BG Beter Geregeld ICT
Security zonder IT-afdeling · 6 min leestijd · 12 juli 2026

Mail komt niet aan? Check eerst SPF, DKIM en DMARC

Facturen die niet aankomen, offertes die in spam belanden: meestal ligt het aan drie technische instellingen. Zo weet je of ze bij jullie kloppen.

Een klant belt: "Ik heb net een offerte gemaild, maar ik zie 'm nog niet binnen bij jullie." Je collega kijkt in de inbox, in spam, in de map "overig" — nergens. Uiteindelijk blijkt de mail wél verstuurd, maar bij de ontvanger nooit aangekomen. Of andersom: jullie versturen facturen, en een deel van de klanten zegt "die heb ik nooit gehad".

In negen van de tien gevallen zit de oorzaak in hoe jullie mail is ingesteld. Meestal in drie kleine, technische instellingen: SPF, DKIM en DMARC. Klinkt saai. Is het ook. Maar het verschil tussen mail die aankomt en mail die in de spamfilter belandt, zit precies daar.

Wat doen SPF, DKIM en DMARC eigenlijk?

Zie het als drie soorten stempels op een envelop. Ze bewijzen aan de ontvanger dat jouw mail écht van jouw bedrijf komt en niet van iemand die zich voordoet als jouw bedrijf.

  • SPF is een lijstje met servers die namens jouw domein mail mogen versturen. Bijvoorbeeld: "Microsoft 365 en Mailchimp mogen mailen namens betergeregeld.nl, de rest niet."
  • DKIM is een digitale handtekening. De ontvanger kan controleren of de mail onderweg niet is aangepast.
  • DMARC is de instructie wat een ontvanger moet doen als SPF of DKIM niet kloppen: negeren, in spam gooien, of weigeren. En: rapporteer het aan ons.

Zonder deze drie instellingen weet Gmail, Outlook of KPN niet zeker of jullie mail echt is. En bij twijfel? Spam. Of gewoon weigeren.

Waarom dit in 2026 belangrijker is dan ooit

Sinds 2024 zijn Google en Yahoo strenger geworden. Wie meer dan een paar honderd mails per dag stuurt, móét DMARC hebben — anders komt de mail simpelweg niet aan bij Gmail-gebruikers. Microsoft trekt in 2025 en 2026 diezelfde lijn door voor Outlook en Hotmail.

Voor het MKB betekent dat: ook als je "maar" een handvol facturen en offertes per dag stuurt, kan het misgaan. Vooral als je mail verstuurt vanuit meerdere systemen: je boekhoudpakket, je nieuwsbrief-tool, je webshop, en gewoon Outlook. Elk van die systemen moet in je SPF-lijst staan.

Zo herken je dat het misgaat

Vaak zie je het niet direct. Klanten klagen niet altijd; ze denken gewoon dat je niet hebt gereageerd. Signalen om op te letten:

  • Klanten of leveranciers zeggen regelmatig "die mail heb ik niet gehad".
  • Facturen worden opvallend vaak "vergeten".
  • Nieuwsbrieven halen een lage openingsgraad zonder dat je iets veranderd hebt.
  • Je krijgt zelf bounces terug met foutmeldingen als "SPF fail" of "DMARC policy".
  • Een collega mailt vanuit een nieuw systeem (bijvoorbeeld een nieuwe CRM) en die mails komen niet aan.

Wat je zelf kunt checken

Je hebt geen IT'er nodig om te zien of het minimaal is geregeld. Een paar simpele stappen:

  1. Stuur een testmail vanuit je zakelijke adres naar je eigen Gmail-account (of een privé-Outlook).
  2. Open de mail, klik op de drie puntjes → "Origineel weergeven" (Gmail) of "Berichtbron" (Outlook).
  3. Zoek naar de regels SPF, DKIM en DMARC. Er moet overal PASS staan.

Staat er ergens FAIL, SOFTFAIL of NONE? Dan is er werk aan de winkel. Vooral "DMARC: none" is een teken dat je waarschijnlijk helemaal geen DMARC-record hebt.

De drie klassieke valkuilen

1. Nieuwe tool, oude SPF. Je begint met een nieuw factureringssysteem, maar niemand voegt die toe aan het SPF-record. Gevolg: facturen belanden in spam.

2. Kopiëren en plakken van internet. Iemand vindt een SPF-voorbeeld online, plakt het één-op-één in de DNS, en overschrijft daarmee de bestaande instellingen. Ineens komt niks meer aan.

3. DMARC op "reject" zetten zonder te testen. DMARC heeft drie standen: none (alleen rapporteren), quarantine (in spam) en reject (weigeren). Wie meteen op reject gaat staan zonder eerst te kijken welke systemen er allemaal mailen, blokkeert zomaar een deel van z'n eigen mail.

Wat is een verstandige aanpak?

De volgorde die wij in de praktijk aanhouden:

  1. Inventariseer welke systemen mail versturen namens jouw domein. Denk aan Microsoft 365, boekhoudpakket, nieuwsbrief-tool, webshop, ticketsysteem, en eventueel een oude server die je vergeten was.
  2. Zet SPF en DKIM goed voor elk van die systemen.
  3. Start DMARC op "none" met rapportage-adres. Zo krijg je een paar weken data over wat er misgaat, zonder dat er mail verdwijnt.
  4. Schuif langzaam op naar quarantine en uiteindelijk reject, als je zeker weet dat alle legitieme mail door de checks komt.

Het is geen raketwetenschap, maar het luistert nauw. Een typo in een DNS-record en je zit een dag zonder werkende mail.

Wat het je oplevert

Meer dan alleen "mail komt aan". Als jullie SPF, DKIM en DMARC op orde zijn:

  • Kan niemand meer eenvoudig mailtjes versturen alsof ze van jullie komen (denk aan factuurfraude).
  • Krijg je rapportages als iemand het tóch probeert.
  • Verbetert je reputatie bij mailproviders, wat dus ook je nieuwsbrief en offerte-mails helpt.
  • Voldoe je aan de eisen die grote providers stellen — geen vervelende verrassingen als Google of Microsoft weer een schroef aandraait.

Kortom: het is een van die onzichtbare klusjes waar je pas achter komt dat je hem niet gedaan hebt, als het te laat is.

Wil je weten of jullie mail nu goed staat? Wij doen een mail-beveiligingscheck waarin we SPF, DKIM en DMARC voor jouw domein doorlichten en, als het nodig is, in orde brengen zonder dat er ondertussen mail wegvalt.

Onderwerpen

#mkb #security #Mail Beveiliging #E Mail #Spf Dkim Dmarc

Volledige gids: Security for SMBs without an IT department: what should you do this quarter?

Dit artikel is onderdeel van onze uitgebreide Security zonder IT-afdeling-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →