsoft 365

Het correct configureren van SPF, DKIM en DMARC voor Microsoft 365 vereist wijzigingen in je DNS-hosting. Hieronder een overzicht van de benodigde DNS-records:

1. SPF-record

Type: TXT
Host: @
Waarde:

v=spf1 include:spf.protection.outlook.com -all

Gebruik -all (hard fail) voor maximale bescherming. Voeg extra include:-verwijzingen toe als je andere diensten gebruikt (bijv. Mailchimp, SendGrid).

2. DKIM CNAME-records

Type: CNAME (2 records)
Host 1: selector1._domainkey
Host 2: selector2._domainkey

selector1-jouwdomein-nl._domainkey.jouwdomein.onmicrosoft.com

Activeer vervolgens DKIM-signing in het Microsoft 365 Defender-portaal onder Email & collaboration > Policies & rules > DKIM.

3. DMARC-record

Type: TXT
Host: _dmarc
Startwaarde:

v=DMARC1; p=none; rua=mailto:dmarc@jouwdomein.nl

Start altijd met p=none om rapportages te verzamelen zonder e-mails te blokkeren. Analyse de rapporten en verscherp daarna naar p=quarantine en uiteindelijk p=reject.

Google en Yahoo Verplichten SPF, DKIM en DMARC Vanaf 2024 — Microsoft Volgt

Sinds februari 2024 eisen Google en Yahoo dat alle bulk-verzenders (meer dan 5.000 e-mails per dag) een geldig SPF-record, DKIM-signing en een DMARC-policy hebben. Zonder deze authenticatie worden e-mails simpelweg geweigerd of in spam geplaatst.

Microsoft heeft deze lijn doorgezet: vanaf mei 2025 hanteert Outlook.com, Hotmail en Live.com dezelfde eisen voor afzenders met hoge volumes. In de praktijk geldt dit al voor ieder professioneel bedrijf dat nieuwsbrieven, facturen of notificaties verstuurt.

De boodschap is helder: zonder SPF, DKIM en DMARC worden je zakelijke e-mails in 2026 niet meer betrouwbaar afgeleverd. Dit gaat verder dan spam-preventie — het raakt je facturatie, klantcommunicatie en leadgeneratie.

Webkompanen — Uw Partner voor E-mailbeveiliging

Bij Webkompanen configureren we SPF, DKIM en DMARC als standaard onderdeel van elk Microsoft 365-implementatietraject. We gaan verder dan alleen de DNS-records instellen:

  • DMARC-rapportage analyse en monitoring

  • Gefaseerd opschalen van none → quarantine → reject

  • Integratie met derden (Mailchimp, SendGrid, Exact Online) in SPF

  • Defender for Office 365 configuratie en policy management

Laat uw e-mailbeveiliging controleren

Veelgestelde Vragen over SPF, DKIM en DMARC

Ja, absoluut. SPF, DKIM en DMARC vullen elkaar aan. SPF verifieert de verzendende server, DKIM garandeert de integriteit van het bericht, en DMARC definieert het beleid en de rapportages. Zonder alle drie heb je gaten in je beveiliging. Google, Yahoo en Microsoft vereisen inmiddels alle drie voor betrouwbare e-mailaflevering.

Protection.outlook.com is het domein van Microsoft’s Exchange Online Protection (EOP). Je MX-record wijst naar jouwdomein-nl.mail.protection.outlook.com zodat alle inkomende mail via Microsoft’s beveiligingsfilters loopt. In je SPF-record gebruik je include:spf.protection.outlook.com om Microsoft’s uitgaande mailservers te autoriseren. Dit is de ruggengraat van e-mailbeveiliging in Microsoft 365.

Technisch gezien ja, maar er zijn veel valkuilen. Een verkeerd SPF-record kan ervoor zorgen dat je eigen e-mails niet meer worden afgeleverd. Te veel DNS-lookups in SPF (max 10) zorgen voor stille failures. Een DMARC-policy op “reject” zonder voorafgaande monitoring kan legitieme e-mails blokkeren. Wij adviseren altijd een professionele implementatie met gefaseerde uitrol en monitoring.

De kosten zijn direct en indirect. Direct: facturen die in spam belanden worden niet betaald, klantcommunicatie wordt gemist, en phishing-aanvallen via jouw domeinnaam leiden tot juridische aansprakelijkheid. Indirect: je domeinreputatie daalt, e-mails worden structureel slechter afgeleverd, en het herstellen van een beschadigde reputatie duurt weken tot maanden. BEC-fraude kostte bedrijven wereldwijd meer dan $2,7 miljard in 2025.

Er zijn meerdere manieren. Via de command line kun je DNS-records checken met nslookup -type=txt jouwdomein.nl. Online tools zoals MXToolbox, dmarcian en Google Admin Toolbox geven gedetailleerde analyses. In Microsoft 365 kun je DKIM-status controleren in het Defender-portaal. Webkompanen biedt een gratis e-mailbeveiliging-scan aan waarbij we alle drie protocollen controleren en een rapport opstellen met aanbevelingen.

Elke Microsoft 365-licentie met Exchange Online bevat Exchange Online Protection (EOP) — de basislaag voor anti-spam, anti-malware en e-mailauthenticatie (SPF/DKIM/DMARC-verificatie). Defender for Office 365 (Plan 1 en Plan 2) voegt daar geavanceerde bescherming aan toe: Safe Links (URL-scanning in realtime), Safe Attachments (sandbox-detonatie van bijlagen), anti-phishing met AI en impersonation-detectie, en Threat Explorer voor incident response. Microsoft 365 Business Premium bevat Defender Plan 1 standaard.

De GDPR schrijft “passende technische maatregelen” voor om persoonsgegevens te beschermen. E-mailauthenticatie met SPF, DKIM en DMARC wordt door toezichthouders beschouwd als een basismaatregel. De NIS2-richtlijn, die in 2024 in werking trad, stelt expliciet eisen aan cybersecuritymaatregelen voor organisaties in essentiële en belangrijke sectoren. Zonder aantoonbare e-mailbeveiliging loop je risico op boetes en aansprakelijkheid bij datalekken via e-mail.

E-mailbeveiliging is Geen Optie Meer — Het is een Vereiste

SPF, DKIM en DMARC beschermen niet alleen je inbox maar ook je merkreputatie, klantvertrouwen en bedrijfscontinuïteit. Gecombineerd met Microsoft 365 en Exchange Online Protection heb je een enterprise-grade beveiligingsstack zonder enterprise-kosten. Webkompanen helpt je met de volledige implementatie — van DNS-configuratie tot DMARC-monitoring en Defender-optimalisatie.

Plan een gratis e-mailbeveiliging scan