Emailbeveiliging: SPF, DKIM & DMARC

Waarom jouw domein vandaag misschien nog te spoofen is

Veel bedrijven denken dat hun email veilig is zodra hun mailbox bij Microsoft 365 of Google Workspace staat.
De realiteit? In heel wat scans zien we dat de DNSinstellingen die je domein moeten beschermen volledig fout staan.

En dat merk je meestal pas wanneer het te laat is.
Wanneer klanten melden dat “jij” phishingmails verstuurt, terwijl jij dat niet bent.

De basis van emailbeveiliging ligt niet alleen in je mailbox, maar ook in je DNSrecords.
Dat is de publieke plek waar iedereen kan kijken. Ook aanvallers.

De vier DNSrecords die bepalen of je domein misbruikt kan worden

SPF – Wie mag mailen namens jouw domein?

SPF bepaalt welke mailservers emails mogen versturen met jouw domein in de afzender.

Veelvoorkomende problemen:

  • Te veel toegestane verzenders (“alles mag”)
  • Historische tools die nog toegang hebben
  • SPFrecords die technisch falen door limieten
  • Gebruik van ~all in plaats van -all

Als SPF faalt, is het voor een aanvaller vaak kinderspel om zich als jouw domein voor te doen.

DKIM – De digitale handtekening van je email

DKIM zorgt ervoor dat een email cryptografisch wordt ondertekend.

De ontvanger kan zo controleren of de mail onderweg niet is aangepast en echt door jouw systeem is verzonden.

Wat we vaak zien:

  • DKIM niet geactiveerd bij marketing- of facturatietools
  • Verouderde sleutels
  • Geen rotatie van DKIMsleutels
  • Verkeerde of ontbrekende DNSrecords

Zonder DKIM oogt een mail technisch “verdacht”, zelfs als hij legitiem is.

DKIM – De digitale handtekening van je email

DKIM zorgt ervoor dat een email cryptografisch wordt ondertekend.

De ontvanger kan zo controleren of de mail onderweg niet is aangepast en echt door jouw systeem is verzonden.

Wat we vaak zien:

  • DKIM niet geactiveerd bij marketing- of facturatietools
  • Verouderde sleutels
  • Geen rotatie van DKIMsleutels
  • Verkeerde of ontbrekende DNSrecords

Zonder DKIM oogt een mail technisch “verdacht”, zelfs als hij legitiem is.

DMARC – De controlekamer

DMARC bepaalt wat ontvangende mailservers moeten doen als SPF en DKIM falen.

Belangrijk begrip: alignment
SPF of DKIM moet overeenkomen met het domein in de afzender.
Zonder alignment faalt DMARC, zelfs als SPF of DKIM op zich “groen” staan.

DMARC-beleid:

  • p=none → enkel rapporteren (geen bescherming)
  • p=quarantine → verdacht behandelen
  • p=quarantine → verdacht behandelen

Veel organisaties blijven jarenlang op p=none.
Dat betekent: je domein blijft volledig spoofbaar.

MX – Waar komt email binnen?

MXrecords bepalen welke servers email voor jouw domein ontvangen.

Oude of foute MXrecords:

  • vergroten het aanvalsoppervlak
  • zorgen voor onverwachte deliverabilityproblemen
  • wijzen soms naar systemen die al jaren niet meer gebruikt worden

De 7 minimale checks die elk domein moet doorstaan

Een correct beveiligd domein voldoet minstens aan deze basis:

  • SPF aanwezig, geldig en onder 10 DNSlookups
  • SPF eindigt op -all
  • DKIM actief met moderne sleutels
  • Minstens één actieve DKIMselector
  • DMARC aanwezig met geldige rapportage
  • DMARC minimaal op quarantine, idealiter reject
  • MXrecords correct en opgeschoond

Faalt één van deze punten?
Dan kan jouw domein misbruikt worden voor phishing of fraude.

Meerdere tools, één domein: waar het vaak fout loopt

De meeste organisaties gebruiken meer dan één systeem om mails te versturen:

  • marketingtools
  • webshops
  • facturatietools
  • CRMsystemen
  • formulieren op de website
  • HRsoftware

Elk van die systemen moet correct opgenomen zijn in SPF, DKIM en DMARC.
Zonder overzicht ontstaat chaos, en dat zie je pas wanneer mails verdwijnen of geblokkeerd worden.

Hoe wij dit aanpakken

We werken altijd gecontroleerd en zonder risico:

  1. Eerst volledig inzicht via rapportage
  2. Daarna pas opkuisen en aligneren
  3. Gecontroleerd verstrengen naar quarantine
  4. En uiteindelijk veilig naar p=reject

Zo blijft je mail werken, terwijl spoofing effectief wordt gestopt.

Maar… dit is slechts het topje van de ijsberg

DNS-records zijn de eerste verdedigingslaag.
Echte emailbeveiliging gaat veel verder.

Denk aan:

  • bescherming tegen phishingcampagnes
  • analyse van verdachte bijlagen
  • detectie van spoofing binnen je organisatie
  • bescherming tegen zeroday aanvallen
  • fijn afgestelde filtering en drempels
  • monitoring en aanbevelingen volgens Microsoftbest practices

Daarvoor zijn aanvullende beveiligingsmaatregelen binnen Microsoft 365 nodig.

Ook daarbij kunnen we ondersteunen, van advies tot volledige configuratie en opvolging.

Wil je weten hoe jouw domein ervoor staat?

Gebruik onze gratis emailbeveiligingsscanner en zie in enkele seconden:

  • of je domein spoofbaar is
  • of SPF, DKIM en DMARC correct werken
  • waar de grootste risico’s zitten
  • welke stappen de meeste impact hebben

Valideer je domein en krijg meteen duidelijkheid.
Wil je verder kijken dan email alleen?

Plan een Security Audit en krijg een volledig beeld van je Microsoft 365-beveiliging.

Blijf cybercriminelen een stap voor: schrijf je nu in!

Ontvang exclusieve tips en inzichten om jouw KMO veilig, slim en toekomstbestendig te maken.

Onze experts delen praktische adviezen waarmee jij risico’s voorkomt en je bedrijf veerkrachtig houdt.

Geen ruis, alleen waardevolle kennis. Mis niets: meld je vandaag nog aan!

Lees ook

Attack Paths in Microsoft Defender

Attack Paths in Microsoft Defender

door Geert | dec 23, 2025

Lees meer
Microsoft Secure Score & Exposure Score

Microsoft Secure Score & Exposure Score

door Geert | dec 16, 2025

Lees meer
AI: een Dubbelsnijdend Zwaard voor Cybersecurity

AI: een Dubbelsnijdend Zwaard voor Cybersecurity

door Geert | dec 10, 2025

Lees meer
Microsoft 365 Licenties

Inzicht in Microsoft 365-licenties voor KMO’s in België

door Geert | dec 3, 2025

Lees meer