SPF, DKIM en DMARC correct instellen voor Google Workspace

Complete handleiding voor SPF, DKIM en DMARC in Google Workspace. DNS-records toevoegen, DMARC-rapporten lezen en e-mail deliverability verbeteren.

Total Workspace 23 February 2026 4 min leestijd

SPF DKIM DMARC E-mail Authenticatie Deliverability Google Workspace DNS Postmaster

Slecht ingestelde email-authenticatie is in 2026 de nummer één oorzaak van mail-deliverability-problemen voor Nederlandse MKB-organisaties. Klanten klagen dat facturen in hun spam belanden, nieuwsbrieven hebben lage open-rates, en transactie-mails komen soms helemaal niet aan. De oplossing ligt bijna altijd in SPF, DKIM en DMARC: de drie DNS-records die mail-ontvangers vertellen dat jouw mail legitiem is. Dit artikel beschrijft hoe je het in 2026 correct inricht voor Google Workspace, inclusief de nieuwste eisen van Gmail en Postmaster Tools.

De drie records in het kort

Record	Wat het doet	Gevolg als niet correct
SPF	Lijst toegestane IP-adressen die namens jouw domein mogen mailen	Mail-spoofing mogelijk, spam-score omhoog
DKIM	Digitale handtekening die bewijst dat de mail niet is gewijzigd	Lagere trust bij ontvangers
DMARC	Beleid voor wat te doen bij SPF/DKIM-falen, en rapportage	Geen grip op misbruik van jouw domein

Samen vormen ze de standaard die Gmail, Outlook en andere providers sinds februari 2024 verplicht eisen voor bulk-senders (5.000+ mails per dag naar Gmail), en sterk aanbevelen voor iedereen.

Stap 1: SPF record aanmaken

Ga naar je DNS-provider (TransIP, Mijndomein, Cloudflare, etc.) en voeg een TXT-record toe op het root-domein:

Type: TXT
Naam: @ (of bedrijf.nl)
Waarde: v=spf1 include:_spf.google.com ~all

Uitleg componenten:

v=spf1 - SPF versie 1
include:_spf.google.com - Google Workspace mag mailen voor jouw domein
~all - mail van andere bronnen is verdacht maar niet geblokkeerd (soft fail)

Bij extra tools die mail versturen namens jouw domein (Mailchimp, Intercom, ActiveCampaign, SendGrid), voeg je extra includes toe:

v=spf1 include:_spf.google.com include:sendgrid.net include:servers.mcsv.net ~all

Let op: SPF heeft een limiet van 10 DNS-lookups totaal. Bij meer dan 5-6 includes riskeer je een PermError. Gebruik tools als MXToolbox SPF-checker om te valideren.

Stap 2: DKIM inschakelen

DKIM wordt binnen Workspace zelf gegenereerd en vereist ook een DNS-record.

In Workspace Admin Console:

Admin Console > Apps > Google Workspace > Gmail > Authenticeer e-mail
Klik: Genereer nieuwe record
Key bit length: 2048 (aanbevolen)
Selector: google (standaard)

Workspace genereert een lange public key. Kopieer die.

In je DNS:

Type: TXT
Naam: google._domainkey (of google._domainkey.bedrijf.nl)
Waarde: v=DKIM1; k=rsa; p=<lange_public_key>

Terug in Workspace:

Admin Console > Apps > Google Workspace > Gmail > Authenticeer e-mail
Klik: Start authentication

DKIM is actief na DNS-propagatie (meestal binnen 24 uur).

Stap 3: DMARC-record aanmaken

Begin met een zachte policy om te leren voordat je hard afdwingt:

Type: TXT
Naam: _dmarc (of _dmarc.bedrijf.nl)
Waarde: v=DMARC1; p=none; rua=mailto:dmarc@bedrijf.nl; ruf=mailto:dmarc@bedrijf.nl; fo=1; pct=100

Uitleg tags:

v=DMARC1 - DMARC versie 1
p=none - alleen monitoren, niets afdwingen (voor nu)
rua= - aggregate rapporten (dagelijkse XML-summary van mail-flow)
ruf= - forensic rapporten (directe melding bij mislukkingen, niet alle providers ondersteunen dit)
pct=100 - 100% van mail valt onder de policy
fo=1 - rapporteer als SPF OR DKIM faalt (standaard is fo=0, alleen als beide falen)

Stap 4: DMARC-rapporten monitoren

Je krijgt nu dagelijks XML-rapporten op dmarc@bedrijf.nl. Leesbaar zijn ze niet; gebruik een DMARC-analyzer:

Valimail Monitor (gratis tier beschikbaar)
DMARCian (MKB)
EasyDMARC (MKB tot enterprise)
Mailinblack / OnDMARC (enterprise)

Deze tools aggregeren de rapporten en tonen:

Welke services sturen mail namens jouw domein
Welke passen SPF/DKIM/DMARC alignment
Welke IP's zijn onbekend (spoofing of vergeten tools)

Loop de lijst door en voeg legitieme tools toe aan SPF. Blokkeer onbekende via passende maatregelen.

Stap 5: Upgrade DMARC-policy naar enforcing

Na 4-8 weken monitoring en als alle legitieme bronnen correct authenticeren:

v=DMARC1; p=quarantine; rua=mailto:dmarc@bedrijf.nl; pct=10

p=quarantine = mail die faalt komt in spam pct=10 = voorlopig geldt dit slechts voor 10% van de mail

Verhoog pct gefaseerd: 10 > 25 > 50 > 100.

Na volledige 100% quarantine en geen problemen, upgrade naar de strengste mode:

v=DMARC1; p=reject; rua=mailto:dmarc@bedrijf.nl; pct=100

p=reject = mail die faalt wordt geweigerd. Dit is Google's aanbeveling voor BIMI en voor maximaal beschermen tegen spoofing.

Postmaster Tools instellen

Voor inzicht in hoe Gmail jouw mail behandelt:

Ga naar: postmaster.google.com
Klik: Add a domain
Voer in: bedrijf.nl
Verifieer: via TXT-record

Postmaster Tools toont:

Spam-rate (houd onder 0,30% volgens Google)
Authentication-rate (% mail met geldige SPF/DKIM/DMARC)
Feedback-loop (klachten van Gmail-gebruikers)
Reputation (low / medium / high / bad)

Een lage reputation is een vroege waarschuwing voor deliverability-problemen.

BIMI: logo in Gmail-inbox

Als DMARC op p=reject staat en Gmail reputation is hoog, kun je BIMI activeren om je bedrijfslogo naast je mails in Gmail te tonen.

BIMI-vereisten:

DMARC policy p=reject of p=quarantine met pct=100
Een VMC (Verified Mark Certificate) aangeschaft (circa EUR 1.000-1.500 per jaar)
Je logo als SVG Tiny Portable Secure in DNS

DNS-record:

Naam: default._bimi
Waarde: v=BIMI1; l=https://bedrijf.nl/logo.svg; a=https://bedrijf.nl/vmc.pem

BIMI is vooral waardevol voor B2C-merkherkenning en vertrouwensopbouw.

Veelvoorkomende fouten

Fout 1: Meerdere SPF-records

Eén domein mag maar één SPF-record hebben. Twee records = beiden ongeldig. Combineer alles in één.

Fout 2: SPF te breed (+all of ?all)

+all staat alles toe. ?all is neutraal. Beide maken SPF effectief nutteloos. Gebruik altijd ~all (soft fail) of -all (hard fail).

Fout 3: DKIM selector verkeerd

Workspace gebruikt standaard google._domainkey. Als je default._domainkey maakt, werkt het niet.

Fout 4: DMARC domain alignment falen

Jouw From-adres moet hetzelfde (of sub-)domein hebben als het SPF- of DKIM-record. Mailt Mailchimp van bedrijf.nl maar is hun Return-Path bounce.mailchimp.com? SPF alignment faalt. Oplossing: stel custom domain in bij Mailchimp.

Fout 5: Geen monitoring

DMARC zonder rapporten is blind. Zonder analyzer mis je spoofing-pogingen en configuratie-problemen.

Terug naar blog Vraag advies aan

Veelgestelde vragen

Hoe lang duurt DNS-propagatie?

Meestal 4-24 uur, soms tot 48 uur. Controleer via [mxtoolbox.com](https://mxtoolbox.com) of de records wereldwijd zichtbaar zijn.

Moet ik DMARC hebben als mijn bedrijf klein is?

Ja. Sinds februari 2024 vereist Gmail DMARC voor bulk-senders (5.000+ per dag), maar elk bedrijf profiteert van bescherming tegen spoofing. De gratis `p=none` policy is een no-regret start.

Werkt mijn externe tool (Mailchimp, SendGrid) nog na DMARC?

Ja, mits je die tool correct in SPF en custom-domain DKIM hebt geconfigureerd. Zonder correcte config faalt DMARC voor mails van die tool.

Wat is het verschil tussen `p=quarantine` en `p=reject`?

Quarantine: mail komt in spam van ontvanger. Reject: mail wordt volledig geweigerd en bereikt ontvanger niet. Reject is sterker tegen spoofing; quarantine geeft ontvanger nog een kans bij twijfel.

Ik zie IP-adressen uit Oost-Europa in DMARC-rapporten, wat nu?

Waarschijnlijk spoofing of een vergeten tool. Check of een legitieme service in die regio hostte. Zo niet: dit is een van de redenen waarom DMARC bestaat. Upgrade naar `p=reject` om de spoofer te stoppen.

Is BIMI de moeite waard voor MKB?

Voor B2C-merken met merkherkenning als doel: ja. Voor zakelijke B2B: vaak niet de investering waard. Begin zonder BIMI; activeer pas als het strategisch past.

Kan Gemini/Workspace Intelligence helpen met DMARC-analyse?

Geïndexeerde DMARC-rapporten kun je door Gemini laten samenvatten in Sheets. Voor actieve monitoring raden we een specialist-tool aan (Valimail, EasyDMARC).

Hoe test ik mijn email-authenticatie?

Stuur een test-mail naar check-auth@verifier.port25.com of gebruik mail-tester.com. Je krijgt een score en detail per authenticatie-mechanisme.

Andere artikelen

19 December 2025

Vraag over dit onderwerp?

Wij reageren binnen 1 werkdag met een eerlijk en concreet antwoord.

Aanvraag

Specificatie

Uw gegevens

Waarmee kunnen wij u helpen?

Informatie & advies

Vraag over het artikel.

Offerte aanvragen

Prijsindicatie ontvangen.

Implementatie

Hulp bij toepassing.

Bestaande klant

Vraag of melding indienen.