Alles over email-authenticatie en DNS
Heldere uitleg over SPF, DKIM, DMARC, BIMI, MTA-STS en meer — geschreven voor IT-beheerders, security officers en marketeers die hun deliverability serieus nemen.
Scan direct je domeinBegin hier — de basis
De drie pijlers van email-authenticatie. Lees ze in deze volgorde als je nieuw bent in het onderwerp.
Wat is SPF?
Sender Policy Framework — bepaalt welke servers namens jouw domein mogen versturen. De eerste laag bescherming tegen spoofing.
Lees meer →Wat is DKIM?
DomainKeys Identified Mail — een cryptografische handtekening op iedere e-mail. Bewijst dat de inhoud onderweg niet is aangepast.
Lees meer →Wat is DMARC?
Domain-based Message Authentication — vertelt ontvangers wat ze moeten doen als SPF en DKIM falen, en stuurt je rapportages terug.
Lees meer →Verdieping
Klaar voor de volgende stap? Deze gidsen gaan dieper in op policy-keuzes en merkbescherming.
DMARC policy gids
Een volledige walkthrough: van p=none via quarantine
naar reject. Inclusief alignment, tag-referentie, valkuilen en
voorbeeldconfiguraties.
Wat is BIMI?
Brand Indicators for Message Identification — laat je logo tonen naast de afzender in ondersteunende mailclients. Vereist DMARC op enforce.
Lees meer →Transport, encryptie & DNS-hygiëne
Naast authenticatie controleert Postwachter ook hoe je DNS en transportlaag opgezet zijn. Deze onderwerpen komen in elke scan terug.
MTA-STS
Dwingt TLS-encryptie af op inkomende SMTP-verbindingen via een policy in DNS en een HTTPS-endpoint. Beschermt tegen downgrade-aanvallen.
TLS-RPT
SMTP TLS Reporting — laat ontvangers dagelijks rapporteren over mislukte TLS-verbindingen naar jouw MX. Onmisbaar naast MTA-STS.
DANE / TLSA
DNS-Based Authentication of Named Entities — pint TLS-certificaten vast in DNS. Vereist DNSSEC en wordt veel gebruikt door Nederlandse overheidsdomeinen.
DNSSEC
Domain Name System Security Extensions — voegt cryptografische handtekeningen toe aan DNS-antwoorden, zodat clients zeker weten dat ze niet zijn gemanipuleerd.
MX-records & reverse DNS
Welke servers ontvangen mail voor je domein, en sturen ze met een geldige PTR-record terug? Foutieve rDNS is een veelvoorkomende oorzaak van blocklisting.
Reputatie & blocklists
Postwachter checkt je verzendende IP's tegen toonaangevende blocklists (Spamhaus, SURBL, e.a.) zodat je weet of je inbox-placement risico loopt.
Veelgestelde vragen
p=none plus een rua=-adres, verzamel een paar
weken rapporten, en migreer pas naar quarantine of
reject als alle legitieme verzenders aligned zijn.
Onze DMARC policy gids
behandelt elke stap.
include:, a of mx telt mee, ook
geneste includes). Oplossingen: ongebruikte includes verwijderen, IP's
direct opnemen via ip4:/ip6:, of een SPF-flattening
dienst gebruiken. Lees meer in
Wat is SPF?.
p=quarantine of reject.
p=reject; sp=reject; adkim=s; aspf=s
met daarnaast werkende rua-rapportage. Voor parked
domeinen (die nooit mail sturen) mag je dit direct toepassen.
Voor productie: ga gefaseerd via none →
quarantine pct=10/50/100 → reject.
quarantine of
reject nodig, plus een SVG Tiny PS-logo en bij voorkeur
een Verified Mark Certificate (VMC) voor Gmail/Apple.
Klaar om te checken hoe jouw domein ervoor staat?
Voer een gratis scan uit en zie binnen seconden waar je verbeteringen kunt aanbrengen.