SPF, DKIM en DMARC zijn drie afkortingen die in 2026 het verschil maken tussen een mail die in de inbox van je klant belandt of stilletjes verdwijnt in spam. Voor het MKB is dit niet langer iets voor IT-specialisten. Sinds de grote mailaanbieders Gmail, Yahoo en Microsoft hun afzendervereisten hebben aangescherpt, en met de Nederlandse implementatie van NIS2 op de achtergrond, raakt het iedere ondernemer die met een eigen domein mailt. In deze gids leggen we uit wat de drie protocollen precies doen, wat er in 2024, 2025 en 2026 is veranderd, en hoe je als MKB-bedrijf je domein in een paar avondsessies fatsoenlijk inregelt.
Waarom dit nu opeens dringend is
Tot een paar jaar geleden was e-mailauthenticatie iets dat je er ook bij kon doen. Tegenwoordig is het een voorwaarde om überhaupt afgeleverd te worden. Drie ontwikkelingen hebben de lat verhoogd:
- Februari 2024. Google en Yahoo voerden gezamenlijk strengere afzendervereisten in voor verzenders van meer dan 5.000 berichten per dag naar Gmail of Yahoo. SPF, DKIM en een minimale DMARC zijn sindsdien geen aanrader meer maar een eis. Vanaf november 2025 is Gmail de naleving harder gaan afdwingen, met permanente afwijzingen in plaats van plaatsing in spam.
- Mei 2025. Microsoft heeft dezelfde lijn doorgezet voor Outlook.com, Hotmail.com en Live.com. Sinds 5 mei 2025 worden mails van afzenders die meer dan 5.000 berichten per dag sturen en niet voldoen aan SPF, DKIM en DMARC met de melding 550 5.7.515 geweigerd, in plaats van naar de junkfolder gestuurd.
- Januari 2026. NIS2 is in Nederland gefaseerd geïmplementeerd via de Cyberbeveiligingswet. Voor entiteiten die onder NIS2 vallen, en voor partijen in hun keten, betekent dit concreet dat domeinbeveiliging zoals SPF, DKIM en DMARC niet meer optioneel is. SIDN, de beheerder van het .nl-domein, beloont registrars die deze records standaard correct configureren actief via een stimuleringsregeling.
Of je bedrijf nu wel of niet de drempel van 5.000 mails per dag haalt, het effect zakt door naar elke afzender. Zodra grote inboxen strenger gaan filteren, valt elke mail zonder behoorlijke authenticatie eerder op. Een MKB-bedrijf dat per maand 800 mails stuurt en niets ingeregeld heeft, ziet de bezorgpercentages eerst geleidelijk en dan snel zakken. De factuur die niet aankomt is in dat scenario een direct cashflowprobleem.
SPF: wie mag er mailen namens jouw domein?
SPF staat voor Sender Policy Framework. Het is een TXT-record in je DNS waarin je vastlegt welke servers en diensten gerechtigd zijn om e-mail namens jouw domein te versturen. Stuurt een ontvangende mailserver later een bericht binnen dat zegt te komen van jouwbedrijf.nl maar afkomstig is van een IP-adres dat niet in je SPF staat, dan herkent de ontvanger dat als verdacht.
Een eenvoudig SPF-record voor een MKB dat alles via Microsoft 365 verstuurt, ziet er zo uit:
v=spf1 include:spf.protection.outlook.com -allStuurt jouw boekhoudpakket of mailmarketingtool ook namens jou, dan zet je die include daarbij. De -all aan het einde betekent: alles wat niet expliciet is toegestaan, mag worden geweigerd. Een veelgemaakte fout is meerdere SPF-records aanmaken voor hetzelfde domein. Dat is niet toegestaan en breekt SPF voor alle ontvangers. Houd het bij precies een record en bundel alle includes daarin.
DKIM: digitaal stempel op je uitgaande mail
Waar SPF naar het IP-adres kijkt, kijkt DKIM (DomainKeys Identified Mail) naar de inhoud van het bericht zelf. Je mailserver of je mailprovider tekent elk uitgaand bericht met een privésleutel. De bijbehorende publieke sleutel zet je als TXT-record in je DNS. De ontvanger haalt die op en kan controleren of het bericht onderweg is veranderd en of het echt van jouw domein komt.
Voor Microsoft 365 betekent dit twee CNAME-records die naar selectoren bij Microsoft verwijzen, gevolgd door het inschakelen van DKIM in het Microsoft 365 Defender-portaal. Voor Google Workspace genereer je een sleutel in de admin console en zet die als TXT-record in DNS. Bij beide is het cruciaal dat je niet alleen de records aanmaakt, maar daarna ook de ondertekening daadwerkelijk activeert. We zien geregeld bedrijven die DKIM-records hebben staan terwijl Microsoft 365 nog steeds met de defaultsleutel tekent. Het record bestaat dan, maar bewijst niets.
DMARC: het beleid en de rapportages
DMARC bouwt voort op SPF en DKIM. Het is opnieuw een TXT-record, ditmaal op _dmarc.jouwbedrijf.nl, en het bevat twee dingen: een beleid voor ontvangende mailservers en een mailadres waar zij rapportages naartoe sturen.
Een eerste, voorzichtige DMARC-record ziet er als volgt uit:
v=DMARC1; p=none; rua=mailto:dmarc@jouwbedrijf.nl; ruf=mailto:dmarc@jouwbedrijf.nl; fo=1; adkim=s; aspf=sMet p=none doe je nog niets actiefs, maar je krijgt wel rapportages binnen van Google, Microsoft, Yahoo en andere grote ontvangers. Je ziet zo binnen een week welke afzenders namens jouw domein mailen, welke wel of niet door SPF en DKIM komen, en waar je nog gaten hebt zitten. Pas als je vertrouwen hebt dat alle legitieme afzenders correct authenticeren, schroef je het beleid op naar p=quarantine (verdachte mail naar spam) en uiteindelijk p=reject (verdachte mail wordt geweigerd).
De alignment-instellingen adkim=s en aspf=s dwingen strikte afstemming af. Voor de meeste MKB-omgevingen is dat veiliger dan de standaard r (relaxed), omdat het spoofing met subdomeinen tegenhoudt.
Wat veranderde er voor MKB in 2024-2026
De grote mailaanbieders kennen twee categorieën: bulk (meer dan 5.000 mails per dag naar hun ontvangers) en regulier. De expliciete eis dat DMARC met alignment moet kloppen, geldt formeel alleen voor bulk. Maar er zit een addertje onder het gras. Zodra Google een domein als bulksender classificeert, raakt die classificatie volgens hun documentatie nooit meer kwijt, ook niet als het volume daalt. Een MKB-bedrijf dat tijdens een actie of nieuwsbrieflancering eenmalig over de 5.000 schiet, valt daarna permanent onder de strengere regels.
Daarnaast laat onze eigen praktijk zien dat ook reguliere afzenders minder geluk hebben in de inbox als hun authenticatie rammelt. Microsoft Defender, Google Postmaster Tools en de spamfilters van Proximus, KPN en de zakelijke gateways gebruiken DMARC-resultaten als signaal in hun reputatiescore. De grens tussen regulier en bulk wordt dus steeds onzichtbaarder.
Bovenop de eisen van de mailaanbieders staat NIS2. Voor essentiële en belangrijke entiteiten in Nederland (energie, drinkwater, zorg, digitale infrastructuur, voedselketen en hun directe leveranciers) is goede e-mailbeveiliging onderdeel van de zorgplicht uit de Cyberbeveiligingswet. Val je daar niet onder, dan ben je niet wettelijk verplicht. Maar opdrachtgevers in die sectoren stellen het inmiddels wel als contractueel inkooppunt aan hun MKB-leveranciers.
Stappenplan voor het MKB
Pak dit niet aan als een grote eenmalige operatie maar als een proces van twee tot vier weken. Onze ervaring is dat een rustige aanpak met monitoring tussendoor de minste verstoring oplevert.
- Inventariseer alle afzenders. Welke diensten sturen er mail namens jouw domein? Microsoft 365 of Google Workspace voor je medewerkers, je boekhoudpakket dat facturen verstuurt, een mailmarketingtool, je CRM, een webformulier op je site, support-tickets uit een helpdesk-systeem. Vergeet ook niet servers van je website die transactiemails versturen.
- Configureer SPF. Bouw een TXT-record op met include-statements voor elke legitieme afzender. Test met een tool als de SPF-checker van MxToolbox of de internet.nl-test van SIDN.
- Schakel DKIM in. Per afzender genereer je een sleutelpaar of laat je het door de dienst doen. Plaats het bijbehorende TXT- of CNAME-record en activeer ondertekening daarna in het beheerpaneel van die dienst. Stuur een testmail en kijk in de headers (Bericht weergeven Origineel in Gmail of Berichteigenschappen in Outlook) of de DKIM-handtekening daadwerkelijk passeert.
- Publiceer een lichte DMARC. Begin met
p=noneen een rua-adres voor rapportages. Lees die rapportages een paar weken aandachtig of, eenvoudiger, hang er een dienst als URIports, dmarcian of Valimail aan die ze voor je leesbaar maakt. - Schroef het beleid op. Als alle legitieme afzenders correct uitlijnen op SPF en/of DKIM, ga je naar
p=quarantine pct=25en monitor je opnieuw. Bij goed resultaat naarpct=100. Pas daarna door naarp=reject. - Documenteer en review. Zet de records, sleutels en gemaakte keuzes vast in je interne documentatie. Plan een halfjaarlijkse review, want elke nieuwe SaaS-tool die mail namens jou stuurt, vraagt om aanpassing van je SPF en DKIM.
Drie veelgemaakte fouten
Twee SPF-records voor hetzelfde domein. Soms ontstaat dit per ongeluk doordat een nieuwe leverancier een eigen SPF-record laat toevoegen. Het effect is dat SPF voor je hele domein faalt. Bundel altijd in een record met meerdere include-statements.
DMARC direct op p=reject zonder rapportages te lezen. Verleidelijk, maar gevaarlijk. Vrijwel iedere organisatie heeft een afzender vergeten in de eerste inventarisatie. Met p=reject verdwijnen die mails meteen, zonder dat jij het direct merkt.
DKIM-record in DNS, ondertekening niet ingeschakeld. Het record op zich doet niets als de mailprovider niet daadwerkelijk tekent. Controleer altijd in de raw header van een testmail of dkim=pass verschijnt.
Hoe PC Patrol hierin past
Wij regelen e-mailbeveiliging voor MKB-klanten als onderdeel van onze Microsoft 365-dienst. Bij elke nieuwe migratie zetten we standaard SPF, DKIM en een opbouwende DMARC neer, monitoren we de rapportages mee en draaien we het beleid in een paar weken op naar p=reject. Ook voor klanten die hun mail elders hebben staan, doen we losse DMARC-implementaties als project. Daarbij sluiten we vaak aan bij onze bestaande Security Awareness training, want techniek alleen houdt phishing niet tegen. De combinatie van een goed ingerichte SPF, DKIM en DMARC, plus medewerkers die een verdachte mail herkennen, is wat in de praktijk het verschil maakt.
Wil je hier ondersteuning bij, of weet je niet zeker welke afzenders precies namens jouw domein mailen? Plan een vrijblijvend adviesgesprek of mail ons op helpdesk@pcpatrol.nl. We kijken kosteloos mee naar je huidige DNS-records en doen een eerste analyse op basis van een paar uur DMARC-rapportages.
Veelgestelde vragen
Moet ik SPF, DKIM en DMARC echt alledrie hebben?
Ja. SPF en DKIM dekken verschillende stukken (afzender-IP en bericht-inhoud) en DMARC bindt ze samen met een beleid en rapportages. Eentje weglaten ondergraaft de andere twee. De grote mailaanbieders eisen voor bulksenders de combinatie expliciet, en voor reguliere afzenders gebruiken ze de combinatie als reputatiesignaal.
Hoeveel kost een DMARC-implementatie voor een gemiddelde MKB?
DNS-records zelf zijn gratis. De inrichting kost je tijd of consultancy-uren. Wij doen een complete inrichting voor een gemiddeld MKB-bedrijf met een handvol mailafzenders doorgaans in twee tot vier uur, plus de begeleiding bij het opschroeven van het beleid in de weken erna. Sommige rapportagediensten zijn voor kleine domeinen gratis, andere kosten enkele tientjes per maand.
Wat als ik geen eigen domein gebruik en mail vanaf gmail.com of outlook.com?
Voor zakelijke communicatie raden we dat altijd af. Niet alleen oogt het minder professioneel, je profiteert ook niet van DMARC-bescherming voor jouw merk. Een eigen domein registreren via PC Patrol kost vanaf 7,36 euro per jaar voor een .nl en is technisch in een paar minuten geregeld.
Krijg ik straks een boete als ik dit niet regel?
Voor de meeste MKB-bedrijven niet rechtstreeks. NIS2 raakt formeel alleen essentiële en belangrijke entiteiten en hun keten. Het echte risico is praktisch: mails die niet aankomen, een merk dat misbruikt wordt voor phishing en opdrachtgevers die het inkooppunt steeds vaker stellen. Dat is de kostenkant die we in 2026 het hardst zien groeien.