SPF, DKIM en DMARC instellen

Om de kans zo klein mogelijk te maken dat verzonden e-mails bij de ontvanger wordt geweigerd of in de spambox wordt bezorgd, zijn er een aantal instellingen die u correct dient te configureren.

De instellingen die in deze handleiding worden doorgenomen zijn SPF, DKIM en DMARC. Dit zijn allemaal DNS TXT records.

De correcte e-mailinstellingen zijn van behoorlijk wat factoren afhankelijk, deze handleiding stelt de instellingen juist in voor de situatie waar er gebruik wordt gemaakt van bij het webhosting pakket behorende e-mail! Indien jouw situatie anders is, controleer dan goed de juistheid van alle instellingen, deze zijn essentieel om te voorkomen dat uw e-mail bij de ontvanger in de spambox eindigt!

Wat is een TXT-record?

Een TXT-record is een generiek DNS-tekstrecord dat u kunt gebruiken om uiteenlopende tekstinformatie aan uw domein te koppelen. Veelvoorkomende toepassingen zijn onder andere:

Validatie van domeineigendom (bijvoorbeeld voor Microsoft 365 of Google Search Console)
Beveiligings- en beleidsrecords zoals SPF, DKIM en DMARC
Verificatie-records voor externe platforms of diensten (bijvoorbeeld CDN’s of e-mailleveranciers)

Voorbeeld

Ons systeem plaatst zelf dubbele aanhalingstekens rond de TXT-waarde. Mocht uw leverancier u een TXT-record toesturen waar aanhalingstekens omheen staan, voer de tekst zonder aanhalingstekens in, anders verschijnen er twee keer aanhalingstekens in het uiteindelijke record.

Correct invoeren (zonder handmatige quotes):

CODE

v=spf1 a mx include:spf.protection.outlook.com -all

Niet correct (met extra quotes):

CODE

"v=spf1 a mx include:spf.protection.outlook.com -all"

DKIM

Wat is DKIM?

DKIM (DomainKeys Identified Mail) is een e-mailverificatiemechanisme dat ervoor zorgt dat verzonden berichten niet onderweg zijn aangepast. Hierbij wordt er een cryptografische handtekening (private key) in de e-mailheader meegezonden, waarna ontvangende servers (met de corresponderende public key in de DNS zone) kunnen controleren of het bericht authentiek is.

Hoewel de techniek erachter complex is, is het instellen ervan met cPanel gelukkig heel eenvoudig.

DKIM instellen

Inloggen op cPanel

Log in op het hostingpakket om de juiste instellingen door te voeren. U kunt op twee manieren inloggen op cPanel:

Via het klantenportaal op https://portal.omninetworks.nl. Zoek het juiste hostingpakket en klik op Inloggen op hosting.
Of rechtstreeks via https://webserver.infra.omninetworks.nl:2083. Log in met de gebruikersnaam en het wachtwoord van uw hostingpakket.

E-mail deliverability paneel openen

Zodra u bent ingelogd, ziet u het cPanel-dashboard.
Typ bovenin in de zoekbalk: Email Deliverability.
Klik op het icoon of de naam Email Deliverability om het overzicht te openen.
Achter de betreffende domeinnaam, klik op Beheren (Manage).

E-mail bezorgbaarheidsinstellingen van het domein openen

U ziet een lijst met domeinen die aan uw hostingpakket zijn gekoppeld.
Klik bij het juiste domein op Beheren (Manage).
U komt nu in het overzicht van alle e-mail bezorgbaarheidsinstellingen van dat domein.
Indien onder DKIM de volgende tekst verschijnt:
CODE
```
DKIM Problems Exist
A "DKIM" record does not exist for this domain.

To properly configure your DKIM key, the record must use this server’s DKIM key.

Suggested “DKIM” (TXT) Record TXT
```
Dan kan dit worden opgelost door daaronder op de knop Install suggested record te klikken, de benodigde stappen worden dan automatisch door cPanel uitgevoerd.

SPF

cPanel bevat de mogelijkheid om automatisch een SPF-record te genereren, maar wij raden sterk af deze optie te gebruiken omdat deze niet met alle scenario’s rekening houdt. Lees in plaats daarvan de onderstaande handleiding goed door.

Wat is SPF?

Een SPF-record (Sender Policy Framework) is een bijzonder TXT-record dat aangeeft welke mailservers namens jouw domein e-mail mogen versturen. Hiermee voorkomt u dat kwaadwillenden e-mails vervalsen met jouw domeinnaam (spoofing) en verbetert de bezorgbaarheid van uw e-mail.

Opbouw van een SPF-record

Een SPF-record begint altijd met v=spf1 (de versienaam) en bevat vervolgens een of meer mechanismen en qualifiers, gevolgd door een afsluitende qualifier (~all, -all of +all). Hieronder vindt u een overzicht van de meest voorkomende onderdelen:

Onderdeel	Mogelijke waarde(n)	Betekenis
`v=spf1`	Verplicht	Geeft de versie van het SPF-protocol aan. Dit moet altijd v=spf1 zijn.
`a`	(optioneel: `a:<hostnaam>`)	Sta e-mail toe vanaf de A-records van het domein of opgegeven host. Als uw website e-mail verzendt (zoals bijvoorbeeld een contactformulier op een Wordpress website), dan moet dit fragment worden opgenomen zonder hostname in het SPF record.
`mx`	(optioneel: `mx:<hostnaam>`)	Sta e-mail toe vanaf de mailservers gedefinieerd in MX-records. Als er gebruik wordt gemaakt van bij de webhosting behorende e-mail, dan moet dit fragment worden opgenomen in het SPF record.
`include`	(optioneel: `include:<domein>`)	Neem de SPF-regels van het opgegeven domein over. Software van leveranciers die e-mail verstuurd namens jouw domeinnaam zal in vrijwel alle gevallen vragen om een aanvulling van het SPF record met hun instellingen. Onder deze tabel staat een voorbeeld waarvoor dit het geval is.
`ip4`	(optioneel: `ip4:<IPv4-adres>/<bitmask>`)	Sta e-mail toe vanaf dit IPv4-adres of netwerk. Gebruik deze optie om een specifiek IP-adres of specifieke IP-adres toe te staan om e-mail te verzenden namens jouw domein.
`ip6`	(optioneel: `ip6:<IPv6-adres>/<bitmask>`)	Sta e-mail toe vanaf dit IPv6-adres of netwerk. Gebruik deze optie om een specifiek IP-adres of specifieke IP-adres toe te staan om e-mail te verzenden namens jouw domein.
`ptr`	(optioneel: `ptr:<domein>`)	Controleer of de PTR-record wijst naar het opgegeven domein. Het gebruik van dit record type komt zeer zelden voor.
`all`	Verplicht: `-all`, `~all` of `+all`	Sluit het record af: `-all` (hard fail), `~all` (soft fail), `+all` (permit all). Het wordt aangeraden om `-all` te gebruiken, dit is de meest strikte instelling. Alle e-mail die nu niet aan het SPF-record voldoet zal altijd in de spambox belanden, waarmee de kans op misbruik van uw domeinnaam het kleinst is.

Wilt u een SPF record toevoegen (voor e-mailverificatie), maar ziet u dat er al één bestaat voor het domein? Voeg dan niet zomaar een tweede SPF-record toe, want dan werkt SPF niet meer correct.

In plaats daarvan dient u het bestaande SPF-record aanvullen met de nieuwe waarde. Plak de extra waarde ertussenin, met een spatie ertussen.

Voorbeeld

Stel, het huidige record is:

v=spf1 a mx include:spf.protection.outlook.com -all

En u wilt e-mail toestaan van een leverancier (in dit voorbeeld Mailchimp) die vraagt om het SPF record te wijzigen zodat dit include:servers.mcsv.net bevat. Wijzig in dat geval het record naar:

v=spf1 a mx include:spf.protection.outlook.com include:servers.mcsv.net -all

Stel dat nu een volgende leverancier vraagt om de hostname a:example.com toe te voegen. Wijzig in dat geval het record naar:

v=spf1 a a:example.com mx include:spf.protection.outlook.com include:servers.mcsv.net -all

Het SPF-record aanmaken

Inloggen op cPanel

Log in op het hostingpakket om de juiste instellingen door te voeren. U kunt op twee manieren inloggen op cPanel:

Via het klantenportaal op https://portal.omninetworks.nl. Zoek het juiste hostingpakket en klik op Inloggen op hosting.
Of rechtstreeks via https://webserver.infra.omninetworks.nl:2083. Log in met de gebruikersnaam en het wachtwoord van uw hostingpakket.

Zone Editor openen

Zodra u bent ingelogd, ziet u het cPanel-dashboard.
Typ bovenin in de zoekbalk: Zone Editor.
Klik op het icoon of de naam Zone Editor om het overzicht te openen.

DNS-beheer van het domein openen

U ziet een lijst met domeinen die aan uw hostingpakket zijn gekoppeld.
Klik bij het juiste domein op Beheren (Manage).
U komt nu in het overzicht van alle DNS-records van dat domein.

Nieuw DNS-record toevoegen

Klik rechtsboven op het uitklappijltje naast + Record toevoegen en kies Add “TXT” Record.
In het record dat in het overzicht is toegevoegd:
1. Vul bij Naam het domein is waarvoor u het record wil instellen.
2. Vul bij TTL de gewenste TTL in, doorgaans kan de standaardwaarde overgenomen worden.
3. Laat het Type op TXT staan
4. Vul bij de waarde van het record het opgestelde SPF-record in, in het voorgaande voorwaarde zou dat dus zijn: v=spf1 a a:example.com mx include:spf.protection.outlook.com include:servers.mcsv.net -all.

Opruimen van het SPF-record

Wanneer u geen gebruik meer maakt van de diensten van een leverancier, dan is het raadzaam het SPF-record op te ruimen en de gerelateerde records weer uit het SPF-record te verwijderen. Hiermee is de lijst van partijen die namens jouw domeinnaam mogen e-mailen up to date en is de kans op misbruik van uw domeinnaam dus ook het kleinst.

DMARC

Wat is DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) bouwt voort op SPF en DKIM en geeft domeineigenaren controle over wat er met onbevestigde e-mail gebeurt. Met een DMARC-policy kunt u aangeven of berichten die niet slagen voor SPF- of DKIM-checks in quarantaine moeten, geweigerd moeten worden of alleen gemonitord worden. Daarnaast kunt u rapportages (rua/ruf) instellen om inzicht te krijgen in wie namens jouw domein e-mails verstuurt.

DMARC is alleen effectief als SPF en DKIM beiden al correct zijn ingesteld.

Opbouw van een DMARC-record

DMARC kent veel opties en kan snel per ongeluk verkeerd worden ingesteld.
Het is raadzaam om te beginnen met een beleid dat niet al te strikt is, het door cPanel automatisch voorgestelde record is hiervoor geschikt.

Een DMARC-record begint altijd met v=dmarc1 (de versienaam) en bevat vervolgens een of meer mechanismen en qualifiers. Hieronder vindt u een overzicht van de meest voorkomende onderdelen:

Onderdeel	cPanel-label	Mogelijke waarde(n)	Betekenis
v	Versie	v=DMARC1	Versie van het DMARC-protocol
p	Policy	none, quarantine of reject	Hoofdbeleid: None = alleen monitoren; Quarantine = in quarantaine; Reject = direct weigeren
sp	Subdomain Policy	none, quarantine of reject	Beleid voor subdomeinen (optioneel)
pct	Percentage	0–100 (standaard 100)	Percentage van berichten waarop de policy wordt toegepast
rua	Aggregate Reports (rua)	mailto:postmaster@jouwdomein.nl (optioneel, meerdere adressen kunnen worden toegevoegd kommagescheiden)	Adres(sen) voor geaggregeerde rapporten
ruf	Failure Reports (ruf)	mailto:postmaster@jouwdomein.nl (optioneel, meerdere adressen kunnen worden toegevoegd kommagescheiden)	Adres(sen) voor forensic-rapporten
aspf	SPF Alignment	r (relaxed), s (strict)	SPF-identiteitsalignatie
adkim	DKIM Alignment	r (relaxed), s (strict)	DKIM-identiteitsalignatie
fo	Failure Options	0 (alle checks moeten falen) 1 (één check faalt)	Wanneer wordt er een failure-report gegenereerd
rf	Report Format	afrf	Rapportformaat: AFRF (Authenticated Failure Reporting Format)
ri	Report Interval	Aantal seconden (standaard 86400)	Interval tussen rapporten

Relaxed vs. Strict

Alignment	Letter in cPanel	Gedrag
Relaxed	`r`	Accepteert als het domein van de “From:”-header exact overeenkomt met het domein of een subdomein is van het domein dat in de SPF- of DKIM-handtekening staat.
Strict	`s`	Accepteert als het domein van de “From:”-header exact overeenkomt met het domein dat in de SPF- of DKIM-handtekening staat.

Voorbeeld SPF-alignment

Relaxed (aspf=r)
- “From:” is mail.jouwdomein.nl, SPF-record staat op jouwdomein.nl → pass
Strict (aspf=s)
- “From:” is mail.jouwdomein.nl, SPF-record staat op jouwdomein.nl → fail (niet exact gelijk)

Voorbeeld DKIM-alignment

Relaxed (adkim=r)
- DKIM-selector handtekening van selector1._domainkey.jouwdomein.nl, “From:” is sub.jouwdomein.nl → pass
Strict (adkim=s)
- Zelfde als hierboven → fail (alleen exact jouwdomein.nl is toegestaan)

Het DMARC-record aanmaken

Inloggen op cPanel

Log in op het hostingpakket om de juiste instellingen door te voeren. U kunt op twee manieren inloggen op cPanel:

Via het klantenportaal op https://portal.omninetworks.nl. Zoek het juiste hostingpakket en klik op Inloggen op hosting.
Of rechtstreeks via https://webserver.infra.omninetworks.nl:2083. Log in met de gebruikersnaam en het wachtwoord van uw hostingpakket.

Zone Editor openen

Zodra u bent ingelogd, ziet u het cPanel-dashboard.
Typ bovenin in de zoekbalk: Zone Editor.
Klik op het icoon of de naam Zone Editor om het overzicht te openen.

DNS-beheer van het domein openen

U ziet een lijst met domeinen die aan uw hostingpakket zijn gekoppeld.
Klik bij het juiste domein op Beheren (Manage).
U komt nu in het overzicht van alle DNS-records van dat domein.

Nieuw DNS-record toevoegen

Klik rechtsboven op het uitklappijltje naast + Record toevoegen en kies Add “DMARC” Record.
U kunt de standaardwaarden accepteren, u heeft in dat geval een geldig DMARC record waarin DMARC-beleid niet wordt afgedwongen maar alleen wordt gemonitored.
Indien u aanpassingen wil maken aan het DMARC record, gebruik dan de eerdergenoemde tabel onder Opbouw van een DMARC-record.
Klik op Record toevoegen om het op te slaan. cPanel zal automatisch een correct TXT-record genereren.