Waarom elk domein een DMARC record moet hebben

Sinds april 2024 (Google, Yahoo) en mei 2025 (Microsoft) zijn de regels rond e- mailauthenticatie aanzienlijk verscherpt voor domeinen die meer dan 5.000 e-mails per dag versturen.

Zo plaatst Google sinds april 2024 alle e-mails zonder geldige DMARC-authenticatie in de quarantaine- of spamfolder. Microsoft gaat nog verder: Sinds mei 2025 worden e-mails zonder correcte SPF, DKIM én een DMARC-policy van minstens p=none eerst naar de junkfolder gestuurd.

De verwachting is dat deze regels in de toekomst nog verder zullen aangescherpt worden en dat de mails uiteindelijk zullen geweigerd worden.

Dat betekent dat nieuwsbrieven, bevestigingsmails uit een webshop en “gewone” mails, die verstuurd worden vanuit een domeinnaam zonder correcte DNS-instellingen, mogelijk niet worden afgeleverd.

Waarom doen Google en Microsoft dit?

Dat e-mail een essentieel onderdeel is ieders online leven is een open deur intrappen. E- mailcommunicatie essentieel is voor klantrelaties, communcatie tussen businesspartners of chatter tussen vrienden en familie. En dat misbruiken kwaadwilligen maar al te graag.

Iedereen heeft wel eens een valse bestelbevestiging, factuur of leverbericht gekregen. Zonder correcte e-mailauthenticatie lopen deze berichten het risico om in de spamfolder te belanden — of erger: gebruikt te worden voor phishing.

Dat is dus wat Google en andere grote mailproviders willen afdwingen: DMARC, DKIM en SPF zijn geen luxe, maar een noodzaak in een veilig emailsysteem.

Wat zijn DMARC, DKIM en SPF?

• SPF (Sender Policy Framework) laat domeineigenaars toe om te definiëren welke servers e-mails mogen versturen namens hun domein. Dit voorkomt dat ongeautoriseerde servers zich voordoen als legitieme afzenders.
• DKIM (DomainKeys Identified Mail) voegt een digitale handtekening toe aan uitgaande e-mails. Ontvangers kunnen zo verifiëren of de inhoud authentiek is en onderweg niet is aangepast.
• DMARC (Domain-based Message Authentication, Reporting & Conformance) bouwt voort op SPF en DKIM en bepaalt wat er moet gebeuren met e-mails die niet voldoen aan de SPF-validatie en geen correcte DKIM-handtekening hebben: afleveren, markeren als spam of volledig blokkeren.

Waarom is dit belangrijk voor webagencies?

Webagencies beheren vaak meerdere domeinen en versturen promotionele en transactionele mails voor hun klanten. Zonder correcte authenticatie met SPF, DKIM en DMARC kan dat problemen met zo’n mails opleveren, zoals:

• Transactionele mails zoals wachtwoordherstel of orderbevestigingen kunnen geblokkeerd worden.
• Nieuwsbrieven kunnen in spamfolders belanden, wat de ROI van marketingcampagnes verlaagt.
• Spoofing en phishing kunnen plaatsvinden via domeinen van klanten, wat reputatieschade voor klanten veroorzaakt.

Hoe implementeer je deze standaarden?

• SPF: Voeg een TXT-record toe aan de DNS van het domein met een lijst van toegestane verzendende servers. Best pratice : Gebruik geen “+all” in SPF-records — dit laat elke server toe om e- mails te versturen namens je domein.
• DKIM: Genereer een sleutelpaar en publiceer de publieke sleutel via DNS. De mailserver voegt automatisch een handtekening toe. Best practice: Zorg voor DKIM-sleutels van minstens 1024 bits, bij voorkeur 2048 bits.
• DMARC: Stel een beleid in via een DNS-record en ontvang rapporten over mislukte authenticatiepogingen. Best pratice : Begin met een DMARC-policy op “none”, gebruik rapportering en werk geleidelijk naar “quarantine” of “reject”.

Tools zoals SPF-wizards en DMARC-monitoringplatformen maken dit proces eenvoudiger.

Managed DMARC-service

Het opvolgen van beveiligingstechnieken voor e-mail is tijdrovend.

Voor webagencies die hun klanten willen beschermen tegen spoofing en phishing, biedt Cloudstar daarom een beheerde DMARC-monitoringdienst aan.

Wat houdt het in?

• Monitoring van e-mailverkeer: Cloudstar verzamelt en analyseert DMARC-rapporten (in XML-formaat) en zet deze om in leesbare, inzichtelijke rapporten. Zo zie je welke partijen e-mails versturen via jouw domein — legitiem of ongeoorloofd.
• Actieve opvolging: In de eerste weken wordt het e-mailverkeer gemonitord om alle bronnen in kaart te brengen. Daarna volgt een wekelijkse analyse van de rapporten, met advies over SPF/DKIM-configuratie en mogelijke aanpassingen aan het DMARC- beleid.
• Beleid bijsturen: Cloudstar helpt je om stapsgewijs over te gaan van een p=none policy naar quarantine en uiteindelijk reject, zonder dat legitieme e-mails geblokkeerd worden.
• Rapportage: Je ontvangt wekelijks een geautomatiseerd rapport en maandelijks gepersonaliseerd advies van een expert.

Voor wie?

Deze dienst is ideaal voor:

• Webagencies die domeinen beheren voor klanten.
• Organisaties die grote volumes e-mails versturen.
• Bedrijven die hun e-mail deliverability en reputatie willen verbeteren.

Cloudstar biedt verschillende formules aan — van een starterpakket voor één domein tot een agencypakket voor onbeperkt aantal domeinen en miljoenen e-mails per maand.

Conclusie

Voor webagencies is het correct instellen van DMARC, DKIM en SPF essentieel om de afleverbaarheid, veiligheid en reputatie van e-mails te waarborgen. Het is een investering in betrouwbaarheid en klanttevredenheid — en een bescherming tegen de steeds groeiende dreiging van e-mailfraude.

Ga voor veilige e-mails die hun bestemming bereiken met de managed DMARC-service van Cloudstar.