Customer Impact

Website & Development

SPF, DKIM en DMARC instellen: zo komen je formulier- en zakelijke mails wél aan

TDK Tanguy De Keyzer Tanguy De Keyzer Oprichter & digitale strateeg · 27 juni 2026 · ◷ 6 min leestijd

Als je zakelijke mails of lead-notificaties van je website in spam belanden, ligt de oorzaak bijna altijd bij ontbrekende of foute mailauthenticatie. SPF, DKIM en DMARC zijn drie kleine DNS-records die ontvangende mailservers, zoals die van Gmail en Outlook, bewijzen dat een mail echt van jouw domein komt en niet van iemand die zich voordoet als jou. Staan ze niet of fout, dan worden je mails gewantrouwd. In dit artikel leggen we uit wat elk record doet, waarom ze cruciaal zijn voor je leadflow, en hoe je ze opzet zonder dat je een mailexpert hoeft te zijn.

Waarom belanden mijn zakelijke mails en lead-notificaties in spam?

De korte versie: omdat de ontvangende server niet kan controleren dat de mail echt van jou komt. Mailservers vertrouwen tegenwoordig standaard niets. Elke binnenkomende mail wordt afgewogen op talloze signalen, en authenticatie is daarvan een van de zwaarste. Een mail van een domein zonder SPF, DKIM en DMARC ziet er voor een ontvanger uit als een brief zonder afzender en zonder stempel: misschien echt, misschien niet, dus voor de zekerheid de spamfolder in.

Het pijnlijke is dat dit vaak ongemerkt gebeurt bij de mails die het meest opleveren: de notificaties die je website verstuurt. Mailbezorging hoort dan ook bij de technische basis van een B2B-website die leads oplevert, naast snelheid, structuur en vindbaarheid. Concreet gaat het om de melding die binnenkomt wanneer iemand een contact- of offerteformulier invult. Veel sites versturen die namens jouw eigen domein, maar via een mailserver die jouw domein nooit als geldige afzender heeft erkend. Het gevolg: een prospect vult netjes je formulier in, maar de notificatie landt in spam of komt nooit aan, en je weet niet eens dat je die lead bent misgelopen. Een formulier dat technisch perfect werkt maar waarvan de melding nooit aankomt, is alsnog een lek in je formulieroptimalisatie.

Wat doet een SPF-record precies?

SPF (Sender Policy Framework) is een DNS-record dat opsomt welke servers namens jouw domein mail mogen versturen. Het is in feite een gastenlijst aan de deur. Wanneer een mail binnenkomt, kijkt de ontvangende server welke server hem verstuurde en controleert of die op jouw SPF-lijst staat. Staat hij erop, dan slaagt de SPF-controle. Staat hij er niet op, dan is dat een sterk signaal dat de mail vervalst is.

In de praktijk is een SPF-record een TXT-record in je DNS dat eruitziet als v=spf1 include:_spf.google.com ~all. Elke partij die namens jou mailt, je mailprovider, je nieuwsbriefsoftware, het systeem achter je websiteformulieren, moet erin opgenomen worden. Dat is meteen de meest gemaakte fout: bedrijven zetten hun mailprovider erin, maar vergeten de tool die hun formuliernotificaties of facturen verstuurt. Die mails falen dan stilletjes de controle.

Belangrijk om te weten: SPF kijkt naar het technische afzenderadres, niet naar wat de ontvanger ziet staan. Daarom volstaat SPF op zichzelf niet, en daarom bestaan DKIM en DMARC.

Wat doet DKIM en waarom heb je het naast SPF nodig?

DKIM (DomainKeys Identified Mail) zet een digitale handtekening op elke mail die je verstuurt, zodat de ontvanger kan controleren dat de inhoud onderweg niet gewijzigd is en echt van jouw domein komt. Waar SPF de afzendende server checkt, bewijst DKIM de echtheid van de mail zelf.

Het werkt met een sleutelpaar. Je mailserver ondertekent uitgaande mails met een geheime sleutel. De bijbehorende publieke sleutel publiceer je als DNS-record. De ontvanger haalt die publieke sleutel op, controleert de handtekening, en weet zo of de mail authentiek en onveranderd is. Je hoeft de cryptografie niet te begrijpen om het te gebruiken: in de meeste mailplatforms genereer je de sleutel met een paar klikken en plak je de aangeleverde waarde in je DNS.

SPF en DKIM samen dekken twee verschillende risico’s af, en daarom wil je ze allebei. Een mail die door een mailinglijst of doorstuurservice gaat, kan SPF breken maar DKIM behouden, of omgekeerd. Met beide records ingesteld blijft er bijna altijd minstens één geldig bewijs over dat de mail echt van jou is.

Wat doet DMARC en wat betekent p=none, quarantine of reject?

DMARC (Domain-based Message Authentication, Reporting and Conformance) is het sluitstuk: het vertelt ontvangende servers wat ze moeten doen wanneer SPF of DKIM faalt, en het stuurt jou rapporten over wie er namens jouw domein mailt. Zonder DMARC zijn SPF en DKIM losse controles zonder duidelijke instructie wat er bij twijfel moet gebeuren.

Een DMARC-record publiceer je als TXT-record op _dmarc.jouwdomein.be. Het belangrijkste onderdeel is je beleid, het p=-deel, dat drie standen kent:

  • p=none: monitoren. Er gebeurt niets met falende mail, maar je ontvangt wel rapporten. Dit is de veilige startstand om te zien wat er allemaal namens je domein verstuurd wordt.
  • p=quarantine: falende mail gaat naar de spamfolder.
  • p=reject: falende mail wordt volledig geweigerd. Dit is de strengste stand en het beste tegen misbruik van je domeinnaam, maar je zet hem pas aan als je zeker weet dat al je legitieme verzenders correct geauthenticeerd zijn.

DMARC voegt ook het begrip alignment toe: het domein dat de ontvanger ziet in het Van-adres moet overeenkomen met het domein dat door SPF of DKIM gedekt wordt. Dat is precies wat misbruikers niet kunnen vervalsen, en het is de reden dat DMARC bescherming biedt die SPF en DKIM alleen niet geven.

De aanbevolen aanpak is gefaseerd: begin op p=none, lees enkele weken de rapporten, repareer elke verzender die nog faalt, en schuif daarna pas op naar quarantine en uiteindelijk reject. Te snel naar reject springen kan legitieme mail blokkeren.

Is dit verplicht of nice-to-have?

Voor wie veel mail verstuurt, is het inmiddels een harde voorwaarde. Sinds begin 2024 eisen Gmail en Yahoo van afzenders die grote volumes naar hun gebruikers sturen, in de orde van duizenden mails per dag, dat SPF en DKIM correct staan, dat er een DMARC-record aanwezig is met minstens p=none, en dat er een werkende uitschrijflink in marketingmails zit. Gmail is die regels in de loop van 2025 strenger gaan handhaven, waarbij niet-conforme mail vaker geweigerd wordt in plaats van enkel als spam gemarkeerd.

Verstuur je geen grote nieuwsbrieven, dan val je strikt genomen niet onder die drempel. Maar de onderliggende logica geldt voor iedereen: dezelfde spamfilters die bulkverzenders beoordelen, beoordelen ook jouw offertemail en jouw formuliernotificatie. Goede authenticatie is dus geen aparte regel voor grote spelers, maar de basishygiëne die bepaalt of je dagelijkse zakelijke mail überhaupt aankomt. Voor een B2B-bedrijf dat het van leads via de website moet hebben, is dat geen detail.

Hoe stel je SPF, DKIM en DMARC in?

In grote lijnen doorloop je vier stappen, allemaal in het DNS-beheer van je domein:

  1. Inventariseer je verzenders. Maak een lijst van alles wat namens jouw domein mailt: je mailprovider, je nieuwsbrieftool, je facturatiesoftware en het systeem achter je contactformulieren. Dit is de stap die de meeste mensen overslaan en die de meeste problemen veroorzaakt.
  2. Zet SPF op. Eén TXT-record dat al die verzenders via include-regels opsomt. Let op: je mag maar één SPF-record per domein hebben, dus alles wordt in dat ene record gecombineerd.
  3. Zet DKIM op. Activeer DKIM in elk mailplatform dat je gebruikt en publiceer de bijbehorende publieke sleutels als DNS-records. Elk platform levert die waarde kant-en-klaar aan.
  4. Zet DMARC op. Publiceer een DMARC-record op _dmarc.jouwdomein.be, start op p=none met een rapportadres, en bouw het beleid stap voor stap op.

Daarna controleer je het resultaat. Stuur een testmail naar een Gmail-adres en bekijk de berichtdetails, of gebruik een gratis online checktool om te zien of alle drie de controles slagen. Wijzigingen in DNS kunnen tot enkele uren duren voor ze overal zichtbaar zijn, dus verwacht niet dat alles meteen groen staat.

De korte samenvatting

SPF, DKIM en DMARC zijn samen het bewijs dat een mail echt van jouw domein komt. SPF checkt de afzendende server, DKIM ondertekent de mail zelf, en DMARC bepaalt wat er bij twijfel gebeurt en rapporteert wie namens jou mailt. Zonder dat trio worden je zakelijke mails gewantrouwd en lekken vooral je formulier- en lead-notificaties weg in spam, precies de mails die het meest opleveren. Begin met je verzenders in kaart te brengen, zet de drie records op, en bouw je DMARC-beleid rustig op van monitoren naar afdwingen.

Wij bekijken mailbezorging niet als losse IT-klus, maar als onderdeel van een website die betrouwbaar leads binnenhaalt: een formulier is pas af als de melding ook echt in je inbox landt. Wil je zeker weten dat geen enkele lead verloren gaat tussen je site en je mailbox? Plan je gratis intake.

Gratis website-scan

Geef je website in en krijg binnen enkele minuten een automatische scan met concrete technische en SEO-verbeterpunten. Geen verkooppraatje.

Waar mogen we je rapport naartoe sturen?

Je gegevens gebruiken we alleen voor je scan. Geen spam, uitschrijven kan altijd.

Gerelateerde dienst Webdesign & development →

Deel je website voor een gratis zichtbaarheidsaudit