
Gmail, Yahoo en Microsoft hebben de afgelopen twee jaar de regels rond e-mailauthenticatie aangescherpt. Wat een paar jaar geleden nice-to-have was, is nu een harde eis. Wat zijn SPF, DKIM en DMARC, waarom belanden jouw mails anders in de spamfilter en welke stappen zet je nu?
Steeds meer MKB-bedrijven krijgen ineens berichten dat hun mails niet aankomen. Klanten vragen of er iets is met de mail, leveranciers reageren niet meer. De ontvangers krijgen de berichten wel binnen, alleen in de spambox of helemaal niet. De oorzaak is bijna altijd dezelfde: het verzendende domein heeft geen of een verkeerde authenticatie-setup. In 2026 is dit geen randverschijnsel meer.
Sinds februari 2024 stellen Gmail en Yahoo strikte eisen aan iedereen die meer dan vijfduizend mails per dag verstuurt, met sterke aanbevelingen voor lagere volumes. Microsoft heeft begin 2025 hetzelfde gedaan en sinds eind 2025 worden ook lagere afzendvolumes actief getoetst. Het resultaat is dat onbeveiligde domeinen steeds vaker in een grijs gebied terechtkomen waar berichten zwijgend verdwijnen.
Het zijn drie aparte technische standaarden die samen bewijzen dat een mail echt van jouw domein komt en niet van iemand die zich voordoet als jou. Ze worden ingericht in de DNS-zone van je domein.
SPF (Sender Policy Framework) is een lijst van servers die namens jouw domein mail mogen versturen. Een ontvangende mailserver controleert of de verzendende server in die lijst staat. Staat hij er niet, dan is er iets verdachts aan de hand.
DKIM (DomainKeys Identified Mail) is een digitale handtekening. De verzendende server tekent elke mail met een private sleutel, en de ontvanger verifieert die handtekening via de publieke sleutel in jouw DNS. Klopt de handtekening niet, dan is de mail onderweg aangepast of nep.
DMARC (Domain-based Message Authentication, Reporting and Conformance) is het beleid dat zegt wat de ontvanger moet doen als SPF of DKIM faalt. Je kunt instellen dat falende mails niet bezorgd worden, in de spam belanden, of alleen worden gerapporteerd.
Drie redenen. Ten eerste de explosie van AI-gegenereerde phishing in 2024 en 2025. Aanvallers kunnen overtuigende mails sturen die zich voordoen als jouw bank, jouw leverancier of jouw collega. Ontvangende mailservers vertrouwen daarom alleen nog domeinen die hard kunnen bewijzen dat ze legitiem zijn.
Ten tweede de marketplace-druk. Cyberverzekeraars eisen sinds 2025 in veel polissen actieve DMARC-handhaving. Aanbestedingen en grote zakelijke klanten vragen erom in hun inkoopvoorwaarden.
Ten derde de stille handhaving. Microsoft, Google en grote spamfilters zetten domeinen zonder DMARC steeds vaker in een degraderend regime. Je krijgt geen melding, je merkt het pas als klanten beginnen te klagen.
De symptomen zijn herkenbaar. Mails naar @gmail.com en @hotmail.com belanden in de spam. Klanten zeggen dat ze niets ontvangen, terwijl je in Outlook gewoon Verzonden ziet. Marketingmails uit je nieuwsbriefsysteem komen niet aan. Reacties op afspraakuitnodigingen verdwijnen. Belangrijke offertes worden te laat opgemerkt.
Voor klanten en partners ziet jouw bedrijf er onbetrouwbaar uit, ook al ben je dat niet. Voor jou is het onzichtbaar tot iemand belt.
Drie stappen, in deze volgorde. Eerst SPF, dan DKIM, dan DMARC.
Stap 1: SPF. Inventariseer welke services namens jouw domein mail versturen. Microsoft 365, mogelijk een nieuwsbriefdienst, een CRM, een boekhoudpakket dat facturen mailt. Combineer alle includes in één SPF-record in DNS. Voor een puur Microsoft 365-domein is dat vaak alleen `v=spf1 include:spf.protection.outlook.com -all`. Belangrijk: één SPF-record per domein, niet meerdere.
Stap 2: DKIM. Voor Microsoft 365 activeer je DKIM in het Defender-portaal onder E-mail en samenwerking. Microsoft genereert twee CNAME-records die je in DNS plaatst, en daarna activeer je de signing. Voor andere mailbronnen levert die service eigen DKIM-instructies.
Stap 3: DMARC. Begin met monitoring. Plaats een DMARC-record met policy `p=none` en een rua-rapportadres. Verzamel een tot twee weken rapporten zodat je weet welke verzendende bronnen er allemaal namens jouw domein opereren. Verhoog daarna geleidelijk naar `p=quarantine` en uiteindelijk `p=reject`.
Voor een eenvoudig MKB-domein met Microsoft 365 en één of twee externe maildiensten is de initiële inrichting een halve dag werk. De DNS-aanpassingen zelf zijn snel, het ontdekken van alle bronnen die mail versturen kost de meeste tijd. DMARC-rapportage-analyse is makkelijker met een gratis of laaggeprijsd dashboard zoals dmarcian, Postmark of EasyDMARC.
Voor grotere of meer complexe omgevingen met legacy applicaties, white-label-marketing of veel subdomeinen kan het traject enkele weken duren, vooral de fase van monitoring en het uitzoeken van legitieme bronnen.
Voor elke MKB-organisatie die zakelijke mail verstuurt, is dit geen project meer dat kan wachten. Begin deze maand met de inventarisatie en SPF, activeer DKIM in M365, plaats een DMARC-record in monitoringmodus en plan een check na twee weken. Wachten betekent dat je over een paar maanden niet weet waarom klanten niet meer reageren.
Wil je hulp bij het inrichten van SPF, DKIM en DMARC voor jouw domein, of bij het analyseren van rapporten? Zarioh helpt MKB-organisaties met een gerichte e-mailauthenticatie-implementatie en monitoring. Neem contact op voor een vrijblijvend gesprek.
Was dit artikel nuttig?
Zarioh Digital Solutions
IT-specialisten uit Utrecht. Wij helpen bedrijven door heel Nederland met Microsoft 365, AI agents, hosting en telefonie — en delen hier wekelijks wat we in de praktijk tegenkomen. Volg ons op LinkedIn
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.

Security

Security

Security