SPF, DKIM en DMARC correct instellen voor Google Workspace

Complete handleiding voor SPF, DKIM en DMARC in Google Workspace. DNS-records toevoegen, DMARC-rapporten lezen en e-mail deliverability verbeteren.

Total Workspace 23 February 2026 4 min leestijd
SPF DKIM DMARC E-mail Authenticatie Deliverability Google Workspace DNS Postmaster

Slecht ingestelde email-authenticatie is in 2026 de nummer één oorzaak van mail-deliverability-problemen voor Nederlandse MKB-organisaties. Klanten klagen dat facturen in hun spam belanden, nieuwsbrieven hebben lage open-rates, en transactie-mails komen soms helemaal niet aan. De oplossing ligt bijna altijd in SPF, DKIM en DMARC: de drie DNS-records die mail-ontvangers vertellen dat jouw mail legitiem is. Dit artikel beschrijft hoe je het in 2026 correct inricht voor Google Workspace, inclusief de nieuwste eisen van Gmail en Postmaster Tools.

De drie records in het kort

Record Wat het doet Gevolg als niet correct
SPF Lijst toegestane IP-adressen die namens jouw domein mogen mailen Mail-spoofing mogelijk, spam-score omhoog
DKIM Digitale handtekening die bewijst dat de mail niet is gewijzigd Lagere trust bij ontvangers
DMARC Beleid voor wat te doen bij SPF/DKIM-falen, en rapportage Geen grip op misbruik van jouw domein

Samen vormen ze de standaard die Gmail, Outlook en andere providers sinds februari 2024 verplicht eisen voor bulk-senders (5.000+ mails per dag naar Gmail), en sterk aanbevelen voor iedereen.

Stap 1: SPF record aanmaken

Ga naar je DNS-provider (TransIP, Mijndomein, Cloudflare, etc.) en voeg een TXT-record toe op het root-domein:

Type: TXT
Naam: @ (of bedrijf.nl)
Waarde: v=spf1 include:_spf.google.com ~all

Uitleg componenten:

  • v=spf1 - SPF versie 1
  • include:_spf.google.com - Google Workspace mag mailen voor jouw domein
  • ~all - mail van andere bronnen is verdacht maar niet geblokkeerd (soft fail)

Bij extra tools die mail versturen namens jouw domein (Mailchimp, Intercom, ActiveCampaign, SendGrid), voeg je extra includes toe:

v=spf1 include:_spf.google.com include:sendgrid.net include:servers.mcsv.net ~all

Let op: SPF heeft een limiet van 10 DNS-lookups totaal. Bij meer dan 5-6 includes riskeer je een PermError. Gebruik tools als MXToolbox SPF-checker om te valideren.

Stap 2: DKIM inschakelen

DKIM wordt binnen Workspace zelf gegenereerd en vereist ook een DNS-record.

In Workspace Admin Console:

Admin Console > Apps > Google Workspace > Gmail > Authenticeer e-mail
Klik: Genereer nieuwe record
Key bit length: 2048 (aanbevolen)
Selector: google (standaard)

Workspace genereert een lange public key. Kopieer die.

In je DNS:

Type: TXT
Naam: google._domainkey (of google._domainkey.bedrijf.nl)
Waarde: v=DKIM1; k=rsa; p=<lange_public_key>

Terug in Workspace:

Admin Console > Apps > Google Workspace > Gmail > Authenticeer e-mail
Klik: Start authentication

DKIM is actief na DNS-propagatie (meestal binnen 24 uur).

Stap 3: DMARC-record aanmaken

Begin met een zachte policy om te leren voordat je hard afdwingt:

Type: TXT
Naam: _dmarc (of _dmarc.bedrijf.nl)
Waarde: v=DMARC1; p=none; rua=mailto:dmarc@bedrijf.nl; ruf=mailto:dmarc@bedrijf.nl; fo=1; pct=100

Uitleg tags:

  • v=DMARC1 - DMARC versie 1
  • p=none - alleen monitoren, niets afdwingen (voor nu)
  • rua= - aggregate rapporten (dagelijkse XML-summary van mail-flow)
  • ruf= - forensic rapporten (directe melding bij mislukkingen, niet alle providers ondersteunen dit)
  • pct=100 - 100% van mail valt onder de policy
  • fo=1 - rapporteer als SPF OR DKIM faalt (standaard is fo=0, alleen als beide falen)

Stap 4: DMARC-rapporten monitoren

Je krijgt nu dagelijks XML-rapporten op dmarc@bedrijf.nl. Leesbaar zijn ze niet; gebruik een DMARC-analyzer:

  • Valimail Monitor (gratis tier beschikbaar)
  • DMARCian (MKB)
  • EasyDMARC (MKB tot enterprise)
  • Mailinblack / OnDMARC (enterprise)

Deze tools aggregeren de rapporten en tonen:

  • Welke services sturen mail namens jouw domein
  • Welke passen SPF/DKIM/DMARC alignment
  • Welke IP's zijn onbekend (spoofing of vergeten tools)

Loop de lijst door en voeg legitieme tools toe aan SPF. Blokkeer onbekende via passende maatregelen.

Stap 5: Upgrade DMARC-policy naar enforcing

Na 4-8 weken monitoring en als alle legitieme bronnen correct authenticeren:

v=DMARC1; p=quarantine; rua=mailto:dmarc@bedrijf.nl; pct=10

p=quarantine = mail die faalt komt in spam pct=10 = voorlopig geldt dit slechts voor 10% van de mail

Verhoog pct gefaseerd: 10 > 25 > 50 > 100.

Na volledige 100% quarantine en geen problemen, upgrade naar de strengste mode:

v=DMARC1; p=reject; rua=mailto:dmarc@bedrijf.nl; pct=100

p=reject = mail die faalt wordt geweigerd. Dit is Google's aanbeveling voor BIMI en voor maximaal beschermen tegen spoofing.

Postmaster Tools instellen

Voor inzicht in hoe Gmail jouw mail behandelt:

Ga naar: postmaster.google.com
Klik: Add a domain
Voer in: bedrijf.nl
Verifieer: via TXT-record

Postmaster Tools toont:

  • Spam-rate (houd onder 0,30% volgens Google)
  • Authentication-rate (% mail met geldige SPF/DKIM/DMARC)
  • Feedback-loop (klachten van Gmail-gebruikers)
  • Reputation (low / medium / high / bad)

Een lage reputation is een vroege waarschuwing voor deliverability-problemen.

BIMI: logo in Gmail-inbox

Als DMARC op p=reject staat en Gmail reputation is hoog, kun je BIMI activeren om je bedrijfslogo naast je mails in Gmail te tonen.

BIMI-vereisten:

  • DMARC policy p=reject of p=quarantine met pct=100
  • Een VMC (Verified Mark Certificate) aangeschaft (circa EUR 1.000-1.500 per jaar)
  • Je logo als SVG Tiny Portable Secure in DNS

DNS-record:

Naam: default._bimi
Waarde: v=BIMI1; l=https://bedrijf.nl/logo.svg; a=https://bedrijf.nl/vmc.pem

BIMI is vooral waardevol voor B2C-merkherkenning en vertrouwensopbouw.

Veelvoorkomende fouten

Fout 1: Meerdere SPF-records

Eén domein mag maar één SPF-record hebben. Twee records = beiden ongeldig. Combineer alles in één.

Fout 2: SPF te breed (+all of ?all)

+all staat alles toe. ?all is neutraal. Beide maken SPF effectief nutteloos. Gebruik altijd ~all (soft fail) of -all (hard fail).

Fout 3: DKIM selector verkeerd

Workspace gebruikt standaard google._domainkey. Als je default._domainkey maakt, werkt het niet.

Fout 4: DMARC domain alignment falen

Jouw From-adres moet hetzelfde (of sub-)domein hebben als het SPF- of DKIM-record. Mailt Mailchimp van bedrijf.nl maar is hun Return-Path bounce.mailchimp.com? SPF alignment faalt. Oplossing: stel custom domain in bij Mailchimp.

Fout 5: Geen monitoring

DMARC zonder rapporten is blind. Zonder analyzer mis je spoofing-pogingen en configuratie-problemen.

Vrijblijvend advies

Vragen over dit onderwerp? Wij helpen u graag als gecertificeerde Google Workspace Partner.

  • Reactie binnen 1 werkdag
  • Gecertificeerde Google Partner
  • Geen verplichtingen
Contact opnemen

Veelgestelde vragen

Hoe lang duurt DNS-propagatie?
Meestal 4-24 uur, soms tot 48 uur. Controleer via [mxtoolbox.com](https://mxtoolbox.com) of de records wereldwijd zichtbaar zijn.
Moet ik DMARC hebben als mijn bedrijf klein is?
Ja. Sinds februari 2024 vereist Gmail DMARC voor bulk-senders (5.000+ per dag), maar elk bedrijf profiteert van bescherming tegen spoofing. De gratis `p=none` policy is een no-regret start.
Werkt mijn externe tool (Mailchimp, SendGrid) nog na DMARC?
Ja, mits je die tool correct in SPF en custom-domain DKIM hebt geconfigureerd. Zonder correcte config faalt DMARC voor mails van die tool.
Wat is het verschil tussen `p=quarantine` en `p=reject`?
Quarantine: mail komt in spam van ontvanger. Reject: mail wordt volledig geweigerd en bereikt ontvanger niet. Reject is sterker tegen spoofing; quarantine geeft ontvanger nog een kans bij twijfel.
Ik zie IP-adressen uit Oost-Europa in DMARC-rapporten, wat nu?
Waarschijnlijk spoofing of een vergeten tool. Check of een legitieme service in die regio hostte. Zo niet: dit is een van de redenen waarom DMARC bestaat. Upgrade naar `p=reject` om de spoofer te stoppen.
Is BIMI de moeite waard voor MKB?
Voor B2C-merken met merkherkenning als doel: ja. Voor zakelijke B2B: vaak niet de investering waard. Begin zonder BIMI; activeer pas als het strategisch past.
Kan Gemini/Workspace Intelligence helpen met DMARC-analyse?
Geïndexeerde DMARC-rapporten kun je door Gemini laten samenvatten in Sheets. Voor actieve monitoring raden we een specialist-tool aan (Valimail, EasyDMARC).
Hoe test ik mijn email-authenticatie?
Stuur een test-mail naar check-auth@verifier.port25.com of gebruik mail-tester.com. Je krijgt een score en detail per authenticatie-mechanisme.

Staat uw vraag er niet bij?

Stuur ons een bericht. Wij kijken met u mee en reageren met eerlijk advies.

  • Reactie binnen 1 werkdag
  • Geen verplichtingen
Stuur een bericht

Meer artikelen over dit onderwerp

19 December 2025

Google Workspace Account Beveiligen Na een Hack of Datalek

Stap-voor-stap handleiding voor Google Workspace beheerders: wat te doen bij een gehackt account, van onmiddellijke maatregelen...
14 December 2025

Google Workspace Facturen Ontvangen en Beheren

Alles over Google Workspace facturen: waar vind je ze, hoe stel je het BTW-nummer in, hoe voeg je extra ontvangers toe en wat d...
03 December 2025

Top 10 Meest Gestelde Vragen van Google Workspace Beheerders

De 10 meest voorkomende Google Workspace admin vragen met directe oplossingen. Van toegang kwijt en factuurproblemen tot spam, ...

Vraag over dit onderwerp?

Stuur ons een bericht. Wij reageren binnen 1 werkdag met eerlijk advies.