SPF, DKIM en DMARC instellen: stappenplan

SPF, DKIM en DMARC zijn drie aparte records met één gezamenlijk doel: bewijzen dat een mail echt van uw domein komt. De volgorde van implementatie is niet onderhandelbaar. Wie DMARC publiceert voor SPF en DKIM staan, breekt zijn eigen mail.

Stap 1: inventariseer alle senders

Maak een lijst van elk systeem dat namens uw domein verstuurt. Microsoft 365 voor reguliere mail, Mailchimp of HubSpot voor marketing, Salesforce voor CRM-meldingen, AFAS of Exact voor facturen, Zendesk voor support, monitoringtools, en de webserver van uw site voor contactformulieren. Vergeet de printer-naar-mail-functie niet.

Stap 2: SPF publiceren

Bouw één SPF-record met alle senders. Houd het onder tien DNS-lookups, anders gooit SPF een PermError. Gebruik include-statements van uw providers en eindig met -all of ~all. Test via MXToolbox SPF Lookup en stuur een testmail naar een Gmail-account om te checken dat de header SPF=pass toont.

Stap 3: DKIM activeren per sender

DKIM is per sender. In Microsoft 365 schakelt u DKIM in via het Defender-portaal en publiceert u twee CNAME-records (selector1 en selector2). Mailchimp, Salesforce en AFAS hebben elk hun eigen DKIM-procedure met aparte selectors. Roteer DKIM-keys jaarlijks en bewaar de oude selector nog dertig dagen om in-transit mail niet te breken.

Stap 4: DMARC op p=none met rua

Publiceer een TXT-record op _dmarc.uwdomein.nl met v=DMARC1; p=none; rua=mailto:dmarc-reports@uwdomein.nl; pct=100. Gebruik een aggregator (Postmark, Valimail, dmarcian) want rauwe XML van Microsoft en Google wordt onleesbaar bij volume.

Stap 5: monitoringperiode 30 tot 60 dagen

In deze periode komen blinde vlekken naar boven. Een marketingmail die iemand vorig jaar via een onbekende SaaS-tool verstuurde, een CRM-add-on die buiten DKIM valt, een freelancer die met uw domein als afzender mailt. Repareer alles tot de aligned-rate boven 99 procent zit.

Stap 6: aanscherpen in fasen

Schakel naar p=quarantine met pct=10, dan 25, dan 50, dan 100. Daarna p=reject. Bij elke stap wacht u twee weken en checkt u de reports. Na drie tot zes maanden staat uw mailauthenticatie volledig overeind en kan niemand meer ongezien spoofen vanaf uw domein. Voeg eventueel BIMI toe voor logo-weergave in Gmail en Apple Mail.

Verwant: Freelance cybersecurity consultant, Freelance IT consultant.