OMNI Service DeskOMNI Service Desk

SPF, DKIM en DMARC instellen

Om de kans zo klein mogelijk te maken dat verzonden e-mails bij de ontvanger worden geweigerd of in de spambox wordt bezorgd, zijn er een aantal instellingen die u correct dient te configureren.

De instellingen die in deze handleiding worden doorgenomen zijn SPF, DKIM en DMARC. Dit zijn allemaal DNS TXT-records.

TIP

De juiste e-mailinstellingen zijn afhankelijk van de gebruikte mailomgeving. Deze handleiding is bedoeld voor e-mail die via het webhostingpakket wordt verstuurd. Controleer de instellingen zorgvuldig wanneer uw situatie hiervan afwijkt.

Wat is een TXT-record?

Een TXT-record is een generiek DNS-tekstrecord dat u kunt gebruiken om uiteenlopende tekstinformatie aan uw domein te koppelen. Veelvoorkomende toepassingen zijn onder andere:

  • Validatie van domeineigendom (bijvoorbeeld voor Microsoft 365 of Google Search Console)
  • Beveiligings- en beleidsrecords zoals SPF, DKIM en DMARC
  • Verificatie-records voor externe platforms of diensten (bijvoorbeeld CDN’s of e-mailleveranciers)

Voorbeeld

Ons systeem plaatst zelf dubbele aanhalingstekens rond de TXT-waarde. Mocht uw leverancier u een TXT-record toesturen waar aanhalingstekens omheen staan, voer de tekst zonder aanhalingstekens in, anders verschijnen er twee keer aanhalingstekens in het uiteindelijke record.

  • Correct invoeren (zonder handmatige quotes):

    v=spf1 a mx include:spf.protection.outlook.com -all

  • Niet correct (met extra quotes):

    "v=spf1 a mx include:spf.protection.outlook.com -all"

DKIM

Wat is DKIM?

DKIM (DomainKeys Identified Mail) is een e-mailverificatiemechanisme dat ervoor zorgt dat verzonden berichten niet onderweg zijn aangepast. Hierbij wordt er een cryptografische handtekening (private key) in de e-mailheader meegezonden, waarna ontvangende servers (met de corresponderende public key in de DNS zone) kunnen controleren of het bericht authentiek is.

Hoewel de techniek erachter complex is, is het instellen ervan met cPanel gelukkig heel eenvoudig.

DKIM instellen

Inloggen op cPanel

Log in op het hostingpakket om de juiste instellingen door te voeren. U kunt op twee manieren inloggen op cPanel:

E-maildeliverabilitypaneel openen

  1. Zodra u bent ingelogd, ziet u het cPanel-dashboard.
  2. Typ bovenin in de zoekbalk: Email Deliverability.
  3. Klik op het icoon of de naam Email Deliverability om het overzicht te openen.
  4. Achter de betreffende domeinnaam, klik op Beheren (Manage).

E-mailbezorgbaarheidsinstellingen van het domein openen

  1. U ziet een lijst met domeinen die aan uw hostingpakket zijn gekoppeld.

  2. Klik bij het juiste domein op Beheren (Manage).

  3. U komt nu in het overzicht van alle e-mailbezorgbaarheidsinstellingen van dat domein.

  4. Als onder DKIM de volgende tekst verschijnt:

    DKIM Problems Exist
A "DKIM" record does not exist for this domain.

To properly configure your DKIM key, the record must use this server’s DKIM key.

Suggested “DKIM” (TXT) Record TXT

    Dit kan worden opgelost door onder de melding op Install suggested record te klikken. De benodigde stappen worden dan automatisch door cPanel uitgevoerd.

SPF

WARNING

cPanel bevat de mogelijkheid om automatisch een SPF-record te genereren, maar wij raden sterk af deze optie te gebruiken omdat deze niet met alle scenario’s rekening houdt. Lees in plaats daarvan de onderstaande handleiding goed door.

Wat is SPF?

Een SPF-record (Sender Policy Framework) is een bijzonder TXT-record dat aangeeft welke mailservers namens uw domein e-mail mogen versturen. Hiermee voorkomt u dat kwaadwillenden e-mails vervalsen met uw domeinnaam (spoofing) en verbetert de bezorgbaarheid van uw e-mail.

Opbouw van een SPF-record

Een SPF-record begint altijd met v=spf1 (de versienaam) en bevat vervolgens een of meer mechanismen en qualifiers, gevolgd door een afsluitende qualifier (~all, -all of +all). Hieronder vindt u een overzicht van de meest voorkomende onderdelen:

OnderdeelMogelijke waarde(n)Betekenis
v=spf1VerplichtGeeft de versie van het SPF-protocol aan. Dit moet altijd v=spf1 zijn.
a(optioneel: a:<hostnaam>)Sta e-mail toe vanaf de A-records van het domein of opgegeven host. Als uw website e-mail verzendt (zoals bijvoorbeeld een contactformulier op een WordPress website), dan moet dit fragment zonder hostname worden opgenomen in het SPF-record.
mx(optioneel: mx:<hostnaam>)Sta e-mail toe vanaf de mailservers gedefinieerd in MX-records. Als er gebruik wordt gemaakt van bij de webhosting behorende e-mail, dan moet dit fragment worden opgenomen in het SPF-record.
include(optioneel: include:<domein>)Neem de SPF-regels van het opgegeven domein over. Software van leveranciers die e-mail verstuurt namens uw domeinnaam zal in vrijwel alle gevallen vragen om een aanvulling van het SPF-record met hun instellingen. Onder deze tabel staat een voorbeeld waarvoor dit het geval is.
ip4(optioneel: ip4:<IPv4-adres>/<bitmask>)Sta e-mail toe vanaf dit IPv4-adres of netwerk. Gebruik deze optie om een specifiek IP-adres of specifiek IP-adres toe te staan om e-mail te verzenden namens uw domein.
ip6(optioneel: ip6:<IPv6-adres>/<bitmask>)Sta e-mail toe vanaf dit IPv6-adres of netwerk. Gebruik deze optie om een specifiek IP-adres of specifiek IP-adres toe te staan om e-mail te verzenden namens uw domein.
ptr(optioneel: ptr:<domein>)Controleer of de PTR-record wijst naar het opgegeven domein. Dit recordtype wordt zelden gebruikt.
allVerplicht: -all, ~all of +allSluit het record af: -all (hard fail), ~all (soft fail), +all (permit all). Het wordt aangeraden om -all te gebruiken, dit is de meest strikte instelling. Alle e-mail die nu niet aan het SPF-record voldoet zal altijd in de spambox belanden, waarmee de kans op misbruik van uw domeinnaam het kleinst is.

Wilt u een SPF-record toevoegen (voor e-mailverificatie), maar ziet u dat er al één bestaat voor het domein? Voeg dan niet zomaar een tweede SPF-record toe, want dan werkt SPF niet meer correct.

In plaats daarvan dient u het bestaande SPF-record aanvullen met de nieuwe waarde. Plak de extra waarde ertussenin, met een spatie ertussen.

Voorbeeld

Stel, het huidige record is:

v=spf1 a mx include:spf.protection.outlook.com -all

En u wilt e-mail toestaan van een leverancier (in dit voorbeeld Mailchimp) die vraagt om het SPF-record te wijzigen zodat dit include:servers.mcsv.net bevat. Wijzig in dat geval het record naar:

v=spf1 a mx include:spf.protection.outlook.com include:servers.mcsv.net -all

Stel dat nu een volgende leverancier vraagt om de hostname a:example.com toe te voegen. Wijzig in dat geval het record naar:

v=spf1 a a:example.com mx include:spf.protection.outlook.com include:servers.mcsv.net -all

Het SPF-record aanmaken

Inloggen op cPanel

Log in op het hostingpakket om de juiste instellingen door te voeren. U kunt op twee manieren inloggen op cPanel:

Zone Editor openen

  1. Zodra u bent ingelogd, ziet u het cPanel-dashboard.
  2. Typ bovenin in de zoekbalk: Zone Editor.
  3. Klik op het icoon of de naam Zone Editor om het overzicht te openen.

DNS-beheer van het domein openen

  1. U ziet een lijst met domeinen die aan uw hostingpakket zijn gekoppeld.
  2. Klik bij het juiste domein op Beheren (Manage).
  3. U komt nu in het overzicht van alle DNS-records van dat domein.

Nieuw DNS-record toevoegen

  1. Klik rechtsboven op het uitklappijltje naast + Record toevoegen en kies Add TXT Record.

  2. In het record dat in het overzicht is toegevoegd:

    1. Vul bij Naam het domein in waarvoor u het record wilt instellen.
    2. Vul bij TTL de gewenste TTL in, doorgaans kan de standaardwaarde overgenomen worden.
    3. Laat Type op TXT staan.
    4. Vul bij de waarde van het record het opgestelde SPF-record in, in het voorgaande voorbeeld zou dat dus zijn: v=spf1 a a:example.com mx include:spf.protection.outlook.com include:servers.mcsv.net -all.

Opruimen van het SPF-record

Wanneer u geen gebruik meer maakt van de diensten van een leverancier, dan is het raadzaam het SPF-record op te ruimen en de gerelateerde records weer uit het SPF-record te verwijderen. Hiermee is de lijst van partijen die namens uw domeinnaam mogen e-mailen up-to-date en is de kans op misbruik van uw domeinnaam dus ook het kleinst.

DMARC

Wat is DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) bouwt voort op SPF en DKIM en geeft domeineigenaren controle over wat er met onbevestigde e-mail gebeurt. Met een DMARC-policy kunt u aangeven of berichten die niet slagen voor SPF- of DKIM-checks in quarantaine moeten, geweigerd moeten worden of alleen gemonitord worden. Daarnaast kunt u rapportages (rua/ruf) instellen om inzicht te krijgen in wie namens uw domein e-mails verstuurt.

TIP

DMARC is alleen effectief als SPF en DKIM beiden al correct zijn ingesteld.

Opbouw van een DMARC-record

INFO

DMARC kent veel opties en kan snel per ongeluk verkeerd worden ingesteld.
Het is raadzaam om te beginnen met een beleid dat niet al te strikt is, het door cPanel automatisch voorgestelde record is hiervoor geschikt.

Een DMARC-record begint altijd met v=dmarc1 (de versienaam) en bevat vervolgens een of meer mechanismen en qualifiers. Hieronder vindt u een overzicht van de meest voorkomende onderdelen:

OnderdeelcPanel-labelMogelijke waarde(n)Betekenis
vVersiev=DMARC1Versie van het DMARC-protocol
pPolicynone, quarantine of rejectHoofd­beleid: None = alleen monitoren; Quarantine = in quarantaine; Reject = direct weigeren
spSubdomain Policynone, quarantine of rejectBeleid voor subdomeinen (optioneel)
pctPercentage0–100 (standaard 100)Percentage van berichten waarop de policy wordt toegepast
ruaAggregate Reports (rua)mailto:postmaster@jouwdomein.nl (optioneel, meerdere adressen kunnen worden toegevoegd komma-gescheiden)Adres(sen) voor geaggregeerde rapporten
rufFailure Reports (ruf)mailto:postmaster@jouwdomein.nl (optioneel, meerdere adressen kunnen worden toegevoegd komma-gescheiden)Adres(sen) voor forensische rapporten
aspfSPF Alignmentr (relaxed), s (strict)SPF-identiteitsalignatie
adkimDKIM Alignmentr (relaxed), s (strict)DKIM-identiteitsalignatie
foFailure Options0 (alle checks moeten falen)
1 (één check faalt)		Wanneer wordt er een failure-report gegenereerd
rfReport FormatafrfRapportformaat: AFRF (Authenticated Failure Reporting Format)
riReport IntervalAantal seconden (standaard 86400)Interval tussen rapporten

Relaxed vs. Strict

AlignmentLetter in cPanelGedrag
RelaxedrAccepteert als het domein van de From:-header exact overeenkomt met het domein of een subdomein is van het domein dat in de SPF- of DKIM-handtekening staat.
StrictsAccepteert als het domein van de From:-header exact overeenkomt met het domein dat in de SPF- of DKIM-handtekening staat.

Voorbeeld SPF-alignment

  • Relaxed (aspf=r)

    • From: is mail.jouwdomein.nl, SPF-record staat op jouwdomein.nl -> pass

  • Strict (aspf=s)

    • From: is mail.jouwdomein.nl, SPF-record staat op jouwdomein.nl -> fail (niet exact gelijk)

Voorbeeld DKIM-alignment

  • Relaxed (adkim=r)

    • DKIM-selectorhandtekening van selector1._domainkey.jouwdomein.nl, From: is sub.jouwdomein.nl -> pass

  • Strict (adkim=s)

    • Zelfde als hierboven -> fail (alleen exact jouwdomein.nl is toegestaan)

Het DMARC-record aanmaken

Inloggen op cPanel

Log in op het hostingpakket om de juiste instellingen door te voeren. U kunt op twee manieren inloggen op cPanel:

Zone Editor openen

  1. Zodra u bent ingelogd, ziet u het cPanel-dashboard.
  2. Typ bovenin in de zoekbalk: Zone Editor.
  3. Klik op het icoon of de naam Zone Editor om het overzicht te openen.

DNS-beheer van het domein openen

  1. U ziet een lijst met domeinen die aan uw hostingpakket zijn gekoppeld.
  2. Klik bij het juiste domein op Beheren (Manage).
  3. U komt nu in het overzicht van alle DNS-records van dat domein.

Nieuw DNS-record toevoegen

  1. Klik rechtsboven op het uitklappijltje naast + Record toevoegen en kies Add DMARC Record.
  2. U kunt de standaardwaarden accepteren, u heeft in dat geval een geldig DMARC-record waarin DMARC-beleid niet wordt afgedwongen maar alleen wordt gemonitord.
  3. Als u aanpassingen wilt maken aan het DMARC-record, gebruik dan de eerdergenoemde tabel onder Opbouw van een DMARC-record.
  4. Klik op Record toevoegen om het op te slaan. cPanel zal automatisch een correct TXT-record genereren.