SPF en DKIM zijn de twee fundamentele protocollen die DMARC mogelijk maken. Zonder een correct geconfigureerd SPF-record en actieve DKIM-ondertekening heeft uw DMARC-beleid niets om op te bouwen. In dit artikel leggen we beide protocollen technisch uit en tonen we hoe u ze correct implementeert.
SPF: de gastenlijst voor uw e-mail
SPF (Sender Policy Framework) is als een gastenlijst voor uw e-maildomein. Het is een DNS TXT-record dat precies definieert welke mailservers geautoriseerd zijn om e-mails te versturen namens uw domein. Wanneer een ontvangende mailserver een e-mail ontvangt, controleert deze het SPF-record van het afzenddomein om te verifiëren of de verzendende server op de lijst staat.
Het principe is eenvoudig: als de mail afkomstig is van een server die in uw SPF-record staat, slaagt de SPF-check. Als de mail van een onbekende server komt, faalt de check. De ontvangende server kan dan naar eigen inzicht handelen, afhankelijk van het beleid dat u heeft gespecificeerd.
Een SPF-record opbouwen
Een SPF-record is een TXT-record in uw DNS-zone. Het begint altijd met v=spf1 en eindigt met een mechanisme dat definieert wat er moet gebeuren met niet-geautoriseerde servers.
Voorbeeld SPF-record
Dit record staat toe: Microsoft 365, Google Workspace, en IP-range 203.0.113.0/24. Alles andere wordt geweigerd (-all).
De belangrijkste mechanismen die u kunt gebruiken:
include:
Verwijs naar het SPF-record van een andere partij. Gebruik dit voor cloud-diensten zoals Microsoft 365, Google Workspace of uw e-mailmarketingplatform.
ip4: / ip6:
Autoriseer specifieke IP-adressen of ranges. Gebruik dit voor uw eigen mailservers of applicatieservers die direct e-mail versturen.
a: / mx:
Autoriseer de IP-adressen die horen bij uw A-record of MX-records. Handig als uw webserver of mailserver ook uitvoerend mailt.
-all / ~all
-all (hardfail) weigert alle niet-geautoriseerde servers. ~all (softfail) markeert ze als verdacht. Wij adviseren ~all in combinatie met DMARC voor maximale compatibiliteit.
Beperkingen van SPF
SPF is een cruciaal onderdeel, maar het heeft belangrijke beperkingen die u moet kennen:
- Maximaal 10 DNS-lookups: Elke include:, a:, mx: en geneste include telt als een lookup. Bij meer dan 10 lookups faalt uw SPF-record volledig met een PermError. Dit is de meest voorkomende fout bij bedrijven met meerdere SaaS-diensten.
- Geen bescherming bij doorsturen: Wanneer een e-mail wordt doorgestuurd (forwarded), verandert het IP-adres van de verzendende server. Hierdoor faalt SPF, ook al was de originele mail legitiem. DKIM lost dit probleem op.
- Alleen envelope-from: SPF controleert het "envelope from" adres, niet het "header from" adres dat de gebruiker daadwerkelijk ziet. Dit maakt SPF alleen kwetsbaar voor header spoofing. DMARC alignment lost dit op.
DKIM: het wassen zegel
DKIM (DomainKeys Identified Mail) werkt fundamenteel anders dan SPF. In plaats van te controleren waar de mail vandaan komt, verifieert DKIM wat er in de mail staat en of deze is gewijzigd. Het gebruikt asymmetrische cryptografie om elke uitgaande e-mail digitaal te ondertekenen.
Het proces werkt als volgt: uw mailserver berekent een hash van specifieke delen van de e-mail (headers en body) en versleutelt deze hash met een privésleutel. De versleutelde hash wordt als DKIM-Signature header aan de mail toegevoegd. De bijhordende publieke sleutel publiceert u als TXT-record in uw DNS.
De ontvangende server haalt de publieke sleutel op uit uw DNS, ontsleutelt de hash en vergelijkt deze met een zelf berekende hash van de ontvangen mail. Als ze overeenkomen, is de mail authentiek en niet gewijzigd tijdens transport.
Waarom DKIM beter werkt bij doorsturen
Wanneer een e-mail wordt doorgestuurd, verandert het IP-adres (SPF faalt), maar de inhoud blijft hetzelfde (DKIM slaagt). Dit maakt DKIM essentieel voor bedrijven waarvan de mail vaak wordt doorgestuurd, zoals nieuwsbrieven of notificaties.
DKIM configureren
De implementatie van DKIM verschilt per platform, maar de stappen zijn overal vergelijkbaar:
Sleutelpaar genereren
Genereer een 2048-bit RSA sleutelpaar. De meeste e-mailplatformen hebben hier een ingebouwde wizard voor. Gebruik altijd minimaal 2048-bit; 1024-bit wordt als onveilig beschouwd.
DNS-record publiceren
Publiceer de publieke sleutel als TXT-record onder een selector: selector._domainkey.uwdomein.nl. De selector is een willekeurige naam die u kiest.
Ondertekening activeren
Activeer DKIM-ondertekening op uw mailserver of in het admin panel van uw cloud-dienst. Dit moet apart worden gedaan voor elke dienst die namens u mailt (CRM, marketing-tools, etc.).
Verifiëren
Stuur een test-mail naar een extern adres en controleer de DKIM-header. U kunt ook online tools gebruiken om uw DKIM-configuratie te valideren.
Voorbeeld DKIM DNS-record
De p= waarde is uw publieke sleutel. De ontvangende server gebruikt deze om de handtekening in de e-mail te verifiëren.
SPF + DKIM = sterker samen
SPF en DKIM vullen elkaars zwaktes aan en vormen samen de basis voor DMARC:
| Scenario | SPF | DKIM |
|---|---|---|
| Directe verzending | ✓ slaagt | ✓ slaagt |
| Doorgestuurde mail | ✗ faalt | ✓ slaagt |
| Gewijzigde inhoud | ✓ slaagt | ✗ faalt |
| Spoofed via onbekende server | ✗ faalt | ✗ faalt |
Zoals de tabel laat zien, compenseert DKIM de zwakte van SPF bij doorgestuurde mail, terwijl SPF de identiteit van de verzendserver verifieert, iets wat DKIM niet doet. Samen met DMARC alignment vormen ze een waterdicht systeem.
Veelgemaakte fouten
- Te veel SPF includes: Elke SaaS-dienst voegt lookups toe. Met Microsoft 365 + Google + Mailchimp + HubSpot overschrijdt u al snel de limiet. Gebruik SPF-flattening of een macro-service.
- DKIM niet per dienst configureren: DKIM moet worden ingeschakeld op elke dienst die namens u mailt, niet alleen op uw primaire mailserver.
- 1024-bit DKIM-sleutels: Veel oudere configuraties gebruiken nog 1024-bit sleutels. Upgrade naar 2048-bit voor toekomstbestendige beveiliging.
- SPF record met +all: Het mechanisme +all staat iedereen toe namens u te mailen. Dit maakt uw SPF-record nutteloos. Gebruik altijd ~all of -all.
- Geen DMARC erbij: SPF en DKIM zonder DMARC zijn als een slot zonder deur. SPF en DKIM rapporteren niet en hebben geen beleid. DMARC voegt deze cruciale laag toe.
Wilt u zeker weten dat uw SPF en DKIM correct zijn?
Gebruik onze gratis DMARC checker om direct een volledige analyse van uw e-mailauthenticatie te krijgen.
Check uw domein