Phishing via nep-e-mails vanuit uw eigen domeinnaam is een van de meest gebruikte aanvalsmethoden. Drie standaarden — SPF, DKIM en DMARC — beschermen uw domein afdoende, maar een groot deel van het MKB heeft ze nog altijd niet correct geconfigureerd. Lees hoe het werkt en wat u vandaag kunt doen.
Phishing en e-mailfraude staan al jaren in de top vijf van meest gebruikte aanvalsmethoden. Wat veel bedrijven niet beseffen, is dat de e-maildomeinnaam van uw eigen organisatie door aanvallers kan worden misbruikt zonder dat u daar iets van merkt. Iemand stuurt een bericht dat eruitziet als afkomstig van uw@uwbedrijf.nl, maar de afzender is volledig nep. Ontvangers zien uw naam en domeinnaam en vertrouwen de boodschap. Dit heet e-mailspoofing, en het is technisch eenvoudig als uw domein niet is beveiligd.
Drie standaarden vormen samen de verdediging: SPF, DKIM en DMARC. Ze bestaan al jaren, maar onderzoek van overheidsinstanties en cyberveiligheidsorganisaties laat keer op keer zien dat een groot deel van het MKB ze niet of niet correct heeft geconfigureerd. In 2024 maakten Google en Yahoo e-mailauthenticatie verplicht voor bulk-afzenders. De verwachting is dat andere grote mailproviders volgen en dat toezichthouders in het kader van NIS2 hier steeds explicieter op controleren.
De drie standaarden werken samen maar hebben elk een eigen functie. SPF (Sender Policy Framework) legt in een DNS-record vast welke mailservers gemachtigd zijn om e-mail te versturen namens uw domein. Zo'n record vertelt ontvangende mailsystemen: 'alleen de servers van Microsoft mogen e-mail sturen vanuit @uwdomein.nl'. E-mail die van een niet-geautoriseerde server komt, kan worden geweigerd of als verdacht worden gemarkeerd.
DKIM (DomainKeys Identified Mail) voegt een digitale handtekening toe aan elke e-mail die uw server verstuurt. De ontvangende server verifieert via een publieke sleutel in uw DNS of de e-mail onderweg niet is aangepast en inderdaad afkomstig is van een geautoriseerde bron. Een vervalste e-mail heeft die handtekening niet, of de handtekening klopt niet met de inhoud.
DMARC (Domain-based Message Authentication, Reporting and Conformance) is de laag bovenop SPF en DKIM. DMARC vertelt ontvangende mailservers wat ze moeten doen met berichten die de SPF- of DKIM-controle niet doorstaan: niets doen maar rapporteren, in de ongewenste post plaatsen, of volledig weigeren. Bovendien stuurt DMARC dagelijkse rapportages naar een door u opgegeven adres, zodat u zicht krijgt op wie er e-mail verstuurt vanuit uw domeinnaam.
De druk om e-mailauthenticatie correct in te richten is de afgelopen twee jaar sterk toegenomen. Google en Yahoo maakten in februari 2024 DMARC-verificatie verplicht voor afzenders die meer dan vijfduizend berichten per dag versturen naar Gmail- of Yahoo-adressen. Voor kleinere afzenders gelden lichtere eisen, maar de richting is duidelijk: berichten zonder authenticatie worden vaker geblokkeerd of in de ongewenste map geplaatst.
Tegelijkertijd hebben aanvallers hun methoden verfijnd. Business Email Compromise (BEC), waarbij een medewerker of leverancier wordt misleid via een vervalste e-mail, is in 2025 en 2026 de meest kostbare vorm van cybercriminaliteit voor het MKB. Een goed ingestelde DMARC-policy op p=reject maakt het aanmerkelijk moeilijker om uw domeinnaam te misbruiken voor zulke aanvallen, omdat vervalste berichten worden geblokkeerd voordat ze de ontvanger bereiken.
Een bijkomend voordeel: een correcte DMARC-instelling verbetert de afleverbaarheid van uw legitieme e-mail. Domeinen met een sterke reputatie, mede bepaald door correcte authenticatie, zien hogere openingspercentages en minder kans op onterechte spamclassificaties bij ontvangers.
De implementatie verloopt in drie fases. De eerste fase is SPF configureren. Log in bij uw DNS-beheerder, uw domeinregistrar of hostingprovider, en voeg een TXT-record toe voor uw domein. Als u uitsluitend via Microsoft 365 verstuurt, ziet het record er doorgaans zo uit: v=spf1 include:spf.protection.outlook.com -all. Als u ook via andere diensten verstuurt, zoals een marketingplatform of een extern CRM-systeem, moeten die ook worden opgenomen. Belangrijk: u mag slechts één SPF-record per domein hebben.
De tweede fase is DKIM activeren. In Microsoft 365 doet u dit via het Defender-portaal onder E-mailverificatie. Microsoft genereert een sleutelpaar en geeft u twee CNAME-records die u bij uw DNS-provider invoert. Na verificatie ondertekent Microsoft alle uitgaande e-mail namens uw domein automatisch met die sleutel. Voor andere e-maildiensten die u gebruikt, heeft elk platform zijn eigen DKIM-configuratie die apart moet worden ingesteld.
De derde fase is DMARC instellen. Voeg een TXT-record toe met de naam _dmarc.uwdomein.nl en een waarde als: v=DMARC1; p=none; rua=mailto:dmarc@uwdomein.nl. Begin altijd met p=none, de monitoringmodus. Dit blokkeert nog niets maar stuurt u wel dagelijkse rapportages. Na twee tot vier weken analyse schakelt u naar p=quarantine en vervolgens naar p=reject.
DMARC-rapporten zijn XML-bestanden die dagelijks binnenkomen van alle grote mailproviders die e-mail ontvangen die beweert afkomstig te zijn van uw domein. Ze bevatten informatie over de verzendende server, het IP-adres, of de SPF- en DKIM-controles zijn geslaagd, en hoeveel berichten er zijn verwerkt.
Onbewerkte XML-rapporten zijn lastig leesbaar. Er zijn gratis en betaalde tools die de rapporten omzetten in begrijpelijke overzichten: Postmark, Dmarcian, EasyDMARC en Valimail zijn bekende namen. Met een gratis abonnement krijgt u al voldoende inzicht om te bepalen wanneer u veilig kunt overschakelen van p=none naar p=reject.
Wat de rapporten in de eerste weken typisch laten zien: uw eigen Microsoft 365-verzending die slaagt, uw marketingplatform dat mogelijk mislukt als DKIM daar nog niet is geconfigureerd, en sporadisch valse afzenders die proberen uw domeinnaam te misbruiken. Die laatste categorie verdwijnt zodra u op p=reject staat.
Vijf fouten die bij MKB-bedrijven regelmatig voorkomen. Ten eerste: te snel overschakelen naar p=reject zonder de rapportages te analyseren. Dit kan ertoe leiden dat legitieme e-mail, bijvoorbeeld van een marketingplatform dat nog niet voor DKIM is geconfigureerd, wordt geblokkeerd en nooit aankomt bij uw klanten.
Ten tweede: het vergeten van subdomeinen. E-mail via een subdomein zoals nieuwsbrief.uwdomein.nl valt buiten uw hoofddomein-DMARC-policy. Voeg aparte records toe voor subdomeinen die e-mail versturen, of gebruik de sp= parameter om de subdomeinpolicy mee te geven in uw hoofdrecord.
Ten derde: het SPF-record te vol maken. SPF kent een harde limiet van tien DNS-lookups. Bij meerdere externe e-maildiensten kunt u dit snel overschrijden. Gebruik een SPF-flattening tool om het record compact te houden en binnen de limiet te blijven.
Ten vierde: nieuwe e-maildiensten niet bijhouden. Elke nieuwe tool die e-mail verstuurt namens uw domein, van een CRM tot een helpdeskprogramma, moet worden toegevoegd aan SPF en geconfigureerd voor DKIM. Dit wordt bij de aanschaf van nieuwe software regelmatig vergeten.
Ten vijfde: geen DMARC-record voor domeinen die geen e-mail versturen. Als uw bedrijf extra domeinen heeft geregistreerd die niet actief worden gebruikt voor e-mail, zijn die alsnog aantrekkelijk voor spoofing. Een eenvoudig DMARC-record met p=reject en een leeg SPF-record (v=spf1 -all) voorkomt misbruik van die domeinen.
Drie stappen om direct mee te beginnen. Ten eerste: controleer uw huidige situatie. Zoek naar 'DMARC check' en gebruik een gratis online tool om te bekijken of uw domein een SPF-, DKIM- en DMARC-record heeft en of die correct zijn ingesteld. Dit kost minder dan vijf minuten en geeft direct inzicht in wat er ontbreekt.
Ten tweede: als er geen DMARC-record staat, of de policy staat op p=none zonder rapportageadres, voeg dan vandaag een monitoringrecord toe. Dat is de snelste stap met de minste impact op uw dagelijkse werking.
Ten derde: plan binnen vier weken een moment om de rapporten door te nemen en bepaal wanneer u kunt opschalen naar p=quarantine. De meeste goed voorbereide MKB-bedrijven staan binnen zes tot acht weken op p=reject. E-mailauthenticatie is een van de meest effectieve en betaalbare beveiligingsmaatregelen die uw organisatie kan nemen. Het beschermt uw klanten en partners tegen phishing in uw naam, en beschermt uw eigen reputatie als betrouwbare afzender. Wilt u hulp bij het instellen van DMARC, het analyseren van uw rapportages of het uitvoeren van een e-mailinfrastructuuraudit? Neem contact op met Zarioh.
Was dit artikel nuttig?
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.
