E-mail blijft één van de meest gebruikte vormen van communicatie, zowel zakelijk als privé. Maar net als bij andere vormen van digitale communicatie, is het belangrijk dat je e-mailverkeer goed beveiligd is. Zonder die beveiliging kunnen kwaadwillende proberen om zich voor te doen als jouw e-mailadres of domeinnaam. Dit noemen we spoofing en het kan zorgen voor verwarring, reputatieschade en veiligheidsrisico’s voor de ontvanger.
Om dit soort misbruik te voorkomen, zijn er verschillende beveiligingstechnieken ontwikkeld, waaronder SPF, DKIM en DMARC. Deze technieken werken samen om te controleren of een e-mail écht van jou afkomstig is, en of die onderweg niet is aangepast. Door deze instellingen correct toe te passen, vergroot je de kans dat jouw e-mails betrouwbaar worden afgeleverd in de inbox van de ontvanger en voorkom je dat ze onbedoeld in de spamfolder terechtkomen. Daarnaast verklein je het risico dat anderen jouw domein misbruiken om nep-e-mails te versturen.
In dit artikel leggen we uit wat SPF, DKIM en DMARC zijn, hoe ze samenwerken om jouw e-mailverkeer te beveiligen, en waarom het belangrijk is dat deze goed zijn ingesteld.
Spoofing
Bij spoofing probeert een kwaadwillende zich voor te doen als iemand anders door een e-mail te versturen vanaf een vervalst afzenderadres. Het lijkt dan alsof de e-mail afkomstig is van een betrouwbaar adres, bijvoorbeeld info@cloud86.io, terwijl dat in werkelijkheid niet zo is.
Dit soort nep-e-mails wordt vaak gebruikt voor phishing, oplichting of het verspreiden van malware. Spoofing is dus niet alleen schadelijk voor de ontvanger, maar ook voor jouw reputatie als afzender.
Om dit te voorkomen, zijn er drie belangrijke technieken die samen zorgen voor betrouwbare en veilige e-mailcommunicatie: SPF, DKIM en DMARC.
SPF: wie mag e-mails versturen namens jouw domein?
Sender Policy Framework (SPF) is een techniek waarmee je via een DNS-record aangeeft welke servers e-mails mogen versturen namens jouw domeinnaam. Zie het als een lijst met toegestane verzenders.
Wanneer een ontvangende mailserver een e-mail binnenkrijgt, controleert die of de verzendende server voorkomt in het SPF-record van jouw domein. Is dat niet het geval? Dan wordt de e-mail gemarkeerd als verdacht of zelfs direct geweigerd. Dit helpt voorkomen dat anderen zich voordoen als jouw domein en vergroot de kans dat jouw legitieme e-mails netjes in de inbox belanden.
Bij Cloud86 wordt een correct SPF-record automatisch ingesteld wanneer je een Webhosting pakket afneemt of een nieuwe DNS-zone aanmaakt via ons platform.
Voorbeeld SPF record
| Naam | Type | TTL | RDATA |
| @ | TXT | 14400 | "v=spf1 +a +mx +ip4:45.82.188.XX -all" |
DNS Record:
- @: Dit betekent dat het SPF-record geldt voor het hoofddomein, zoals bijvoorbeeld cloud86example.com.
- TXT: SPF-records worden opgeslagen als TXT-records in DNS, zodat mailservers de inhoud kunnen uitlezen.
-
TTL (Time To Live): Dit is de tijd in seconden dat het record in cache blijft; 14400 seconden = 4 uur.
-
RDATA: De inhoud van het SPF-record, waarin de toegestane verzenders zijn vastgelegd.
SPF Waarde:
- v=spf1: Geeft aan dat het om een SPF-record versie 1 gaat.
- +a: Staat toe dat e-mails verzonden mogen worden vanaf het IP-adres dat is gekoppeld aan het A-record van jouw domein (de server waar je website op draait).
- +mx: Staat toe dat e-mails verstuurd mogen worden vanaf de mailservers die zijn ingesteld in de MX-records van jouw domein (de servers waar je mail draait).
- +ip4:45.82.188.XX: Geeft expliciet toestemming aan het IP-adres 45.82.188.XXom e-mails te versturen namens jouw domein (dit is een specifieke server-ip, de exacte waarde kun je vinden in Plesk: Waar vind ik mijn servernaam en ip-adres?).
- -all: Alle andere servers worden expliciet geweigerd (hard fail).
Dit record betekent dus: alleen de server op het A-record, de MX-servers, en het IP-adres 45.82.188.14 e-mails mogen versturen namens dit domein — alle andere worden geweigerd.
DKIM: controle op echtheid en inhoud
DomainKeys Identified Mail (DKIM) zorgt ervoor dat e-mails die namens jouw domein worden verstuurd, voorzien zijn van een digitale handtekening. Deze handtekening wordt automatisch toegevoegd door de verzendende server en is gekoppeld aan een DNS-record op jouw domein.
Wanneer de ontvanger jouw e-mail ontvangt, kan zijn mailserver controleren:
- of de e-mail écht van jouw domein komt
- en of de inhoud onderweg niet is aangepast
Deze extra controle helpt om het vertrouwen in jouw e-mails te vergroten en vermindert de kans dat jouw berichten in de spamfolder terechtkomen. Bij Cloud86 is DKIM niet standaard actief, maar je kunt dit inschakelen via onze handleiding:
Wanneer je gebruik maakt van onze verhuisservice, zorgen wij ervoor dat bestaande DKIM-instellingen correct worden overgenomen of opnieuw ingesteld. Zo blijft je e-mail goed beveiligd — zonder dat je daar zelf technische kennis voor nodig hebt.
DMARC: jouw e-mailbeleid en beveiligingscontrole
Domain-based Message Authentication, Reporting & Conformance (DMARC) is een beveiligingslaag die gebruikmaakt van de uitkomsten van SPF en DKIM. Met een DMARC-record geef je aan wat er moet gebeuren als een e-mail namens jouw domein niet voldoet aan deze controles.
Zo kun je bijvoorbeeld instellen dat:
- de e-mail geweigerd moet worden (reject),
- in de spamfolder geplaatst mag worden (quarantine),
- of gewoon geaccepteerd wordt, voor bijvoorbeeld monitoringdoeleinden (none).
DMARC helpt je om de betrouwbaarheid van je e-mailverkeer te vergroten en misbruik van je domein te beperken. Wil je weten of jouw domein al een DMARC-record heeft, of wat de inhoud is? Controleer het via https://mxtoolbox.com/DMARC.aspx.
Voorbeeld DMARC record
| Naam | Type | TTL | RDATA |
| _dmarc | TXT | 14400 | "v=DMARC1; p=quarantine; rua=mailto:dmarc@cloud86example.com" |
DMARC Waarde:
- v=DMARC1: Geeft aan dat het om een DMARC-record versie 1 gaat.
- p=quarantine: Plaats e-mails die niet voldoen in de spamfolder.
- rua=mailto:...: Stuur een gecombineerd (aggregated) rapport van berichten die falen en stuur het naar het mailadres wat achter de mailto staat. Wij raden het aan om hiervoor een apart mailadres te gebruiken. Naast rua, heb je ook ruf, wat elk bericht apart stuurt in plaats van gecombineerd.
Voorbeeld weigering mail
Wanneer een ontvangende mailserver een e-mail afwijst omdat deze niet slaagt voor de DMARC-controle (en jouw policy op reject staat), kan de verzender de volgende melding krijgen:
Your message wasn't delivered because the recipient's email provider rejected it
Diagnostic information for administrators:
Generating server: [server naam] [ontvanger adres].
Remote server returned '550 5.7.509 Access denied, sending domain [afzender domein] does not pass DMARC verification and has a DMARC policy of reject.'
Betrouwbare beveiligde mail bij Cloud86
Om ervoor te zorgen dat jouw e-mailverkeer betrouwbaar, veilig én correct functioneert bij Cloud86, is het belangrijk dat de juiste DNS-records zijn ingesteld. De onderstaande tabel bevat alle essentiële instellingen die nodig zijn voor:
- correcte aflevering van e-mails (A- en MX-records)
- bescherming tegen het versturen van spam en spoofing (SPF, DKIM, DMARC)
Wanneer je deze records instelt — of ze automatisch laat aanmaken via onze webhosting of DNS-beheeromgeving — zorg je voor een stevige basis van jouw e-mailbeveiliging én leveringsbetrouwbaarheid.
| Naam | Type | TTL | RDATA |
| @ | A | 14400 | <ip server> |
| @ | MX | 14400 | 10 <domein> |
| _dmarc | TXT | 14400 | "v=DMARC1; p=quarantine; sp=quarantine;" |
| _domainkey | TXT | 14400 | "o=-" |
| cloud86._domainkey | TXT | 14400 | <dkim record (DKIM inschakelen)> |
| @ | TXT | 14400 | "v=spf1 +a +mx +ip4:<ip server> -all" |
Let op: maak je gebruik van onze webhosting of verhuis je jouw domeinnaam naar Cloud86? Dan zorgen wij automatisch dat deze instellingen juist en volledig worden aangemaakt of overgenomen.
Mocht je er niet helemaal uit komen kun je onze supportdesk altijd bereiken per mail support@cloud86.io en op werkdagen van 10:00 tot 16:00 kun je ons ook bereiken per telefoon en via de chat in Mijn Cloud86 omgeving.