Er is niets frustrerender dan dit: je hebt een belangrijke offerte of factuur verstuurd, en drie dagen later belt de klant: “Ik heb nooit iets ontvangen.” Na wat zoeken blijkt je mail in hun spamfolder te zitten.
De oorzaak? Vaak zijn het niet de woorden in je mail, maar de technische instellingen van je domein. Gmail en Outlook zijn strenger dan ooit. Als jij je ‘identiteitspapieren’ niet op orde hebt, kom je er niet in.
Die papieren heten SPF, DKIM en DMARC. Klinkt als abracadabra? Ik leg je in normaal Nederlands uit hoe je SPF, DKIM en DMARC moet instellen om email spam te voorkomen.
De Drie Musketiers van E-mail Security
Om te begrijpen wat je instelt in je DNS (de wegwijzers van je domein), moet je weten wat ze doen. Zie je e-mail als een briefpoststuk.
- SPF (Sender Policy Framework): De gastenlijst. Hierin staat welke servers (IP-adressen) namens jouw domein mogen mailen.
- DKIM (DomainKeys Identified Mail): Het waszegel op de envelop. Een digitale handtekening die bewijst dat er onderweg niet met de inhoud is geknoeid.
- DMARC (Domain-based Message Authentication, Reporting, and Conformance): De instructie voor de postbode. Hierin vertel je de ontvangende server wat hij moet doen als SPF of DKIM niet klopt (bijvoorbeeld: “Gooi maar in de prullenbak”).
Stap 1: SPF instellen
SPF is een TXT-record in je DNS-instellingen. Hiermee voorkom je dat Jan en Alleman namens jouwbedrijf.nl kan mailen (spoofing).
Een standaard SPF-record ziet er zo uit:
v=spf1 a mx include:spf.marketingmaatwerk.nl ~all
Wat betekent dit?
v=spf1: We gebruiken SPF versie 1.aenmx: De servers waar je website en standaard mail op draaien, mogen mailen.include:: Hiermee geef je externe partijen toestemming. Gebruik je bijvoorbeeld een nieuwsbriefprogramma of boekhoudpakket? Dan moet je die hier toevoegen.~all: Alles wat niet in dit lijstje staat, is verdacht (Soft Fail).
Stap 2: DKIM instellen
DKIM is iets technischer. Dit bestaat uit twee delen: een sleutel op jouw server en een sleutel in je DNS. Als deze twee matchen, is de mail legitiem.
Je kunt een DKIM-sleutel vaak niet zelf verzinnen; je moet hem genereren in je hostingpaneel (zoals DirectAdmin) of opvragen bij je e-mailprovider. Vervolgens plak je die lange reeks tekens als TXT-record in je DNS.
Stap 3: DMARC toevoegen
Heb je SPF en DKIM op orde? Dan is DMARC de kers op de taart. Hiermee neem je de regie in handen. Een veilig start-record is:
v=DMARC1; p=none; rua=mailto:in**@********in.nl" data-original-string="i/2V8OAXoZUCoUR1WgqRGQ==3f7S/UGFbL6kcW817Lmw4lBbYrZpj2DVOF86RdEO1Qrv34=" title="Dit contact is gecodeerd door Anti-Spam by CleanTalk. Klik om te decoderen. Om het decoderen te voltooien, moet JavaScript ingeschakeld zijn in je browser.
In het begin zet je p=none (policy is none). Je blokkeert nog niks, maar je krijgt wel rapporten (op het mailadres bij rua) over wie er namens jou mailt. Zie je dat alles klopt? Dan kun je de teugels aantrekken door p=quarantine (spamfolder) of p=reject (weigeren) in te stellen.
Hulp nodig bij DNS-instellingen?
Het aanpassen van DNS-records voelt voor velen als bommen onschadelijk maken: knip je het verkeerde draadje door, dan werkt je mail niet meer. Dat snap ik heel goed.
Hostingklanten van Marketing Maatwerk hoeven zich hier geen zorgen over te maken. Ik zorg standaard dat je SPF en DKIM perfect staan ingesteld bij oplevering. Heb je je domein ergens anders en kom je er niet uit? Stuur me even een berichtje of open een ticket, dan kijk ik met je mee.
