SPF, DKIM en DMARC checker
Voer je domein in en controleer direct of je e-mailauthenticatie correct is ingesteld. Gratis, geen registratie vereist.
Weet je je DKIM-selector niet? Kijk in je e-mailprovider of DNS-beheer. Veelgebruikte namen: default, google, mail, selector1.
Wat is een SPF-record?
SPF staat voor Sender Policy Framework. Het is een DNS-record dat aangeeft welke mailservers e-mail mogen versturen namens jouw domein. Ontvangende mailservers controleren het record en weigeren of markeren berichten van servers die er niet in staan.
Een SPF-record staat op het hoofddomein (voorbeeld.nl) als een TXT-record dat begint met v=spf1. Het bevat een lijst van geautoriseerde servers en eindigt met een all-mechanism dat aangeeft wat er met de rest moet gebeuren: -all (weigeren), ~all (markeren) of +all (iedereen toestaan, onveilig).
SPF heeft een limiet van 10 DNS-lookups. Elke include en a of mx die een DNS-opzoeking vereist telt mee. Kom je boven de 10, dan kan SPF niet correct worden gecontroleerd.
Voorbeeld SPF-record
v=spf1 include:_spf.wesender.nl include:_spf.google.com -all
Wat is DKIM?
DKIM staat voor DomainKeys Identified Mail. Het voegt een cryptografische handtekening toe aan elk uitgaand bericht. De ontvangende server verifieert de handtekening aan de hand van een publieke sleutel in je DNS.
DKIM-records staan op selector._domainkey.domein. De selector is een naam die je zelf kiest bij het aanmaken van de sleutel. Het record bevat de publieke sleutel (p=) en het sleuteltype (k=, doorgaans rsa of ed25519).
Als de p= waarde leeg is, is de sleutel ingetrokken en accepteren ontvangers de handtekening niet meer. Je moet dan een nieuwe sleutel genereren en het record updaten.
Voorbeeld DKIM-record (ingekort)
v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEF...
Wat is DMARC?
DMARC staat voor Domain-based Message Authentication, Reporting and Conformance. Het bouwt voort op SPF en DKIM en geeft de ontvangende server instructies voor wat er moet gebeuren als een bericht de SPF- of DKIM-controle niet doorstaat.
Het record staat op _dmarc.domein en bevat minimaal een policy (p=): none voor monitoring, quarantine om verdachte mail in spam te plaatsen, of reject om het bericht volledig te weigeren.
Met het rua=-adres in het DMARC-record ontvang je periodiek rapporten van ontvangende servers. Zo zie je wie er allemaal namens jouw domein mailt, ook als je er zelf niet van weet.
p=none Monitoren
Geen actie, alleen rapporten ontvangen. Goed startpunt.
p=quarantine Spam
Verdachte mail in spam. Gebruik als SPF en DKIM stabiel staan.
p=reject Weigeren
Niet-geauthenticeerde mail direct weigeren. Maximale bescherming.
Voorbeeld DMARC-record
v=DMARC1; p=reject; rua=mailto:dmarc@wesender.nl; adkim=s; aspf=s
Records instellen en e-mail deliverability
Authenticatie klopt. Wat nu?
Verstuur je transactionele e-mail betrouwbaar met Wesender. 3.000 e-mails per maand gratis. Data in Europese datacenters.